Поделиться через

Требовать соответствие устройств условному доступу

Microsoft Intune и Microsoft Entra работают вместе, чтобы защитить организацию с помощью политик соответствия устройств и условного доступа. Политики соответствия устройств — отличный способ обеспечить соответствие пользовательских устройств минимальным требованиям к конфигурации. Требования могут применяться при доступе пользователей к службам, защищенным с помощью политик условного доступа.

Некоторые организации могут быть не готовы требовать соответствия устройств для всех пользователей. Вместо этого эти организации могут выбрать развертывание следующих политик:

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи для экстренных случаев, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными принципалами, не будут блокироваться с помощью политик условного доступа, применяемых к пользователям. Используйте условный доступ для рабочих нагрузок, чтобы определить политики для служебных участников.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа, чтобы устройства, обращающиеся к ресурсам, были помечены как соответствующие политикам соответствия Intune вашей организации.

Предупреждение

Без политики соответствия требованиям, созданной в Microsoft Intune, эта политика условного доступа не будет работать должным образом. Сначала создайте политику соответствия требованиям и убедитесь, что перед продолжением работы у вас есть по крайней мере одно соответствующее устройство.

  1. Войдите в Центр администрирования Microsoft Entra в роли администратора условного доступа.
  2. Перейдите к Entra ID>Условному доступу>Политики.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
    1. В разделе "Включить" выберите "Все пользователи"
    2. В разделе "Исключить":
      1. Выбор пользователей и групп
        1. Выберите аварийные или break-glass аккаунты вашей организации.
        2. Если вы используете гибридные решения для управления удостоверениями, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите роли каталога, затем выберите учетные записи синхронизации каталогов.
  6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включитевсе ресурсы (ранее — "Все облачные приложения").
  7. В разделе "Элементы управления доступом>Предоставление".
    1. Выберите "Требовать, чтобы устройство было помечено как соответствующее".
    2. Нажмите кнопку "Выбрать".
  8. Подтвердите параметры и установите для политики включения значение Только отчет.
  9. Нажмите кнопку "Создать", чтобы включить политику.

После того как администраторы оценят параметры политики с помощью режима влияния политики или режима только для отчета, они могут переместить переключатель Включить политику из Только отчет в Вкл.

Примечание.

Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех ресурсов "Все облачные приложения" (ранее "Все облачные приложения") с помощью предыдущих шагов. Элемент управления "Требуется, чтобы устройство было помечено как соответствующее" не блокирует регистрацию в Intune.

Аналогичным образом, требование о пометке устройства как соответствующего не блокирует доступ приложения Microsoft Authenticator к области UserAuthenticationMethod.Read. Аутентификатор должен получить доступ к области UserAuthenticationMethod.Read во время настройки Аутентификатора, чтобы определить, какие учетные данные пользователь может настроить. Authenticator должен получить доступ к UserAuthenticationMethod.ReadWrite, чтобы зарегистрировать учетные данные, при этом оставаясь в рамках проверки Требуется, чтобы устройство было отмечено как соответствующее.

Известное поведение

В iOS, Android, macOS и некоторых веб-браузерах, отличных от Майкрософт, идентификатор Microsoft Entra определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию активации подписки для перехода пользователей с одной версии Windows на другую, могут захотеть исключить Магазин Windows для бизнеса, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из своей политики соответствия устройств.

Связанный контент