Podmíněný přístup: Filtr pro zařízení
Když správci vytvářejí zásady podmíněného přístupu, možnost cílit nebo vyloučit konkrétní zařízení ve svém prostředí je běžnou úlohou. Filtr podmínek pro zařízení umožňuje správcům cílit na konkrétní zařízení. Správci můžou používat podporované operátory a vlastnosti pro filtry zařízení vedle ostatních dostupných podmínek přiřazení v zásadách podmíněného přístupu.
Obvyklé scénáře
Organizace teď můžou pomocí filtru pro podmínku zařízení povolit několik scénářů. Následující scénáře obsahují příklady použití této nové podmínky.
- Omezte přístup k privilegovaným prostředkům. V tomto příkladu řekněme, že chcete povolit přístup k rozhraní API služby Windows Azure Management od uživatele, který:
- Má přiřazenou privilegovanou roli.
- Dokončilo se vícefaktorové ověřování.
- Je na zařízení, které je privilegované nebo zabezpečené pracovní stanice správců a je potvrzeno jako vyhovující.
- V tomto scénáři by organizace vytvořily dvě zásady podmíněného přístupu:
- Zásada 1: Všichni uživatelé s rolí správce, přístup k cloudové aplikaci API pro správu služeb Windows Azure a pro řízení přístupu, udělení přístupu, ale vyžadují vícefaktorové ověřování a vyžadují, aby zařízení bylo označené jako vyhovující.
- Zásada 2: Všichni uživatelé s správcem, kteří přistupují ke cloudové aplikaci API pro správu služeb Windows Azure, s výjimkou filtru pro zařízení používající výraz pravidla device.extensionAttribute1 se rovná SAW a pro řízení přístupu, Blokovat. Zjistěte, jak aktualizovat rozšířeníAttributes na objektu zařízení Microsoft Entra.
- Zablokujte přístup k prostředkům organizace ze zařízení s nepodporovaným operačním systémem. V tomto příkladu řekněme, že chcete blokovat přístup k prostředkům z verze operačního systému Windows starší než Windows 10. V tomto scénáři by organizace vytvořily následující zásady podmíněného přístupu:
- Všichni uživatelé, kteří přistupují ke všem prostředkům, s výjimkou filtru pro zařízení pomocí výrazu pravidla device.operatingSystem equals Windows a device.operatingSystemVersion startsWith "10.0" a pro řízení přístupu, Blokovat.
- Pro konkrétní účty na konkrétních zařízeních nevyžadují vícefaktorové ověřování. V tomto příkladu řekněme, že při používání účtů služeb na konkrétních zařízeních, jako jsou telefony Teams nebo zařízení Surface Hub, nechcete vyžadovat vícefaktorové ověřování. V tomto scénáři by organizace vytvořily následující dvě zásady podmíněného přístupu:
- Zásada 1: Všichni uživatelé kromě účtů služeb, přistupují ke všem prostředkům a pro řízení přístupu, udělují přístup, ale vyžadují vícefaktorové ověřování.
- Zásada 2: Vyberte uživatele a skupiny a zahrňte skupinu, která obsahuje pouze účty služeb, přístup ke všem prostředkům, s výjimkou filtru pro zařízení používající výraz pravidla device.extensionAttribute2 se nerovná TeamsPhoneDevice a pro řízení přístupu, Blokovat.
Poznámka:
Microsoft Entra ID používá ověřování zařízení k vyhodnocení pravidel filtru zařízení. U zařízení, které je neregistrované s ID Microsoft Entra, se všechny vlastnosti zařízení považují za hodnoty null a atributy zařízení nelze určit, protože zařízení v adresáři neexistuje. Nejlepší způsob, jak cílit zásady pro neregistrovaná zařízení, je použití záporného operátoru, protože by se použilo nakonfigurované pravidlo filtru. Pokud byste použili kladný operátor, pravidlo filtru by se použilo jenom v případě, že zařízení existuje v adresáři a nakonfigurované pravidlo odpovídá atributu v zařízení.
Vytvořte zásady podmíněného přístupu
Filtr pro zařízení je volitelný ovládací prvek při vytváření zásad podmíněného přístupu.
Následující postup vám pomůže vytvořit dvě zásady podmíněného přístupu, které podporují první scénář v běžných scénářích.
Zásada 1: Všichni uživatelé s rolí správce, přístup k cloudové aplikaci API pro správu služeb Windows Azure a pro řízení přístupu, udělení přístupu, ale vyžadují vícefaktorové ověřování a vyžadují, aby zařízení bylo označené jako vyhovující.
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Přejděte k zásadám podmíněného přístupu ochrany>>.
- Vyberte Možnost Nová zásada.
- Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
V části Zahrnout vyberte Role adresáře a potom všechny role se správcem v názvu.
Upozorňující
Zásady podmíněného přístupu podporují předdefinované role. Zásady podmíněného přístupu se nevynucují pro jiné typy rolí, včetně jednotek pro správu nebo vlastních rolí.
V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
Vyberte Hotovo.
- V části Cílové prostředky>(dříve cloudové aplikace)> Vyberte>prostředky, zvolte rozhraní API pro správu služeb Windows Azure a vyberte Vybrat.
- V části Řízení>přístupu udělte, vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a Vyžadovat, aby zařízení bylo označeno jako vyhovující, a pak vyberte Vybrat.
- Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
- Pokud chcete zásadu povolit, vyberte Vytvořit .
Zásada 2: Všichni uživatelé s rolí správce, kteří přistupují k cloudové aplikaci API pro správu služeb Windows Azure, s výjimkou filtru pro zařízení pomocí výrazu pravidla device.extensionAttribute1 se rovná SAW a pro řízení přístupu, Blokovat.
- Vyberte Možnost Nová zásada.
- Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
V části Zahrnout vyberte Role adresáře a potom všechny role se správcem v názvu.
Upozorňující
Zásady podmíněného přístupu podporují předdefinované role. Zásady podmíněného přístupu se nevynucují pro jiné typy rolí, včetně jednotek pro správu nebo vlastních rolí.
V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
Vyberte Hotovo.
- V části Cílové prostředky>(dříve cloudové aplikace)> Vyberte>prostředky, zvolte rozhraní API pro správu služeb Windows Azure a vyberte Vybrat.
- Za podmínek vyfiltrujte zařízení.
- Přepněte konfigurovat na ano.
- Nastavte zařízení odpovídající pravidlu na vyloučení filtrovaných zařízení ze zásad.
- Nastavte vlastnost na
ExtensionAttribute1
, operátor naEquals
a hodnotu naSAW
. - Vyberte Hotovo.
- V části Řízení>přístupu udělte, vyberte Blokovat přístup a pak vyberte Vybrat.
- Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
- Pokud chcete zásadu povolit, vyberte Vytvořit .
Upozorňující
Zásady, které vyžadují vyhovující zařízení, můžou uživatele na Macu, iOSu a Androidu vyzvat k výběru certifikátu zařízení během vyhodnocování zásad, i když dodržování předpisů zařízením není vynucené. Tyto výzvy se můžou opakovat, dokud zařízení nedodržuje předpisy.
Nastavení hodnot atributů
Nastavení atributů rozšíření je možné prostřednictvím rozhraní Microsoft Graph API. Další informace o nastavení atributů zařízení najdete v článku Aktualizace zařízení.
Filtrování pro zařízení Graph API
Filtr rozhraní API pro zařízení je k dispozici v koncovém bodu Microsoft Graphu v1.0 a lze k němu získat přístup pomocí koncového bodu https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/
. Filtr pro zařízení můžete nakonfigurovat při vytváření nových zásad podmíněného přístupu nebo můžete aktualizovat existující zásady tak, aby konfigurovali filtr pro podmínku zařízení. Pokud chcete aktualizovat existující zásady, můžete provést volání opravy koncového bodu Microsoft Graphu v1.0 tak, že připojíte ID zásady existující zásady a spustíte následující text požadavku. V tomto příkladu vidíte konfiguraci filtru pro podmínku zařízení s výjimkou zařízení, která nejsou označená jako zařízení SAW. Syntaxe pravidla se může skládat z více než jednoho výrazu. Další informace o syntaxi najdete vpravidlech
{
"conditions": {
"devices": {
"deviceFilter": {
"mode": "exclude",
"rule": "device.extensionAttribute1 -ne \"SAW\""
}
}
}
}
Podporované operátory a vlastnosti zařízení pro filtry
Následující atributy zařízení lze použít s filtrem pro podmínku zařízení v podmíněném přístupu.
Poznámka:
Microsoft Entra ID používá ověřování zařízení k vyhodnocení pravidel filtru zařízení. U zařízení, které je neregistrované s ID Microsoft Entra, se všechny vlastnosti zařízení považují za hodnoty null a atributy zařízení nelze určit, protože zařízení v adresáři neexistuje. Nejlepší způsob, jak cílit zásady pro neregistrovaná zařízení, je použití záporného operátoru, protože by se použilo nakonfigurované pravidlo filtru. Pokud byste použili kladný operátor, pravidlo filtru by se použilo jenom v případě, že zařízení existuje v adresáři a nakonfigurované pravidlo odpovídá atributu v zařízení.
Podporované atributy zařízení | Podporované operátory | Podporované hodnoty | Příklad |
---|---|---|---|
deviceId | Rovná se, NotEquals, In, NotIn | Platný identifikátor deviceId, který je IDENTIFIKÁTOR GUID | (device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbb") |
displayName | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Libovolný řetězec | (device.displayName -contains "ABC") |
DeviceOwnership | Rovná se, NotEquals | Podporované hodnoty jsou "Osobní" pro používání vlastních zařízení a "Společnost" pro zařízení vlastněná společností. | (device.deviceOwnership -eq "Company") |
isCompliant | Rovná se, NotEquals | Podporované hodnoty jsou "True" pro zařízení vyhovující předpisům a "False" pro zařízení nedodržování předpisů | (device.isCompliant -eq "True") |
Výrobce | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Libovolný řetězec | (device.manufacturer -startsWith "Microsoft") |
mdmAppId | Rovná se, NotEquals, In, NotIn | Platné ID aplikace MDM | (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"]) |
model | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Libovolný řetězec | (device.model -notContains "Surface") |
operatingSystem | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Platný operační systém (například Windows, iOS nebo Android) | (device.operatingSystem -eq "Windows") |
operatingSystemVersion | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Platná verze operačního systému (například 6.1 pro Windows 7, 6.2 pro Windows 8 nebo 10.0 pro Windows 10 a Windows 11) | (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"]) |
physicalIds | Obsahuje, NotContains | Například všechna zařízení s Windows Autopilot ukládají ZTDId (jedinečnou hodnotu přiřazenou všem importovaným zařízením Windows Autopilot) ve vlastnosti fyzické id zařízení. | (device.physicalIds -contains "[ZTDId]:value") |
profileType | Rovná se, NotEquals | Platný typ profilu nastavený pro zařízení. Podporované hodnoty jsou: RegisteredDevice (výchozí), SecureVM (používá se pro virtuální počítače s Windows v Azure s povoleným přihlášením k Microsoft Entra), tiskárna (použitá pro tiskárny), sdílená (používaná pro sdílená zařízení), IoT (používá se pro zařízení IoT). | (device.profileType -eq "Printer") |
systemLabels | Obsahuje, NotContains | Seznam popisků použitých na zařízení systémem Mezi podporované hodnoty patří: AzureResource (používá se pro virtuální počítače s Windows v Azure s povoleným přihlášením k Microsoft Entra), M365Managed (používá se pro zařízení spravovaná pomocí Microsoft Managed Desktopu), MultiUser (používá se pro sdílená zařízení). | (device.systemLabels -contains "M365Managed") |
trustType | Rovná se, NotEquals | Platný zaregistrovaný stav pro zařízení. Podporované hodnoty jsou: AzureAD (používá se pro zařízení připojená k Microsoft Entra), ServerAD (používá se pro zařízení připojená k Hybridním připojeným zařízením Microsoft Entra), Pracoviště (používá se pro registrovaná zařízení Microsoft Entra). | (device.trustType -eq "ServerAD") |
extensionAttribute1-15 | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | extensionAttributes1-15 jsou atributy, které zákazníci můžou použít pro objekty zařízení. Zákazníci můžou aktualizovat libovolnou příponuAttributes1 až 15 s vlastními hodnotami a použít je ve filtru pro podmínku zařízení v podmíněném přístupu. Lze použít libovolnou řetězcovou hodnotu. | (device.extensionAttribute1 -eq "SAW") |
Poznámka:
Při vytváření složitých pravidel nebo použití příliš velkého počtu jednotlivých identifikátorů, jako je deviceid pro identity zařízení, mějte na paměti, že maximální délka pravidla filtru je 3072 znaků.
Poznámka:
Operátory Contains
a operátory NotContains
fungují odlišně v závislosti na typech atributů. U atributů řetězců, jako operatingSystem
model
je a , operátor označuje, Contains
zda se zadaný podřetězce vyskytuje v rámci atributu. U atributů kolekce řetězců, například physicalIds
a systemLabels
, operátor označuje, Contains
zda zadaný řetězec odpovídá jednomu z celých řetězců v kolekci.
Upozorňující
Zařízení musí být spravovaná, kompatibilní se službou Microsoft Intune nebo hybridním připojením Microsoft Entra, aby byla hodnota dostupná v extensionAttributes1-15 v době vyhodnocení zásad podmíněného přístupu.
Chování zásad s filtrem pro zařízení
Filtr podmínky zařízení v podmíněném přístupu vyhodnocuje zásady na základě atributů zařízení registrovaného zařízení v Microsoft Entra ID, a proto je důležité pochopit, za jakých okolností se zásada použije nebo nepoužívá. Následující tabulka ukazuje chování při konfiguraci filtru pro podmínku zařízení.
Podmínka filtru pro zařízení | Stav registrace zařízení | Použitý filtr zařízení |
---|---|---|
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a používání všech atributů | Neregistrované zařízení | No |
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů s výjimkou extensionAttributes1-15 | Zaregistrované zařízení | Ano, pokud jsou splněna kritéria |
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů včetně extensionAttributes1-15 | Zaregistrované zařízení spravované přes Intune | Ano, pokud jsou splněna kritéria |
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů včetně extensionAttributes1-15 | Zaregistrované zařízení, které nespravuje Intune | Ano, pokud jsou splněna kritéria. Když se použije extensionAttributes1-15, zásada se použije, pokud zařízení dodržuje předpisy nebo je připojeno k hybridnímu připojení Microsoft Entra. |
Režim include/exclude se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím jakýchkoli atributů | Neregistrované zařízení | Ano |
Režim include/exclude s negativními operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použití všech atributů kromě extensionAttributes1-15 | Zaregistrované zařízení | Ano, pokud jsou splněna kritéria |
Režim include/exclude se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím atributů včetně extensionAttributes1-15 | Zaregistrované zařízení spravované přes Intune | Ano, pokud jsou splněna kritéria |
Režim include/exclude se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím atributů včetně extensionAttributes1-15 | Zaregistrované zařízení, které nespravuje Intune | Ano, pokud jsou splněna kritéria. Když se použije extensionAttributes1-15, zásada se použije, pokud zařízení dodržuje předpisy nebo je připojeno k hybridnímu připojení Microsoft Entra. |