Поделиться через

Требовать соответствие устройств условному доступу

Обзор

Microsoft Intune и Microsoft Entra совместно защищают вашу организацию с помощью политик соответствия требованиям для устройств и условного доступа. Политики соответствия устройств обеспечивают соответствие пользовательским устройствам минимальные требования к конфигурации. Требования могут применяться при доступе пользователей к службам, защищенным с помощью политик условного доступа.

Некоторые организации могут быть не готовы требовать соответствия устройств для всех пользователей. Вместо этого эти организации могут выбрать развертывание следующих политик:

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи для экстренных случаев, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • учетные записи сервисов и сервисных принципалов, например: учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа, чтобы устройства, обращающиеся к ресурсам, были помечены как соответствующие политикам соответствия Intune вашей организации.

Предупреждение

Без политики соответствия требованиям, созданной в Microsoft Intune, эта политика условного доступа не будет функционировать должным образом. Сначала создайте политику соответствия требованиям и убедитесь, что перед продолжением работы у вас есть по крайней мере одно соответствующее устройство.

  1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к Entra ID>Условному доступу>Политики.
  3. Выберите новую политику.
  4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
    1. В разделе "Включить" выберите "Все пользователи"
    2. В разделе "Исключить":
      1. Выбор пользователей и групп
        1. Выберите аварийные или break-glass аккаунты вашей организации.
        2. Если вы используете решения гибридного удостоверения, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите Роли директории, затем выберите Учетные записи синхронизации каталога
  6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включитевсе ресурсы (ранее — "Все облачные приложения").
  7. В разделе "Элементы управления доступом>Предоставление".
    1. Выберите "Требовать, чтобы устройство было помечено как соответствующее".
    2. Нажмите кнопку "Выбрать".
  8. Подтвердите параметры и установите для политики включения значение Только отчет.
  9. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Примечание.

Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех ресурсов "Все облачные приложения" (ранее "Все облачные приложения") с помощью предыдущих шагов. Элемент управления "Требуется, чтобы устройство было помечено как соответствующее" не блокирует регистрацию в Intune.

Аналогичным образом, параметр Требовать, чтобы устройство было помечено как соответствующее не блокирует доступ приложения Microsoft Authenticator к области UserAuthenticationMethod.Read. Аутентификатор должен получить доступ к области UserAuthenticationMethod.Read во время настройки Аутентификатора, чтобы определить, какие учетные данные пользователь может настроить. Authenticator должен получить доступ к UserAuthenticationMethod.ReadWrite, чтобы зарегистрировать учетные данные, при этом оставаясь в рамках проверки Требуется, чтобы устройство было отмечено как соответствующее.

Известное поведение

В iOS, Android, macOS и некоторых веб-браузерах, отличных от Майкрософт, Microsoft Entra ID определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства в Microsoft Entra ID. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Сценарии B2B

Для организаций, с которыми у вас есть отношения и которым вы доверяете, можно полагаться на их заявления о соответствии устройств. Сведения о настройке этого параметра см. в статье "Управление параметрами доступа между клиентами для совместной работы B2B".

Активация подписки

Организации, использующие функцию Subscription Activation, чтобы пользователи могли "шагить" из одной версии Windows в другую, может потребоваться исключить Windows Store для бизнеса, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f из политики соответствия устройств.

Связанный контент

  • Last updated on