Dostęp warunkowy: filtrowanie urządzeń
Gdy administratorzy tworzą zasady dostępu warunkowego, możliwość kierowania lub wykluczania określonych urządzeń w ich środowisku jest typowym zadaniem. Filtr warunku dla urządzeń zapewnia administratorom możliwość kierowania określonych urządzeń. Administratorzy mogą używać obsługiwanych operatorów i właściwości filtrów urządzeń obok innych dostępnych warunków przypisywania w zasadach dostępu warunkowego.
Typowe scenariusze
Istnieje wiele scenariuszy, które organizacje mogą teraz włączyć przy użyciu filtru dla warunku urządzeń. W poniższych scenariuszach przedstawiono przykłady użycia tego nowego warunku.
- Ogranicz dostęp do uprzywilejowanych zasobów. W tym przykładzie załóżmy, że chcesz zezwolić na dostęp do interfejsu API zarządzania usługami Platformy Windows Azure od użytkownika, który:
- Ma przypisaną rolę uprzywilejowaną.
- Ukończono uwierzytelnianie wieloskładnikowe.
- Znajduje się na urządzeniu, które jest uprzywilejowane lub bezpieczne stacje robocze administratora i jest zaświadczone jako zgodne.
- W tym scenariuszu organizacje tworzą dwie zasady dostępu warunkowego:
- Zasady 1: Wszyscy użytkownicy z rolą administratora, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami platformy Windows Azure oraz kontrola dostępu, udzielanie dostępu, ale wymagają uwierzytelniania wieloskładnikowego i wymagają oznaczenia urządzenia jako zgodnego.
- Zasady 2: Wszyscy użytkownicy z administratorem, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami Platformy Windows Azure, z wyłączeniem filtru dla urządzeń przy użyciu wyrażenia reguły device.extensionAttribute1 równa SAW i kontroli dostępu, Blokuj. Dowiedz się, jak zaktualizować atrybuty extensionAttributes w obiekcie urządzenia Entra firmy Microsoft.
- Blokuj dostęp do zasobów organizacji z urządzeń z nieobsługiwanym systemem operacyjnym. W tym przykładzie załóżmy, że chcesz zablokować dostęp do zasobów z systemu operacyjnego Windows w wersji starszej niż Windows 10. W tym scenariuszu organizacje tworzą następujące zasady dostępu warunkowego:
- Wszyscy użytkownicy, dostęp do wszystkich zasobów, z wyłączeniem filtru dla urządzeń przy użyciu wyrażenia reguły device.operatingSystem równa Windows i device.operatingSystemVersion rozpoczyna sięWith "10.0" i w przypadku kontroli dostępu, Blokuj.
- Nie wymagaj uwierzytelniania wieloskładnikowego dla określonych kont na określonych urządzeniach. W tym przykładzie załóżmy, że nie chcesz wymagać uwierzytelniania wieloskładnikowego w przypadku korzystania z kont usług na określonych urządzeniach, takich jak telefony usługi Teams lub urządzenia Surface Hub. W tym scenariuszu organizacje tworzą następujące dwie zasady dostępu warunkowego:
- Zasady 1: wszyscy użytkownicy z wyłączeniem kont usług, uzyskiwania dostępu do wszystkich zasobów i kontroli dostępu, Udzielanie dostępu, ale wymagają uwierzytelniania wieloskładnikowego.
- Zasady 2: Wybierz użytkowników i grupy i uwzględnij grupę zawierającą tylko konta usług, dostęp do wszystkich zasobów, z wyłączeniem filtru dla urządzeń przy użyciu wyrażenia reguły device.extensionAttribute2 nie równa się TeamsPhoneDevice i kontroli dostępu, Blokuj.
Uwaga
Microsoft Entra ID używa uwierzytelniania urządzenia do oceny reguł filtrowania urządzeń. W przypadku urządzenia, które jest wyrejestrowane za pomocą identyfikatora Entra firmy Microsoft, wszystkie właściwości urządzenia są uznawane za wartości null, a atrybuty urządzenia nie mogą być określane, ponieważ urządzenie nie istnieje w katalogu. Najlepszym sposobem kierowania zasad dla niezarejestrowanych urządzeń jest użycie operatora ujemnego, ponieważ skonfigurowana reguła filtru będzie stosowana. Jeśli używasz operatora dodatniego, reguła filtru będzie stosowana tylko wtedy, gdy urządzenie istnieje w katalogu, a skonfigurowana reguła jest zgodna z atrybutem na urządzeniu.
Tworzenie zasady dostępu warunkowego
Filtr dla urządzeń to opcjonalna kontrolka podczas tworzenia zasad dostępu warunkowego.
Poniższe kroki ułatwiają utworzenie dwóch zasad dostępu warunkowego w celu obsługi pierwszego scenariusza w obszarze Typowe scenariusze.
Zasady 1: Wszyscy użytkownicy z rolą administratora, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami platformy Windows Azure oraz kontrola dostępu, udzielanie dostępu, ale wymagają uwierzytelniania wieloskładnikowego i wymagają oznaczenia urządzenia jako zgodnego.
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>zasad dostępu>warunkowego.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
W obszarze Dołącz wybierz pozycję Role katalogu, a następnie wszystkie role z administratorem w nazwie.
Ostrzeżenie
Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.
W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
Wybierz pozycję Gotowe.
- W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)> Uwzględnij>pozycję Wybierz zasoby, wybierz pozycję Interfejs API zarządzania usługami platformy Windows Azure i wybierz pozycję Wybierz.
- W obszarze Kontrola>dostępu Udziel dostępu wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj, aby urządzenie było oznaczone jako zgodne, a następnie wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Zasady 2: Wszyscy użytkownicy z rolą administratora, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami Platformy Windows Azure, z wyłączeniem filtru dla urządzeń przy użyciu wyrażenia reguły device.extensionAttribute1 równa SAW i kontroli dostępu, Blokuj.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
W obszarze Uwzględnij wybierz pozycję Role katalogu, a następnie wszystkie role z administratorem w nazwie
Ostrzeżenie
Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.
W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
Wybierz pozycję Gotowe.
- W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)> Uwzględnij>pozycję Wybierz zasoby, wybierz pozycję Interfejs API zarządzania usługami platformy Windows Azure i wybierz pozycję Wybierz.
- W obszarze Warunki filtruj dla urządzeń.
- Przełącz pozycję Konfiguruj na tak.
- Ustaw opcję Urządzenia pasujące do reguły , aby wykluczyć odfiltrowane urządzenia z zasad.
- Ustaw właściwość na
ExtensionAttribute1
, operator naEquals
i wartość naSAW
. - Wybierz pozycję Gotowe.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp, a następnie wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Ostrzeżenie
Zasady wymagające zgodności urządzeń mogą monitować użytkowników na komputerach Mac, iOS i Android o wybranie certyfikatu urządzenia podczas oceny zasad, mimo że zgodność urządzenia nie jest wymuszana. Te monity mogą być powtarzane, dopóki urządzenie nie zostanie zgodne.
Ustawianie wartości atrybutów
Ustawienie atrybutów rozszerzenia jest możliwe za pośrednictwem interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji na temat ustawiania atrybutów urządzenia, zobacz artykuł Aktualizowanie urządzenia.
Filtrowanie pod kątem interfejsu API programu Graph urządzeń
Filtr dla interfejsu API urządzeń jest dostępny w punkcie końcowym programu Microsoft Graph w wersji 1.0 i można uzyskać do tego dostępu przy użyciu punktu końcowego https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/
. Filtr dla urządzeń można skonfigurować podczas tworzenia nowych zasad dostępu warunkowego lub zaktualizować istniejące zasady w celu skonfigurowania filtru dla warunków urządzeń. Aby zaktualizować istniejące zasady, możesz wykonać wywołanie poprawki w punkcie końcowym programu Microsoft Graph w wersji 1.0, dołączając identyfikator zasad istniejących zasad i wykonując następującą treść żądania. W tym przykładzie pokazano konfigurowanie filtru warunku urządzenia z wyłączeniem urządzeń, które nie są oznaczone jako urządzenia SAW. Składnia reguły może składać się z więcej niż jednego wyrażenia. Aby dowiedzieć się więcej o składni, zobacz reguły dla dynamicznych grup członkostwa dla grup w usłudze Microsoft Entra ID.
{
"conditions": {
"devices": {
"deviceFilter": {
"mode": "exclude",
"rule": "device.extensionAttribute1 -ne \"SAW\""
}
}
}
}
Obsługiwane operatory i właściwości urządzenia dla filtrów
Następujące atrybuty urządzenia mogą być używane z filtrem warunku urządzenia w dostępie warunkowym.
Uwaga
Microsoft Entra ID używa uwierzytelniania urządzenia do oceny reguł filtrowania urządzeń. W przypadku urządzenia, które jest wyrejestrowane za pomocą identyfikatora Entra firmy Microsoft, wszystkie właściwości urządzenia są uznawane za wartości null, a atrybuty urządzenia nie mogą być określane, ponieważ urządzenie nie istnieje w katalogu. Najlepszym sposobem kierowania zasad dla niezarejestrowanych urządzeń jest użycie operatora ujemnego, ponieważ skonfigurowana reguła filtru będzie stosowana. Jeśli używasz operatora dodatniego, reguła filtru będzie stosowana tylko wtedy, gdy urządzenie istnieje w katalogu, a skonfigurowana reguła jest zgodna z atrybutem na urządzeniu.
Obsługiwane atrybuty urządzenia | Obsługiwane operatory | Obsługiwane wartości | Przykład |
---|---|---|---|
deviceId | Equals, NotEquals, In, NotIn | Prawidłowy identyfikator deviceId, który jest identyfikatorem GUID | (device.deviceid -eq "aaaaaaa-0000-1111-2222-bbbbbbbbbb") |
displayName | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Dowolny ciąg | (device.displayName -contains "ABC") |
deviceOwnership | Równa się, NotEquals | Obsługiwane wartości to "Osobiste" dla urządzeń należących do firmy i "Firma" | (device.deviceOwnership -eq "Company") |
isCompliant | Równa się, NotEquals | Obsługiwane wartości to "True" dla zgodnych urządzeń i "False" dla niezgodnych urządzeń | (device.isCompliant -eq "True") |
manufacturer | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Dowolny ciąg | (device.manufacturer -startsWith "Microsoft") |
mdmAppId | Equals, NotEquals, In, NotIn | Prawidłowy identyfikator aplikacji MDM | (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cc4444"]) |
model | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Dowolny ciąg | (device.model -notContains "Surface") |
operatingSystem | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Prawidłowy system operacyjny (na przykład Windows, iOS lub Android) | (device.operatingSystem -eq "Windows") |
operatingSystemVersion | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | Prawidłowa wersja systemu operacyjnego (na przykład 6.1 dla systemu Windows 7, 6.2 dla systemu Windows 8 lub 10.0 dla systemów Windows 10 i Windows 11) | (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"]) |
physicalIds | Zawiera, NotContains | Na przykład wszystkie urządzenia rozwiązania Windows Autopilot przechowują identyfikator ZTDId (unikatową wartość przypisaną do wszystkich zaimportowanych urządzeń rozwiązania Windows Autopilot) we właściwości physicalIds urządzenia. | (device.physicalIds -contains "[ZTDId]:value") |
profileType | Równa się, NotEquals | Prawidłowy typ profilu ustawiony dla urządzenia. Obsługiwane wartości to: RegisteredDevice (ustawienie domyślne), SecureVM (używane dla maszyn wirtualnych z systemem Windows na platformie Azure z włączonym logowaniem firmy Microsoft Entra), drukarka (używana do drukarek), udostępniona (używana dla urządzeń udostępnionych), IoT (używana dla urządzeń udostępnionych) | (device.profileType -eq "Drukarka") |
systemLabels | Zawiera, NotContains | Lista etykiet zastosowanych do urządzenia przez system. Niektóre z obsługiwanych wartości to: AzureResource (używana dla maszyn wirtualnych z systemem Windows na platformie Azure z obsługą logowania microsoft Entra), M365Managed (używana do zarządzania urządzeniami przy użyciu programu Microsoft Managed Desktop), MultiUser (używana dla urządzeń udostępnionych) | (device.systemLabels —contains "M365Managed") |
trustType | Równa się, NotEquals | Prawidłowy stan zarejestrowany dla urządzeń. Obsługiwane wartości to: AzureAD (używana dla urządzeń dołączonych do firmy Microsoft), ServerAD (używana w przypadku urządzeń dołączonych hybrydowych firmy Microsoft Entra), Workplace (używana dla zarejestrowanych urządzeń firmy Microsoft Entra) | (device.trustType -eq "ServerAD") |
extensionAttribute1-15 | Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn | extensionAttributes1-15 to atrybuty, których klienci mogą używać dla obiektów urządzeń. Klienci mogą zaktualizować dowolne rozszerzenieAttributes1 do 15 przy użyciu wartości niestandardowych i użyć ich w filtrze warunku urządzenia w dostępie warunkowym. Można użyć dowolnej wartości ciągu. | (device.extensionAttribute1 -eq "SAW") |
Uwaga
Podczas tworzenia złożonych reguł lub używania zbyt wielu pojedynczych identyfikatorów, takich jak deviceid dla tożsamości urządzeń, należy pamiętać, że "Maksymalna długość reguły filtru wynosi 3072 znaki".
Uwaga
Operatory Contains
i NotContains
działają inaczej w zależności od typów atrybutów. W przypadku atrybutów ciągów, takich jak operatingSystem
i model
, operator wskazuje, Contains
czy określone podciąg ma miejsce w atrybucie. W przypadku atrybutów kolekcji ciągów, takich jak physicalIds
i systemLabels
, operator wskazuje, Contains
czy określony ciąg pasuje do jednego z całych ciągów w kolekcji.
Ostrzeżenie
Urządzenia muszą być zarządzane, zgodne lub dołączone hybrydowo do firmy Microsoft Entra, aby wartość została udostępniona w rozszerzeniuAttributes1-15 w momencie oceny zasad dostępu warunkowego.
Zachowanie zasad z filtrem dla urządzeń
Filtr warunku urządzenia w obszarze Dostęp warunkowy ocenia zasady na podstawie atrybutów urządzenia zarejestrowanego urządzenia w identyfikatorze Entra firmy Microsoft, dlatego ważne jest, aby zrozumieć, w jakich okolicznościach zasady są stosowane lub nie są stosowane. W poniższej tabeli przedstawiono zachowanie podczas konfigurowania filtru dla warunku urządzenia.
Filtrowanie pod kątem warunku urządzenia | Stan rejestracji urządzenia | Zastosowany filtr urządzenia |
---|---|---|
Tryb dołączania/wykluczania z operatorami dodatnimi (Equals, StartsWith, EndsWith, Contains, In) i używanie dowolnych atrybutów | Niezarejestrowane urządzenie | Nie. |
Tryb dołączania/wykluczania z operatorami dodatnimi (Equals, StartsWith, EndsWith, Contains, In) i używanie atrybutów z wyłączeniem atrybutów extensionAttributes1-15 | Zarejestrowane urządzenie | Tak, jeśli kryteria są spełnione |
Tryb dołączania/wykluczania z operatorami dodatnimi (Equals, StartsWith, EndsWith, Contains, In) i używanie atrybutów, w tym extensionAttributes1-15 | Zarejestrowane urządzenie zarządzane przez usługę Intune | Tak, jeśli kryteria są spełnione |
Tryb dołączania/wykluczania z operatorami dodatnimi (Equals, StartsWith, EndsWith, Contains, In) i używanie atrybutów, w tym extensionAttributes1-15 | Zarejestrowane urządzenie nie jest zarządzane przez usługę Intune | Tak, jeśli zostały spełnione kryteria. Gdy są używane atrybuty extensionAttributes1-15, zasady mają zastosowanie, jeśli urządzenie jest zgodne lub dołączone hybrydowo do firmy Microsoft Entra |
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów | Niezarejestrowane urządzenie | Tak |
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów wykluczających atrybuty extensionAttributes1-15 | Zarejestrowane urządzenie | Tak, jeśli kryteria są spełnione |
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów, w tym extensionAttributes1-15 | Zarejestrowane urządzenie zarządzane przez usługę Intune | Tak, jeśli kryteria są spełnione |
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów, w tym extensionAttributes1-15 | Zarejestrowane urządzenie nie jest zarządzane przez usługę Intune | Tak, jeśli zostały spełnione kryteria. Gdy są używane atrybuty extensionAttributes1-15, zasady mają zastosowanie, jeśli urządzenie jest zgodne lub dołączone hybrydowo do firmy Microsoft Entra |