Běžné způsoby použití podmíněného přístupu s Intune

Existují dva typy zásad podmíněného přístupu, které můžete použít s Intune: podmíněný přístup založený na zařízení a podmíněný přístup založený na aplikacích. Abyste je mohli podporovat, budete muset nakonfigurovat související zásady Intune. Když jsou zásady Intune zavedeny a nasazeny, můžete pomocí podmíněného přístupu provádět akce, jako je povolení nebo blokování přístupu k Exchangi, řízení přístupu k síti nebo integrace s řešením ochrany před mobilními hrozbami.

Informace v tomto článku vám pomůžou pochopit, jak používat funkce dodržování předpisů Intune mobilních zařízení a funkce správy mobilních aplikací (MAM) Intune.

Poznámka

Podmíněný přístup je funkce Microsoft Entra, která je součástí licence Microsoft Entra ID P1 nebo P2. Intune tuto funkci vylepšuje tím, že do řešení přidává dodržování předpisů pro mobilní zařízení a správu mobilních aplikací. Uzel podmíněného přístupu, ke které se přistupuje z Intune, je stejný jako uzel, ke který se přistupuje z Microsoft Entra ID.

Podmíněný přístup na základě zařízení

Intune a Microsoft Entra ID společně zajistí, aby k e-mailu vaší organizace, službám Microsoft 365, aplikacím SaaS (Software jako služba) a místním aplikacím měli přístup jenom spravovaná a vyhovující zařízení. Kromě toho můžete v Microsoft Entra ID nastavit zásadu, která povolí přístup ke službám Microsoftu 365 jenom u počítačů připojených k doméně nebo mobilních zařízení zaregistrovaných v Intune.

S Intune nasadíte zásady dodržování předpisů zařízením, abyste zjistili, jestli zařízení splňuje vaše očekávané požadavky na konfiguraci a zabezpečení. Vyhodnocení zásad dodržování předpisů určuje stav dodržování předpisů zařízení, který se hlásí Intune i Microsoft Entra ID. Je v Microsoft Entra ID, že zásady podmíněného přístupu můžou používat stav dodržování předpisů zařízení k rozhodování, jestli povolí nebo zablokuje přístup k prostředkům vaší organizace z tohoto zařízení.

Zásady podmíněného přístupu na základě zařízení pro Exchange Online a další produkty Microsoft 365 se konfigurují prostřednictvím Centra pro správu Microsoft Intune.

• Přečtěte si další informace o vyžadování spravovaných zařízení s podmíněným přístupem v Microsoft Entra ID.

• Přečtěte si další informace o Intune dodržování předpisů zařízením.

• Přečtěte si další informace o podporovaných prohlížečích s podmíněným přístupem v Microsoft Entra ID.

Poznámka

Když povolíte přístup na základě zařízení pro obsah, ke kterému uživatelé přistupují z aplikací prohlížeče na zařízeních s osobním profilem Androidu, musí uživatelé zaregistrovaní před lednem 2021 povolit přístup v prohlížeči následujícím způsobem:

1. Spusťte aplikaci Portál společnosti.
2. V nabídce přejděte na stránku Nastavení .
3. V části Povolit přístup v prohlížeči klepněte na tlačítko POVOLIT .
4. Zavřete a restartujte aplikaci prohlížeče.

To umožňuje přístup v prohlížečových aplikacích, ale ne k webovým zobrazením v prohlížeči, které se otevírají v rámci aplikací.

Aplikace dostupné v podmíněném přístupu pro řízení Microsoft Intune

Při konfiguraci podmíněného přístupu v Centrum pro správu Microsoft Entra máte na výběr ze dvou aplikací:

1. Microsoft Intune – Tato aplikace řídí přístup k Centru pro správu Microsoft Intune a zdrojům dat. Pokud chcete cílit na centrum pro správu Microsoft Intune a zdroje dat, nakonfigurujte u této aplikace udělení a řízení.
2. Microsoft Intune Registrace – Tato aplikace řídí pracovní postup registrace. Pokud chcete cílit na proces registrace, nakonfigurujte u této aplikace udělení nebo řízení. Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro Intune registrace zařízení.

Podmíněný přístup na základě řízení přístupu k síti

Intune se integruje s partnery, jako jsou Cisco ISE, Aruba Clear Pass a Citrix NetScaler, a poskytuje řízení přístupu na základě Intune registrace a stavu dodržování předpisů zařízením.

Uživatelům je možné povolit nebo odepřít přístup k podnikovým Wi-Fi nebo prostředkům VPN na základě toho, jestli je zařízení, které používají, spravované a kompatibilní se zásadami dodržování předpisů Intune zařízením.

• Přečtěte si další informace o integraci NAC s Intune.

Podmíněný přístup na základě rizika zařízení

Intune spolupracuje s dodavateli ochrany před mobilními hrozbami, kteří poskytují bezpečnostní řešení pro detekci malwaru, trojských koní a dalších hrozeb na mobilních zařízeních.

Jak funguje integrace Intune a ochrany před mobilními hrozbami

Když mají mobilní zařízení nainstalovaného agenta Mobile Threat Defense, agent odesílá zprávy o stavu dodržování předpisů zpět na Intune hlásí, když se na samotném mobilním zařízení najde hrozba.

Integrace ochrany před Intune a mobilními hrozbami hraje roli v rozhodnutích o podmíněném přístupu na základě rizika zařízení.

• Přečtěte si další informace o Intune ochraně před mobilními hrozbami.

Podmíněný přístup pro počítače s Windows

Podmíněný přístup pro počítače poskytuje funkce podobné těm, které jsou k dispozici pro mobilní zařízení. Pojďme si promluvit o způsobech použití podmíněného přístupu při správě počítačů s Intune.

Vlastněné společností

• Microsoft Entra hybridní připojení: Tuto možnost běžně používají organizace, které jsou přiměřeně obeznámené s tím, jak už spravují své počítače prostřednictvím zásad skupiny AD nebo Configuration Manager.

• Microsoft Entra připojení k doméně a správa Intune: Tento scénář je určený pro organizace, které chtějí mít přednost před cloudem (to znamená, že primárně používají cloudové služby s cílem omezit používání místní infrastruktury) nebo výhradně cloudové (bez místní infrastruktury). Microsoft Entra join funguje dobře v hybridním prostředí a umožňuje přístup ke cloudovým i místním aplikacím a prostředkům. Zařízení se připojí k Microsoft Entra ID a zaregistruje se do Intune, která se dá použít jako kritérium podmíněného přístupu při přístupu k podnikovým prostředkům.

Přineste si vlastní zařízení (BYOD)

• Připojení k pracovišti a správa Intune: Tady může uživatel připojit svá osobní zařízení a získat přístup k podnikovým prostředkům a službám. Pomocí připojení k pracovišti a registrace zařízení do Intune MDM můžete přijímat zásady na úrovni zařízení, což je další možnost pro vyhodnocení kritérií podmíněného přístupu.

Přečtěte si další informace o Správa zařízení v Microsoft Entra ID.

Podmíněný přístup na základě aplikace

Intune a Microsoft Entra ID společně zajistí, aby k podnikovému e-mailu nebo jiným službám Microsoft 365 mohly přistupovat jenom spravované aplikace.

• Přečtěte si další informace o podmíněném přístupu založeném na aplikacích s Intune.

Intune podmíněného přístupu pro místní Exchange

Podmíněný přístup je možné použít k povolení nebo blokování přístupu k místnímu Exchangi na základě zásad dodržování předpisů zařízením a stavu registrace. Pokud se podmíněný přístup používá v kombinaci se zásadami dodržování předpisů zařízením, budou mít přístup k místnímu Exchangi povolen pouze vyhovujícím zařízením.

V části Podmíněný přístup můžete nakonfigurovat upřesňující nastavení pro podrobnější řízení, například:

• Povolte nebo zablokujte určité platformy.

• Zařízení, která nespravuje Intune, můžete okamžitě zablokovat.

Při použití zásad dodržování předpisů zařízením a podmíněného přístupu se kontroluje dodržování předpisů u všech zařízení používaných pro přístup k místnímu Exchangi.

Pokud zařízení nesplňují nastavené podmínky, provede se koncový uživatel procesem registrace zařízení, aby vyřešil problém, kvůli kterému zařízení nedodržuje předpisy.

Poznámka

Od července 2020 je podpora exchange connectoru zastaralá a nahrazená hybridním moderním ověřováním Exchange (HMA). Použití HMA nevyžaduje Intune k nastavení a používání Exchange Connectoru. Po této změně se uživatelské rozhraní pro konfiguraci a správu Exchange Connectoru pro Intune z Centra pro správu Microsoft Intune odebralo, pokud už ve svém předplatném nepoužíváte Exchange Connector.

Pokud máte ve svém prostředí nastavený Exchange Connector, váš tenant Intune zůstane podporovaný pro jeho použití a budete mít i nadále přístup k uživatelskému rozhraní, které podporuje jeho konfiguraci. Další informace najdete v tématu Instalace konektoru Exchange On-Premises Connector. Můžete dál používat konektor nebo nakonfigurovat HMA a pak konektor odinstalovat.

Hybridní moderní ověřování poskytuje funkce, které dříve poskytoval Exchange Connector pro Intune: Mapování identity zařízení na její záznam Exchange. Toto mapování teď probíhá mimo konfiguraci, kterou provedete v Intune, nebo požadavku konektoru Intune na přemostit Intune a Exchange. U HMA byl odstraněn požadavek na použití konfigurace specifické pro Intune (konektor).

Jaká je role Intune?

Intune vyhodnocuje a spravuje stav zařízení.

Jaká je role serveru Exchange?

Exchange Server poskytuje rozhraní API a infrastrukturu pro přesun zařízení do karantény.

Důležité

Mějte na paměti, že uživatel, který zařízení používá, musí mít přiřazený profil dodržování předpisů a Intune licenci, aby bylo možné vyhodnotit dodržování předpisů u zařízení. Pokud se pro uživatele nenasadí žádné zásady dodržování předpisů, zařízení se považuje za vyhovující a neuplatní se žádná omezení přístupu.

Další kroky

Konfigurace podmíněného přístupu v Microsoft Entra ID

Nastavení zásad podmíněného přístupu na základě aplikací

Jak vytvořit zásady podmíněného přístupu pro místní Exchange