Sdílet prostřednictvím


Podmíněný přístup: Udělení

V rámci zásad podmíněného přístupu může správce použít řízení přístupu k udělení nebo blokování přístupu k prostředkům.

Snímek obrazovky se zásadami podmíněného přístupu s ovládacím prvku udělení, který vyžaduje vícefaktorové ověřování

Blokování přístupu

Řízení blokování přístupu považuje za všechna přiřazení a brání přístupu na základě konfigurace zásad podmíněného přístupu.

Blokování přístupu je výkonný ovládací prvek, který byste měli používat s příslušnými znalostmi. Zásady s příkazy blokování můžou mít nežádoucí vedlejší účinky. Před povolením ovládacího prvku ve velkém měřítku jsou nezbytné správné testování a ověřování. Správci by měli při provádění změn používat nástroje, jako je režim pouze podmíněný přístup, a nástroj Citlivostní analýzy v podmíněném přístupu .

Udělit přístup

Správci se můžou rozhodnout vynutit jeden nebo více ovládacích prvků při udělování přístupu. Mezi tyto ovládací prvky patří následující možnosti:

Když se správci rozhodnou tyto možnosti zkombinovat, můžou použít následující metody:

  • Vyžadovat všechny vybrané ovládací prvky (ovládací prvek a ovládací prvek)
  • Vyžadovat jeden z vybraných ovládacích prvků (ovládací prvek nebo ovládací prvek)

Ve výchozím nastavení podmíněný přístup vyžaduje všechny vybrané ovládací prvky.

Vyžadovat vícefaktorové ověřování

Zaškrtnutím tohoto políčka se vyžaduje, aby uživatelé prováděli vícefaktorové ověřování Microsoft Entra. Další informace o nasazení vícefaktorového ověřování Microsoft Entra najdete v části Plánování cloudového nasazení vícefaktorového ověřování Microsoft Entra.

Windows Hello pro firmy splňuje požadavek na vícefaktorové ověřování v zásadách podmíněného přístupu.

Vyžadovat sílu ověřování

Správci se můžou rozhodnout, že budou v zásadách podmíněného přístupu vyžadovat určité silné stránky ověřování. Tyto silné stránky ověřování jsou definovány v metodách> ověřování ověřování v Centru>>pro správu Microsoft Entra. Správci se můžou rozhodnout, že si vytvoří vlastní nebo budou používat předdefinované verze.

Vyžadovat, aby zařízení bylo označeno jako vyhovující

Organizace, které nasazují Intune, můžou pomocí informací vrácených ze svých zařízení identifikovat zařízení, která splňují konkrétní požadavky na dodržování zásad. Intune odesílá informace o dodržování předpisů na ID Microsoft Entra, aby se podmíněný přístup mohl rozhodnout udělovat nebo blokovat přístup k prostředkům. Další informace o zásadách dodržování předpisů najdete v tématu Nastavení pravidel na zařízeních, která umožňují přístup k prostředkům ve vaší organizaci pomocí Intune.

Zařízení je možné označit jako vyhovující službě Intune pro jakýkoli operační systém zařízení nebo systémem správy mobilních zařízení třetích stran pro zařízení s Windows. Seznam podporovaných systémů pro správu mobilních zařízení třetích osob najdete v tématu Podpora dodržování předpisů u zařízení partnerů v Intune.

Aby zařízení mohla být označena jako vyhovující, musí být zaregistrována v Microsoft Entra ID. Další informace o registraci zařízení najdete v tématu Co je identita zařízení?.

Vyžadovat, aby zařízení bylo označeno jako vyhovující ovládací prvek:

  • Podporuje jenom zařízení s Windows 10+, iOS, Android, macOS a Linux Ubuntu zaregistrovaná v Microsoft Entra ID a zaregistrovaná v Intune.
  • Microsoft Edge v režimu InPrivate ve Windows se považuje za nevyhovující zařízení.

Poznámka:

Ve Windows, iOS, Androidu, macOS a některých webových prohlížečích třetích stran identifikuje Microsoft Entra ID zařízení pomocí klientského certifikátu zřízeného při registraci zařízení v Microsoft Entra ID. Když se uživatel poprvé přihlásí přes prohlížeč, zobrazí se uživateli výzva k výběru certifikátu. Aby uživatel mohl pokračovat v používání prohlížeče, musí tento certifikát vybrat.

Aplikaci Microsoft Defender for Endpoint můžete použít se schválenými zásadami klientské aplikace v Intune k nastavení zásad dodržování předpisů zařízením na zásady podmíněného přístupu. Při nastavování podmíněného přístupu se pro aplikaci Microsoft Defender for Endpoint nevyžaduje žádné vyloučení. I když Microsoft Defender pro koncový bod v Androidu a iOSu (ID aplikace dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) není schválená aplikace, má oprávnění hlásit stav zabezpečení zařízení. Toto oprávnění umožňuje tok informací o dodržování předpisů do podmíněného přístupu.

Vyžadování zařízení připojeného k hybridnímu připojení Microsoft Entra

Organizace se můžou rozhodnout používat identitu zařízení jako součást zásad podmíněného přístupu. Organizace můžou pomocí tohoto zaškrtávacího políčka vyžadovat, aby zařízení byla hybridní připojená službou Microsoft Entra. Další informace o identitách zařízení najdete v tématu Co je identita zařízení?.

Pokud používáte tok OAuth s kódem zařízení, požadované řízení udělení pro spravované zařízení nebo stav zařízení není podporované. Důvodem je to, že zařízení, které provádí ověřování, nemůže zařízení poskytnout stav zařízení, které poskytuje kód. Stav zařízení v tokenu je také uzamčen pro zařízení provádějící ověřování. Místo toho použijte ovládací prvek Vyžadovat vícefaktorové ověřování.

Vyžadovat řízení zařízení připojené k hybridní službě Microsoft Entra:

  • Podporuje pouze nižší úroveň Windows připojenou k doméně (před Windows 10) a aktuálními zařízeními s Windows (Windows 10+).
  • Nepovažuje Microsoft Edge v režimu InPrivate za hybridní zařízení připojené k Microsoftu Entra.

Vyžadovat schválenou klientskou aplikaci

Organizace můžou vyžadovat, aby se pro přístup k vybraným cloudovým aplikacím použila schválená klientská aplikace. Tyto schválené klientské aplikace podporují zásady ochrany aplikací Intune nezávisle na řešení pro správu mobilních zařízení.

Upozorňující

Schválené udělení klientské aplikace se vyřazuje na začátku března 2026. Organizace musí převést všechny aktuální zásady podmíněného přístupu, které do března 2026 používají pouze udělení vyžadovat schválenou klientskou aplikaci nebo zásady ochrany aplikací. Kromě toho platí, že pro všechny nové zásady podmíněného přístupu platí jenom udělení zásad ochrany aplikací. Další informace najdete v článku Migrace schválené klientské aplikace do zásad ochrany aplikací v podmíněném přístupu.

Pokud chcete toto řízení udělení použít, musí být zařízení zaregistrované v MICROSOFT Entra ID, které vyžaduje použití zprostředkované aplikace. Zprostředkační aplikací může být Microsoft Authenticator pro iOS nebo Microsoft Authenticator nebo Microsoft Portál společnosti pro zařízení s Androidem. Pokud se na zařízení při pokusu uživatele o ověření nenainstaluje zprostředkovaná aplikace, uživatel se přesměruje do příslušného obchodu s aplikacemi a nainstaluje požadovanou zprostředkovanou aplikaci.

Toto nastavení podporují následující klientské aplikace. Tento seznam není vyčerpávající a může se změnit:

  • Microsoft Azure Information Protection
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Seznamy Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype pro firmy
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Správa Microsoftu 365

Poznámky

  • Schválené klientské aplikace podporují funkci správy mobilních aplikací Intune.
  • Požadavek na schválenou klientskou aplikaci :
    • Podporuje pouze podmínky platformy zařízení s iOSem a Androidem.
    • Vyžaduje, aby zařízení zaregistrovala aplikace zprostředkovatele. Zprostředkační aplikací může být Microsoft Authenticator pro iOS nebo Microsoft Authenticator nebo Microsoft Portál společnosti pro zařízení s Androidem.
  • Podmíněný přístup nemůže považovat Microsoft Edge v režimu InPrivate za schválenou klientskou aplikaci.
  • Zásady podmíněného přístupu, které vyžadují Microsoft Power BI jako schválenou klientskou aplikaci, nepodporují použití proxy aplikací Microsoft Entra k připojení mobilní aplikace Power BI k místnímu Server sestav Power BI.
  • WebViews hostované mimo Microsoft Edge nevyhovují schváleným zásadám klientských aplikací. Příklad: Pokud se aplikace pokouší načíst SharePoint ve webovém zobrazení, zásady ochrany aplikací selžou.

Příklady konfigurace najdete v tématu Vyžadování schválených klientských aplikací pro přístup ke cloudovým aplikacím pomocí podmíněného přístupu .

Vyžadování zásad ochrany aplikací

V zásadách podmíněného přístupu můžete před zpřístupněním přístupu k vybraným aplikacím vyžadovat, aby v klientské aplikaci byly k dispozici zásady ochrany aplikací Intune. Tyto zásady ochrany aplikací pro správu mobilních aplikací (MAM) umožňují spravovat a chránit data vaší organizace v rámci konkrétních aplikací.

Pokud chcete toto řízení udělení použít, podmíněný přístup vyžaduje, aby bylo zařízení zaregistrované v Microsoft Entra ID, které vyžaduje použití zprostředkované aplikace. Zprostředkační aplikací může být Microsoft Authenticator pro iOS nebo Microsoft Portál společnosti pro zařízení s Androidem. Pokud se na zařízení při pokusu uživatele o ověření nenainstaluje zprostředkovaná aplikace, uživatel se přesměruje do App Storu a nainstaluje zprostředkovanou aplikaci. Aplikaci Microsoft Authenticator je možné použít jako zprostředkační aplikaci, ale nepodporuje cílenou jako schválenou klientskou aplikaci. Ochrana aplikací zásady jsou obecně dostupné pro iOS a Android a ve verzi Public Preview pro Microsoft Edge ve Windows. Zařízení s Windows podporují ve stejné relaci maximálně tři uživatelské účty Microsoft Entra. Další informace o tom, jak použít zásady pro zařízení s Windows, najdete v článku Vyžadování zásad ochrany aplikací na zařízeních s Windows (Preview).

Aplikace musí splňovat určité požadavky na podporu zásad ochrany aplikací. Vývojáři můžou najít další informace o těchto požadavcích v části Aplikace, které můžete spravovat pomocí zásad ochrany aplikací.

Toto nastavení podporují následující klientské aplikace. Tento seznam není vyčerpávající a může se změnit. Pokud vaše aplikace není v seznamu, obraťte se na dodavatele aplikace a ověřte podporu:

  • Mobilní aplikace Adobe Acrobat Reader
  • iAnnotate pro Office 365
  • Microsoft Cortana
  • Microsoft Dynamics 365 pro telefony
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Launcher
  • Seznamy Microsoft
  • Microsoft Loop
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream Mobile Native 2.0
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • Microsoft Whiteboard Services
  • MultiLine pro Intune
  • Devět e-mailů – e-mail a kalendář
  • Notate for Intune
  • Provectus - Zabezpečené kontakty
  • Viva Engage (Android, iOS a iPadOS)

Poznámka:

Kaizala, Skype pro firmy a Visio nepodporují udělení zásad ochrany aplikací. Pokud požadujete, aby tyto aplikace fungovaly, použijte výhradně schválené aplikace . Použití klauzule "or" mezi těmito dvěma granty nebude fungovat pro tyto tři aplikace.

Příklady konfigurace najdete v tématu Vyžadovat zásady ochrany aplikací a schválenou klientskou aplikaci pro přístup ke cloudovým aplikacím s podmíněným přístupem .

Vyžadovat změnu hesla

Když se zjistí riziko uživatele, můžou správci použít podmínky zásad rizik uživatelů, aby uživatel bezpečně změnil heslo pomocí samoobslužného resetování hesla Microsoft Entra. Uživatelé můžou samoobslužné resetování hesla provést pro samoobslužné nápravy. Tento proces zavře událost rizika uživatele, aby se zabránilo zbytečným výstrahám pro správce.

Když se uživateli zobrazí výzva ke změně hesla, musí nejprve dokončit vícefaktorové ověřování. Ujistěte se, že se všichni uživatelé registrují pro vícefaktorové ověřování, takže jsou připravení pro případ, že se pro svůj účet zjistí riziko.

Upozorňující

Uživatelé musí mít před aktivací zásad rizik uživatele dříve zaregistrované vícefaktorové ověřování.

Při konfiguraci zásad pomocí ovládacího prvku pro změnu hesla platí následující omezení:

  • Zásady musí být přiřazeny ke všem prostředkům. Tento požadavek brání útočníkovi v použití jiné aplikace ke změně hesla uživatele a resetování rizika účtu přihlášením k jiné aplikaci.
  • Vyžadovat změnu hesla nejde použít s jinými ovládacími prvky, jako je například vyžadování zařízení dodržující předpisy.
  • Řízení změn hesla se dá použít jenom s podmínkou přiřazení uživatele a skupiny, podmínkou přiřazení cloudové aplikace (která musí být nastavená na "vše") a rizikovými podmínkami uživatelů.

Podmínky použití

Pokud vaše organizace vytvořila podmínky použití, můžou se v ovládacích prvcích udělení zobrazit další možnosti. Tyto možnosti umožňují správcům vyžadovat potvrzení podmínek použití jako podmínku přístupu k prostředkům, které zásady chrání. Další informace o podmínkách použití najdete v podmínkách použití společnosti Microsoft Entra.

Vlastní ovládací prvky (Preview)

Vlastní ovládací prvky jsou funkce Preview pro Microsoft Entra ID. Když používáte vlastní ovládací prvky, budou vaši uživatelé přesměrováni do kompatibilní služby, aby splňovali požadavky na ověřování, které jsou oddělené od Microsoft Entra ID. Další informace najdete v článku o vlastních ovládacích prvcích .

Další kroky