Běžné zásady zabezpečení pro organizace Microsoftu 365

Organizace mají hodně starostí při nasazování Microsoftu 365 pro svoji organizaci. Zásady podmíněného přístupu, ochrany aplikací a zařízení, na které odkazuje tento článek, vycházejí z doporučení Microsoftu a tří hlavních principů nulová důvěra (Zero Trust):

• Explicitní ověření
• Použití nejnižších oprávnění
• Předpokládat porušení zabezpečení

Organizace můžou tyto zásady používat tak, jak jsou, nebo si je přizpůsobit podle svých potřeb. Pokud je to možné, otestujte zásady v neprodukčním prostředí, než je zavedete pro produkční uživatele. Testování je důležité k identifikaci a komunikaci jakýchkoli možných efektů uživatelům.

Tyto zásady seskupíme do tří úrovní ochrany na základě toho, kde jste na cestě k nasazení:

• Výchozí bod – základní ovládací prvky, které zavádějí vícefaktorové ověřování, zabezpečené změny hesel a zásady ochrany aplikací.
• Enterprise – vylepšené ovládací prvky, které zavádějí dodržování předpisů zařízením.
• Specializované zabezpečení – zásady, které vyžadují vícefaktorové ověřování pokaždé pro konkrétní datové sady nebo uživatele.

Následující diagram znázorňuje úrovně ochrany, na které se jednotlivé zásady vztahují, a na jaké typy zařízení se zásady vztahují:

Tento diagram si můžete stáhnout jako soubor PDF .

Tip

Před registrací zařízení v Intune doporučujeme uživatelům vyžadovat vícefaktorové ověřování (MFA), aby se zajistilo, že je zařízení ve vlastnictví požadovaného uživatele. Vícefaktorové ověřování je ve výchozím nastavení zapnuté z důvodu výchozích hodnot zabezpečenínebo můžete použít zásady podmíněného přístupu k vyžadování vícefaktorového ověřování pro všechny uživatele.

Aby bylo možné vynutit zásady dodržování předpisů zařízením, musí být zařízení zaregistrovaná v Intune.

Požadavky

Oprávnění

V aplikaci Microsoft Entra jsou vyžadována následující oprávnění:

• Spravovat zásady podmíněného přístupu: Role správce podmíněného přístupu .
• Spravovat zásady ochrany aplikací a dodržování předpisů zařízením: Role správce Intune.
• Zobrazit pouze konfigurace: Role čtečky zabezpečení.

Další informace o rolích a oprávněních v aplikaci Microsoft Entra naleznete v článku předdefinované role Microsoft Entra.

Registrace uživatele

Než ho budete vyžadovat, ujistěte se, že se uživatelé registrují k vícefaktorové ověřování. Pokud vaše licence zahrnují Microsoft Entra ID P2, můžete zásady registrace vícefaktorového ověřování v Microsoft Entra ID Protection použít k tomu, abyste vyžadovali, aby se uživatelé zaregistrovali. Poskytujeme komunikační šablony, které si můžete stáhnout a přizpůsobit tak, aby podporovaly registraci uživatelů.

Skupiny

Všechny skupiny Microsoft Entra, které používáte jako součást těchto doporučení, musí být skupiny Microsoft 365, skupiny zabezpečení. Tento požadavek je důležitý pro nasazení popisků citlivosti pro zabezpečení dokumentů v Microsoft Teams a SharePointu. Další informace najdete v tématu Informace o skupinách a přístupových právech vMicrosoft Entra ID .

Přiřazování zásad

Zásady podmíněného přístupu můžete přiřadit uživatelům, skupinám a rolím správce. Zásady ochrany aplikací Intune a dodržování předpisů zařízením můžete přiřadit jenom skupinám . Před konfigurací zásad určete, kdo by měl být zahrnut a vyloučen. Zásady úrovně ochrany výchozích bodů se obvykle vztahují na všechny uživatele v organizaci.

Následující tabulka popisuje příklad přiřazení do skupin a vyloučení pro vícefaktorové ověřování po dokončení registrace uživatele .

	Zásady podmíněného přístupu Microsoft Entra	Zahrnout	Vyloučit
Výchozí bod	Vyžadovat vícefaktorové ověřování pro střední nebo vysoké riziko přihlašování	Všichni uživatelé	Nouzové přístupové účty Skupina vyloučení podmíněného přístupu
Enterprise	Vyžadování vícefaktorového ověřování pro nízké, střední nebo vysoké riziko přihlašování	Skupina vedoucích pracovníků	Nouzové přístupové účty Skupina vyloučení podmíněného přístupu
Specializované zabezpečení	Vyžadovat vícefaktorové ověřování vždy	Skupina Top Secret Project Buckeye	Nouzové přístupové účty Skupina vyloučení podmíněného přístupu

Tip

Při použití vyšší úrovně ochrany u uživatelů a skupin buďte opatrní. Cílem zabezpečení není přidat zbytečné tření uživatelského prostředí. Například členové skupiny Top Secret Project Buckeye musí používat vícefaktorové ověřování při každém přihlášení, i když nepracují na specializovaném obsahu pro svůj projekt. Nadměrné bezpečnostní tření může vést k únavě. Povolte metody ověřování odolné proti útokům phishing (například klíče zabezpečení Windows Hello pro firmy nebo FIDO2), které pomáhají omezit třecí plochy způsobené bezpečnostními prvky.

Nouzové přístupové účty

Všechny organizace by měly mít alespoň jeden účet pro nouzový přístup, který je monitorovaný pro použití a vyloučený ze zásad (a případně i více v závislosti na velikosti organizace). Tyto účty se používají jenom v případě, že všechny ostatní účty správců a metody ověřování jsou uzamčené nebo jinak nedostupné. Další informace naleznete v části Správa účtů nouzového přístupu vMicrosoft Entra ID.

Vyloučení

Doporučeným postupem je vytvoření skupiny Microsoft Entra pro vyloučení podmíněného přístupu. Tato skupina poskytuje způsob, jak poskytnout přístup uživateli při řešení potíží s přístupem.

Upozorňující

Skupinu vyloučení doporučujeme jenom jako dočasné řešení. Nezapomeňte nepřetržitě monitorovat změny této skupiny a ověřit, že se skupina používá jenom pro zamýšlený účel.

Proveďte následující kroky a přidejte skupinu vyloučení k jakýmkoli existujícím zásadám. Jak bylo popsáno výše, potřebujete oprávnění správce podmíněného přístupu.

1. V Centru pro správu Microsoft Entra na https://entra.microsoft.compřejděte na Protection>zásady podmíněného přístupu>. Nebo pro přímý přechod na stránku Podmíněný přístup | Zásady použijte https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.

2. Na stránce Podmíněný přístup | Politiky vyberte existující politiku kliknutím na název.

3. Na stránce podrobností zásad, která se otevře, vyberte odkaz v části Uživatelé v části Přiřazení.

4. V otevřeném ovládacím prvku vyberte kartu Vyloučit a pak vyberte Uživatelé a skupiny.

5. V Vyberte vyloučené uživatele a skupiny informačního rámečku, který se otevře, vyhledejte a vyberte následující identity:

   • Uživatelé: Účty pro nouzový přístup.
   • skupiny : Skupina vyloučení podmíněného přístupu

   Až budete hotovi v informačním rámečku Vyberte vyloučené uživatele a skupiny, klikněte na Vybrat

Nasazení

Doporučujeme implementovat zásady výchozího bodu v pořadí uvedeném v následující tabulce. Zásady vícefaktorového ověřování můžete kdykoli implementovat pro úroveň ochrany pro podniky a pro specializované zabezpečení.

Výchozí bod

Zásady	Více informací	Licencování
Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké	Vyžadovat vícefaktorové ověřování pouze v případech, kdy microsoft Entra ID Protection zjistí riziko.	Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security
Blokování klientů, kteří nepodporují moderní ověřování	Klienti, kteří nepoužívají moderní ověřování, můžou obejít zásady podmíněného přístupu, takže je důležité je zablokovat.	Microsoft 365 E3 nebo E5
Uživatelé s vysokým rizikem musí změnit heslo	Vynutí, aby uživatelé při přihlašování změnili heslo, pokud se zjistí vysoká riziková aktivita pro svůj účet.	Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security
Použití zásad ochrany aplikací pro ochranu dat	Jedna zásada ochrany aplikací Intune na platformu (Windows, iOS/iPadOS a Android)	Microsoft 365 E3 nebo E5
Vyžadování schválených aplikací a zásad ochrany aplikací	Vynucuje zásady ochrany aplikací pro telefony a tablety pomocí iOS, iPadOS nebo Androidu.	Microsoft 365 E3 nebo E5

Enterprise

Zásady	Více informací	Licencování
Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké	Vyžadovat vícefaktorové ověřování pouze v případech, kdy microsoft Entra ID Protection zjistí riziko.	Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security
Definovánízásadch	Nastavte minimální požadavky na konfiguraci. Jedna zásada pro každou platformu.	Microsoft 365 E3 nebo E5
Vyžadování kompatibilních počítačů a mobilních zařízení	Vynucuje požadavky na konfiguraci pro zařízení, která přistupují k vaší organizaci.	Microsoft 365 E3 nebo E5

Specializované zabezpečení

Zásady	Více informací	Licencování
Vždy vyžadovat vícefaktorové ověřování	Uživatelé musí provádět vícefaktorové ověřování, kdykoli se přihlásí ke službám v organizaci.	Microsoft 365 E3 nebo E5

zásady Ochrana aplikací

zásady ochrany aplikací určit povolené aplikace a akce, které můžou provádět s daty vaší organizace. I když si můžete vybrat z mnoha zásad, následující seznam popisuje naše doporučené směrné plány.

Tip

Přestože poskytujeme tři šablony, většina organizací by měla zvolit úroveň 2 (mapuje na výchozí bod nebo zabezpečení podnikové úrovně) a úroveň 3 (mapuje na specializovanou úroveň zabezpečení).

• úroveň 1 podnikové základní ochrany dat: Tuto konfiguraci doporučujeme jako minimální ochranu dat pro podniková zařízení.

• úroveň 2 pro podniky rozšířená ochrana dat: Tuto konfiguraci doporučujeme pro zařízení, která přistupuje k citlivým datům nebo důvěrným informacím. Tato konfigurace platí pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Některé ovládací prvky můžou ovlivnit uživatelské prostředí.

• ochranu dat na úrovni 3 podnikové třídy: Tuto konfiguraci doporučujeme v následujících scénářích:

  • Organizace s většími nebo sofistikovanějšími bezpečnostními týmy.
  • Zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně ohroženi. Například uživatelé, kteří zpracovávají vysoce citlivá data, pokud by neoprávněné zpřístupnění způsobilo značné ztráty pro organizaci.

  Organizace, které jsou pravděpodobně cílem dobře financovaných a sofistikovaných útočníků, by se měly snažit o tuto konfiguraci.

Vytvoření zásad ochrany aplikací

Pomocí následujících kroků vytvořte nové zásady ochrany aplikací pro každou platformu zařízení v Microsoft Intune (iOS/iPadOS a Android) pomocí nastavení architektury ochrany dat:

• Zásady vytvoříte ručně podle kroků v tématu Vytvoření a nasazení zásad ochrany aplikací v Microsoft Intune.
• Importujte ukázkové šablony JSON architektury Intune App Protection Policy Configuration Framework pomocí powershellových skriptů Intune.

Zásady dodržování předpisů zařízením

Zásady dodržování předpisů zařízením Intune definují požadavky pro zařízení, aby vyhovovala předpisům. Musíte vytvořit zásadu pro každý počítač, telefon nebo tabletovou platformu. Tento článek popisuje doporučení pro následující platformy:

• Android
• iOS/iPadOS
• Windows 10 a novější

Vytvoření zásad dodržování předpisů pro zařízení

Pokud chcete vytvořit zásady dodržování předpisů zařízením, postupujte takto:

1. V Centru pro správu Microsoft Intune na https://endpoint.microsoft.compřejděte na kartu Správa zařízení>Dodržování předpisů>Zásady. Nebo přejděte přímo na kartu Zásady zařízení | Stránka dodržování předpisů, použijte https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
2. Na kartě Zásady na stránce Zařízení | Dodržování předpisů vyberte Vytvořit zásadu.

Podrobné pokyny najdete v tématu Vytvoření zásad dodržování předpisů v Microsoft Intune.

Nastavení registrace a dodržování předpisů pro iOS/iPadOS

iOS/iPadOS podporuje několik scénářů registrace, z nichž dvě jsou pokryté touto architekturou:

• Zařazení zařízení pro zařízení v osobním vlastnictví: Zařízení v osobním vlastnictví (označovaná také jako přineste si vlastní zařízení nebo BYOD), která se používají také pro pracovní účely.
• automatizovaná registrace zařízení pro zařízení vlastněná společností: zařízení vlastněná organizací, která jsou přidružená k jednomu uživateli, a používají se výhradně pro práci.

Tip

Jak jsme popsali dříve, úroveň 2 se mapuje na výchozí bod nebo podnikové zabezpečení úrovně , a úroveň 3 se mapuje na specializované zabezpečení. Další informace najdete v tématu identitě nulové důvěryhodnosti a konfigurací přístupu k zařízením.

Nastavení dodržování předpisů pro osobně zaregistrovaná zařízení

• osobní základní zabezpečení (úroveň 1): Tuto konfiguraci doporučujeme jako minimální zabezpečení osobních zařízení, která přistupuje k pracovním nebo školním datům. Tuto konfiguraci dosáhnete vynucením zásad hesel, vlastností zámku zařízení a zakázáním určitých funkcí zařízení (například nedůvěryhodných certifikátů).
• osobní rozšířené zabezpečení (úroveň 2): Doporučujeme tuto konfiguraci pro zařízení, která přistupuje k citlivým datům nebo důvěrným informacím. Tato konfigurace umožňuje řízení sdílení dat. Tato konfigurace platí pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
• osobního vysokého zabezpečení (úroveň 3): Tuto konfiguraci doporučujeme pro zařízení používaná konkrétními uživateli nebo skupinami, kteří mají jedinečně vysoké riziko. Například uživatelé, kteří zpracovávají vysoce citlivá data, pokud by neoprávněné zpřístupnění způsobilo organizaci značnou ztrátu. Tato konfigurace umožňuje silnější zásady hesel, zakáže určité funkce zařízení a vynucuje další omezení přenosu dat.

Nastavení dodržování předpisů pro automatickou registraci zařízení

• základní zabezpečení pod dohledem (úroveň 1): Tuto konfiguraci doporučujeme jako minimální zabezpečení podnikových zařízení, která přistupuje k pracovním nebo školním datům. Tuto konfiguraci dosáhnete vynucením zásad hesel, vlastností zámku zařízení a zakázáním určitých funkcí zařízení (například nedůvěryhodných certifikátů).
• rozšířené zabezpečení pod dohledem (úroveň 2): Doporučujeme tuto konfiguraci pro zařízení, která přistupuje k citlivým datům nebo důvěrným informacím. Tato konfigurace umožňuje řízení sdílení dat a blokuje přístup k zařízením USB. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří na zařízení přistupují k pracovním nebo školním datům.
• vysoké zabezpečení pod dohledem (úroveň 3): Doporučujeme tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří mají jedinečně vysoké riziko. Například uživatelé, kteří zpracovávají vysoce citlivá data, pokud by neoprávněné zpřístupnění způsobilo organizaci značnou ztrátu. Tato konfigurace umožňuje silnější zásady hesel, zakáže určité funkce zařízení, vynucuje další omezení přenosu dat a vyžaduje instalaci aplikací prostřednictvím programu apple pro hromadný nákup.

Nastavení registrace a dodržování předpisů pro Android

Android Enterprise podporuje několik scénářů registrace, z nichž dvě jsou pokryté touto architekturou:

• Android Enterprise pracovní profil: Zařízení v osobním vlastnictví (označovaná také jako přineste si své vlastní zařízení nebo BYOD), která se používají také pro práci. Zásady řízené IT oddělením zajišťují, že pracovní data není možné přenést do osobního profilu.
• plně spravovaná zařízení s Androidem Enterprise: zařízení vlastněná organizací, která jsou přidružená k jednomu uživateli, a používají se výhradně pro práci.

Architektura konfigurace zabezpečení Pro Android Enterprise je uspořádaná do několika různých scénářů konfigurace, které poskytují pokyny pro pracovní profil a plně spravované scénáře.

Tip

Jak jsme popsali dříve, úroveň 2 odpovídá výchozímu bodu nebo podnikovému zabezpečení úrovně, a úroveň 3 odpovídá specializovanému zabezpečení. Další informace najdete v dokumentu o identitě Zero Trust a konfiguracích přístupu k zařízením.

Nastavení dodržování předpisů pro zařízení s pracovním profilem Androidu Enterprise

• Pro zařízení s pracovním profilem v osobním vlastnictví neexistuje žádná nabídka základního zabezpečení (úroveň 1). Dostupná nastavení neodůvodňují rozdíl mezi úrovní 1 a úrovní 2.
• rozšířené zabezpečení pracovního profilu (úroveň 2): Tuto konfiguraci doporučujeme jako minimální zabezpečení pro osobní zařízení, která přistupuje k pracovním nebo školním datům. Tato konfigurace zavádí požadavky na heslo, odděluje pracovní a osobní údaje a ověřuje ověření identity zařízení s Androidem.
• zabezpečení pracovního profilu (úroveň 3): Tuto konfiguraci doporučujeme pro zařízení používaná konkrétními uživateli nebo skupinami, kteří mají jedinečně vysoké riziko. Například uživatelé, kteří zpracovávají vysoce citlivá data, pokud by neoprávněné zpřístupnění způsobilo organizaci značnou ztrátu. Tato konfigurace představuje ochranu před mobilními hrozbami nebo Microsoft Defender for Endpoint, nastaví minimální verzi Androidu, povolí silnější zásady hesel a dále odděluje pracovní a osobní údaje.

Nastavení dodržování předpisů pro plně spravovaná zařízení s Androidem Enterprise

• plně spravované základní zabezpečení (úroveň 1): Tuto konfiguraci doporučujeme jako minimální zabezpečení podnikového zařízení. Tato konfigurace platí pro většinu mobilních uživatelů, kteří pracují nebo se učí. Tato konfigurace zavádí požadavky na heslo, nastaví minimální verzi Androidu a povolí konkrétní omezení zařízení.
• plně spravované rozšířené zabezpečení (úroveň 2): Doporučujeme tuto konfiguraci pro zařízení, která přistupuje k citlivým datům nebo důvěrným informacím. Tato konfigurace umožňuje silnější zásady hesel a zakáže funkce uživatele nebo účtu.
• plně spravované vysoké zabezpečení (úroveň 3): Doporučujeme tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, které mají jedinečně vysoké riziko. Například uživatelé, kteří zpracovávají vysoce citlivá data, pokud by neoprávněné zpřístupnění způsobilo organizaci značnou ztrátu. Tato konfigurace zvyšuje minimální verzi Androidu, zavádí ochranu před mobilními hrozbami nebo Microsoft Defender for Endpoint a vynucuje další omezení zařízení.

Doporučené nastavení dodržování předpisů pro Windows 10 a novější

V Intune nakonfigurujete následující nastavení, jak je popsáno vNastavení dodržování předpisů zařízením pro Windows 10/11. Tato nastavení odpovídají principům popsaným v konfiguraci identit nulová důvěra (Zero Trust) a přístupu k zařízením.

• > pravidla vyhodnocení služby Ověření stavu systému Windows:

  Vlastnost	Hodnota
  Vyžadování nástroje BitLocker	Požadovat
  Vyžadování povolení zabezpečeného spouštění na zařízení	Požadovat
  Vyžadovat integritu kódu	Požadovat

• Vlastnosti zařízení > verze operačního systému: Zadejte vhodné hodnoty pro verze operačního systému na základě zásad IT a zabezpečení.

  Vlastnost	Hodnota
  Minimální verze operačního systému
  Maximální verze operačního systému
  Minimální požadovaný operační systém pro mobilní zařízení
  Maximální požadovaný operační systém pro mobilní zařízení
  Platné sestavení operačního systému

• Dodržování předpisů správce konfigurace:

  Vlastnost	Hodnota
  Vyžadovat dodržování předpisů zařízením z Configuration Manageru	Vyberte Požadované v prostředích, která jsou spoluspravovaná pomocí Configuration Manageru. V opačném případě vyberte Nenakonfigurováno.

• zabezpečení systému:

  Vlastnost	Hodnota
  heslo
  Vyžadovat heslo k odemknutí mobilních zařízení	Požadovat
  Jednoduchá hesla	Blok
  Typ hesla	Výchozí nastavení zařízení
  Minimální délka hesla	6
  Maximální nečinnost v minutách před vyžadování hesla	15 minut
  Omezená platnost hesla (ve dnech)	41
  Počet předchozích hesel, aby se zabránilo opakovanému použití	5
  Vyžadovat heslo, když se zařízení vrátí ze stavu nečinnosti (Mobilní a Holographic)	Požadovat
  šifrování
  Vyžadování šifrování úložiště dat na zařízení	Požadovat
  firewall brány
  Brána firewall	Požadovat
  Antivirus
  Antivirus	Požadovat
  Antispyware
  Antispyware	Požadovat
  defenderu
  Antimalwarový program Microsoft Defender	Požadovat
  Minimální verze antimalwarového programu Microsoft Defender	Doporučujeme hodnotu, která nezaostává o více než pět verzí za nejnovější verzí.
  Aktuální antimalwarový podpis v programu Microsoft Defender	Požadovat
  Ochrana v reálném čase	Požadovat

• cs-CZ: Microsoft Defender pro Endpoint:

  Vlastnost	Hodnota
  Vyžadovat, aby zařízení bylo v rizikovém skóre počítače nebo pod jeho skóre	Střední

Zásady podmíněného přístupu

Po vytvoření zásad ochrany aplikací a zásad dodržování předpisů pro zařízení v Intune můžete povolit vynucení pomocí zásad podmíněného přístupu.

Vyžadování vícefaktorového ověřování na základě rizika přihlašování

Postupujte podle pokynů v článku: Vyžadovat vícefaktorové ověřování pro zvýšení rizika přihlašování k vytvoření zásady, která vyžaduje vícefaktorové ověřování na základě rizika přihlašování.

Při konfiguraci zásad použijte následující úrovně rizik:

Úroveň ochrany	Úrovně rizik
Výchozí bod	Střední a vysoká
Enterprise	Nízká, střední a vysoká

Blokování klientů, kteří nepodporují vícefaktorové ověřování

Postupujte podle pokynů v: Blokovat starší ověřování pomocí podmíněného přístupu.

Uživatelé s vysokým rizikem musí změnit heslo

Postupujte podle pokynů v článku: Vyžadovat zabezpečenou změnu hesla pro zvýšení rizika uživatelů vyžadovat, aby uživatelé s ohroženými přihlašovacími údaji změnili heslo.

Použijte tuto zásadu společně s ochranou heslem Microsoft Entra , která detekuje a blokuje známá slabá hesla, jejich varianty a konkrétní termíny ve vaší organizaci. Použití ochrany heslem Microsoft Entra zajišťuje, že změněná hesla jsou silnější.

Vyžadování schválených aplikací nebo zásad ochrany aplikací

K vynucení zásad ochrany aplikací, které vytvoříte v Intune, musíte vytvořit zásadu podmíněného přístupu. Vynucení zásad ochrany aplikací vyžaduje zásady podmíněného přístupu a odpovídající zásady ochrany aplikací.

Pokud chcete vytvořit zásady podmíněného přístupu, které vyžadují schválené aplikace nebo ochranu aplikací, postupujte podle pokynů v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací. Tyto zásady umožňují přístup ke koncovým bodům Microsoftu 365 jenom v rámci aplikací chráněných zásadami ochrany aplikací.

Blokování starší verze ověřování pro jiné aplikace na zařízeních s iOS/iPadOS a Androidem zajišťuje, že tato zařízení nemůžou obejít zásady podmíněného přístupu. Podle pokynů v tomto článku už blokujete klienty, kteří nepodporují moderní ověřování.

Vyžadování kompatibilních počítačů a mobilních zařízení

Upozornění

Před povolením této zásady ověřte, že vaše vlastní zařízení dodržuje předpisy. Jinak můžete být uzamčení a potřebujete k obnovení přístupu použít účet pro nouzový přístup.

Povolte přístup k prostředkům až po určení, že zařízení vyhovuje vašim zásadám dodržování předpisů Intune. Další informace naleznete v tématu Vyžadovat dodržování předpisů zařízením s podmíněným přístupem.

Do Intune můžete registrovat nová zařízení bez ohledu na to, zda v zásadách vyberete Vyžadovat, aby zařízení byla označena jako vyhovující pro Všichni uživatelé a Všechny cloudové aplikace. Vyžadovat, aby zařízení bylo označené jako vyhovující neblokuje registraci Intune ani přístup k aplikaci Portál webové společnosti Microsoft Intune.

Aktivace předplatného

Pokud vaše organizace používá aktivaci předplatného Windows k povolení "povýšení" z jedné verze Windows na jinou, měli byste vyloučit rozhraní API služby Universal Store a webovou aplikaci (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) z pravidel pro dodržování předpisů zařízení.

Vždy vyžadovat vícefaktorové ověřování

Vyžadovat vícefaktorové ověřování pro všechny uživatele podle pokynů v tomto článku: Vyžadovat vícefaktorové ověřování pro všechny uživatele.

Další kroky

Informace o doporučeních zásad pro přístup hostů