Vyžadování kompatibilního zařízení, hybridního zařízení připojeného k Microsoft Entra nebo vícefaktorového ověřování pro všechny uživatele
Organizace, které nasazují Microsoft Intune, můžou pomocí informací vrácených ze svých zařízení identifikovat zařízení, která splňují požadavky na dodržování předpisů, například:
- Vyžadování kódu PIN k odemknutí
- Vyžadování šifrování zařízení
- Vyžadování minimální nebo maximální verze operačního systému
- Vyžadování zařízení, které není jailbreaknuté ani rootnuté
Informace o dodržování zásad se odesílají do Microsoft Entra ID, kde podmíněný přístup rozhoduje o udělení nebo zablokování přístupu k prostředkům. Další informace o zásadách dodržování předpisů pro zařízení najdete v článku Nastavení pravidel na zařízeních, která umožňují přístup k prostředkům ve vaší organizaci pomocí Intune.
Vyžadování zařízení hybridně připojeného pomocí Microsoft Entra závisí na tom, že vaše zařízení jsou již hybridně připojená pomocí Microsoft Entra. Další informace najdete v článku Konfigurace hybridního připojení Microsoft Entra.
Vyloučení uživatelů
Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:
-
Nouzový přístup nebo účty s prolomením ochrany, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
- Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
a principály služeb , jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.- Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.
Nasazení šablon
Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.
Vytvořte zásady podmíněného přístupu
Následující kroky vám pomůžou vytvořit zásadu podmíněného přístupu, která bude vyžadovat vícefaktorové ověřování, zařízení, která přistupují k prostředkům, označená jako kompatibilní se zásadami dodržování předpisů v Intune vaší organizace nebo jako hybridní připojení Microsoft Entra.
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Přejděte na Ochrana>Podmíněný přístup>Zásady.
- Vyberte Nová zásada.
- Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
- V části Přiřazení vyberte Uživatelé nebo identity pracovních úloh.
- V části Zahrnout vyberte Všichni uživatelé.
- V části pod Vyloučit:
- Vyberte Uživatelé a skupiny
- Zvolte nouzové nebo break-glass účty pro přístup ve vaší organizaci.
- Pokud používáte řešení hybridní identity, jako je Microsoft Entra Connect nebo Microsoft Entra Connect Cloud Sync, vyberte adresářové rolea pak vyberte účty pro synchronizaci adresáře
- Vyberte Uživatelé a skupiny
- V části Cílové prostředky>(dříve cloudové aplikace)>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
- Pokud z zásad musíte vyloučit konkrétní aplikace, můžete je vybrat na kartě Vyloučit v části Vybrat vyloučené cloudové aplikace a zvolit Vybrat.
- V části Řízení přístupu> Udělení.
- Vyberte Vyžadovat vícefaktorové ověřování, Vyžadovat, aby zařízení bylo označené jako vyhovující, a vyžadovat hybridní zařízení připojené k Microsoftu Entra.
- U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
- Zvolte Zvolit.
- Potvrďte nastavení a nastavte Nastavit zásadu na Režim pouze pro hlášení.
- Pokud chcete zásadu povolit, vyberte Vytvořit .
Jakmile správci potvrdí nastavení pomocí režimu pouze pro sestavy, můžou přepnout přepínač zásady Povolit z Pouze pro sestavy na polohu Zapnuto.
Poznámka:
Nová zařízení můžete zaregistrovat do Intune, i když pomocí předchozích kroků vyberete Vyžadovat, aby zařízení bylo označené jako vyhovující všem uživatelům a všem prostředkům (dříve Všechny cloudové aplikace). Kontrola vyžadující, aby zařízení bylo označené jako vyhovující, neblokuje registraci Intune a přístup k aplikaci webový portál společnosti Microsoft Intune.
Známé chování
V iOSu, Androidu, macOS a některých webových prohlížečích jiných společností než Microsoft identifikuje Microsoft Entra ID zařízení pomocí klientského certifikátu, který je zřízený při registraci zařízení v Microsoft Entra ID. Když se uživatel poprvé přihlásí přes prohlížeč, zobrazí se výzva k výběru certifikátu. Koncový uživatel musí tento certifikát vybrat, aby mohl dál používat prohlížeč.
Aktivace předplatného
Organizace, které používají funkci aktivace předplatného, umožňují uživatelům "krokovat" z jedné verze Windows do jiné a používat zásady podmíněného přístupu k řízení přístupu, aby z jejich zásad podmíněného přístupu vyloučily jednu z následujících cloudových aplikací pomocí možnosti Vybrat vyloučené cloudové aplikace:
Rozhraní API služby Universal Store a webová aplikace, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.
Windows Store pro firmy, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f.
I když je ID aplikace v obou instancích stejné, název cloudové aplikace závisí na tenantovi.
Pokud je zařízení po delší dobu offline, nemusí se zařízení automaticky aktivovat, pokud toto vyloučení podmíněného přístupu není nastavené. Nastavením tohoto vyloučení podmíněného přístupu zajistíte, že aktivace předplatného bude bez problémů fungovat.
Od Windows 11 verze 23H2 s KB5034848 nebo novějším se uživatelům zobrazí výzva k ověření pomocí informační zprávy, když aktivace předplatného potřebuje opětovnou aktivaci. Okno s upozorněním zobrazí následující zprávu:
Váš účet vyžaduje ověření.
Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.
V podokně Aktivace se navíc může zobrazit následující zpráva:
Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.
K výzvě k ověření obvykle dochází v případě, že je zařízení po delší dobu offline. Tato změna eliminuje potřebu vyloučení v zásadách podmíněného přístupu pro Windows 11 verze 23H2 s KB5034848 nebo novějším. Zásady podmíněného přístupu se dají dál používat s Windows 11 verze 23H2 s KB5034848 nebo novějším, pokud není žádoucí výzva k ověření uživatele prostřednictvím informačního oznámení.
Další kroky
Stanovení efektu pomocí režimu pouze pro sestavy podmíněného přístupu