Udostępnij za pośrednictwem


Warunki w dostępie warunkowym

W ramach zasad dostępu warunkowego administrator może użyć co najmniej jednego sygnału w celu ulepszenia decyzji dotyczących zasad.

Zrzut ekranu przedstawiający dostępne warunki dla zasad dostępu warunkowego w centrum administracyjnym firmy Microsoft Entra.

W celu utworzenia szczegółowych i określonych zasad dostępu warunkowego można połączyć wiele warunków.

Gdy użytkownicy uzyskują dostęp do poufnej aplikacji, administrator może uwzględniać wiele warunków w podejmowaniu decyzji dotyczących dostępu, takich jak:

  • Informacje o ryzyku logowania z usługi ID Protection
  • Lokalizacja sieciowa
  • Informacje o urządzeniu

Ryzyko związane z użytkownikiem

Administratorzy z dostępem do ochrony identyfikatorów mogą oceniać ryzyko użytkownika w ramach zasad dostępu warunkowego. Ryzyko użytkownika reprezentuje prawdopodobieństwo naruszenia zabezpieczeń danej tożsamości lub konta. Więcej informacji o ryzyku użytkowników można znaleźć w artykułach Co to jest ryzyko i Instrukcje: Konfigurowanie i włączanie zasad ryzyka.

Ryzyko związane z logowaniem

Administratorzy z dostępem do ochrony identyfikatorów mogą oceniać ryzyko logowania w ramach zasad dostępu warunkowego. Ryzyko logowania reprezentuje prawdopodobieństwo, że dane żądanie uwierzytelnienia nie zostało wykonane przez właściciela tożsamości. Więcej informacji na temat ryzyka związanego z logowaniem można znaleźć w artykułach Co to jest ryzyko i Instrukcje: Konfigurowanie i włączanie zasad ryzyka.

Ryzyko ze strony osób wewnątrz

Administratorzy z dostępem do funkcji adaptacyjnej ochrony usługi Microsoft Purview mogą uwzględniać sygnały o podwyższonym ryzyku od firmy Microsoft Purview do decyzji dotyczących zasad dostępu warunkowego. Ryzyko niejawne uwzględnia ład danych, bezpieczeństwo danych oraz konfiguracje ryzyka i zgodności firmy Microsoft Purview. Te sygnały są oparte na czynnikach kontekstowych, takich jak:

  • Zachowanie użytkownika
  • Wzorce historyczne
  • Wykrywanie anomalii

Ten warunek umożliwia administratorom używanie zasad dostępu warunkowego do podejmowania działań, takich jak blokowanie dostępu, wymaganie silniejszych metod uwierzytelniania lub wymaganie akceptacji warunków użytkowania.

Ta funkcja obejmuje włączenie parametrów, które w szczególności dotyczą potencjalnych zagrożeń wynikających z organizacji. Konfigurując dostęp warunkowy w celu rozważenia ryzyka niejawnego, administratorzy mogą dostosować uprawnienia dostępu na podstawie kontekstowych czynników, takich jak zachowanie użytkownika, wzorce historyczne i wykrywanie anomalii.

Aby uzyskać więcej informacji, zobacz artykuł Konfigurowanie i włączanie zasad opartych na ryzyku niejawnym.

Platformy urządzeń

Dostęp warunkowy identyfikuje platformę urządzeń przy użyciu informacji dostarczonych przez urządzenie, takich jak ciągi agenta użytkownika. Ponieważ można modyfikować ciągi agenta użytkownika, te informacje są niezweryfikowane. Platforma urządzeń powinna być używana we współpracy z zasadami zgodności urządzeń usługi Microsoft Intune lub jako część instrukcji bloku. Ustawieniem domyślnym jest zastosowanie do wszystkich platform urządzeń.

Dostęp warunkowy obsługuje następujące platformy urządzeń:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Jeśli zablokujesz starsze uwierzytelnianie przy użyciu warunku Inne klienci , możesz również ustawić warunek platformy urządzenia.

Nie obsługujemy wybierania platform urządzeń z systemem macOS lub Linux podczas wybierania pozycji Wymagaj zatwierdzonej aplikacji klienckiej lub Wymagaj zasad ochrony aplikacji jako jedynego udzielenia kontroli lub po wybraniu opcji Wymagaj wszystkich wybranych kontrolek.

Ważne

Firma Microsoft zaleca stosowanie zasad dostępu warunkowego dla nieobsługiwanych platform urządzeń. Jeśli na przykład chcesz zablokować dostęp do zasobów firmowych z systemu operacyjnego Chrome lub innych nieobsługiwanych klientów, należy skonfigurować zasady z warunkiem Platformy urządzeń, które obejmują dowolne urządzenie i wyklucza obsługiwane platformy urządzeń, i ustaw opcję Udziel kontroli na wartość Blokuj dostęp.

Lokalizacje

Warunek lokalizacji został przeniesiony.

Aplikacje klienckie

Domyślnie wszystkie nowo utworzone zasady dostępu warunkowego mają zastosowanie do wszystkich typów aplikacji klienckich, nawet jeśli warunek aplikacji klienckich nie jest skonfigurowany.

Uwaga

Zachowanie warunku aplikacji klienckich zostało zaktualizowane w sierpniu 2020 r. Jeśli masz istniejące zasady dostępu warunkowego, pozostaną niezmienione. Jeśli jednak klikniesz istniejące zasady, przełącznik Konfiguruj został usunięty, a aplikacje klienckie, do których mają zastosowanie zasady.

Ważne

Logowania ze starszych klientów uwierzytelniania nie obsługują uwierzytelniania wieloskładnikowego (MFA) i nie przekazują informacji o stanie urządzenia, dlatego są blokowane przez mechanizmy kontroli udzielania dostępu warunkowego, takie jak wymaganie uwierzytelniania wieloskładnikowego lub zgodnych urządzeń. Jeśli masz konta, które muszą używać starszego uwierzytelniania, musisz wykluczyć te konta z zasad lub skonfigurować zasady tak, aby miały zastosowanie tylko do nowoczesnych klientów uwierzytelniania.

Przełącznik Konfiguruj po ustawieniu wartości Tak ma zastosowanie do zaznaczonych elementów, a po ustawieniu pozycji Nie ma zastosowanie do wszystkich aplikacji klienckich, w tym nowoczesnych i starszych klientów uwierzytelniania. Ten przełącznik nie jest wyświetlany w zasadach utworzonych przed sierpniem 2020 r.

  • Klienci nowoczesnego uwierzytelniania
    • Przeglądarka
      • Należą do nich aplikacje internetowe korzystające z protokołów takich jak SAML, WS-Federation, OpenID Connect lub usługi zarejestrowane jako poufny klient OAuth.
    • Aplikacje mobilne i klienci klasyczni
      • Ta opcja obejmuje aplikacje, takie jak aplikacje klasyczne i telefoniczne pakietu Office.
  • Starsi klienci uwierzytelniania
    • Klienci programu Exchange ActiveSync
      • Ten wybór obejmuje wszystkie zastosowania protokołu Exchange ActiveSync (EAS).
      • Gdy zasady blokują użycie programu Exchange ActiveSync, użytkownik, którego dotyczy problem, otrzymuje pojedynczą wiadomość e-mail z kwarantanny. Ten adres e-mail zawiera informacje o tym, dlaczego są blokowane i zawierają instrukcje korygowania, jeśli są w stanie.
      • Administratorzy mogą stosować zasady tylko do obsługiwanych platform (takich jak iOS, Android i Windows) za pośrednictwem interfejsu API programu Microsoft Graph dostępu warunkowego.
    • Inni klienci
      • Ta opcja obejmuje klientów korzystających z podstawowych/starszych protokołów uwierzytelniania, które nie obsługują nowoczesnego uwierzytelniania.
        • SMTP — używany przez klienta POP i IMAP do wysyłania wiadomości e-mail.
        • Automatyczne wykrywanie — używane przez klientów programu Outlook i EAS do znajdowania skrzynek pocztowych w usłudze Exchange Online i łączenia się z nimi.
        • Exchange Online PowerShell — służy do nawiązywania połączenia z usługą Exchange Online za pomocą zdalnego programu PowerShell. Jeśli zablokujesz uwierzytelnianie podstawowe dla programu PowerShell usługi Exchange Online, musisz użyć modułu programu PowerShell usługi Exchange Online, aby nawiązać połączenie. Aby uzyskać instrukcje, zobacz Connect to Exchange Online PowerShell using multifactor authentication (Nawiązywanie połączenia z programem Exchange Online przy użyciu uwierzytelniania wieloskładnikowego).
        • Exchange Web Services (EWS) — interfejs programowania używany przez program Outlook, Outlook dla komputerów Mac i aplikacje innych firm.
        • IMAP4 — używany przez klientów poczty e-mail IMAP.
        • MAPI za pośrednictwem protokołu HTTP (MAPI/HTTP) — używane przez program Outlook 2010 lub nowszy.
        • Książka adresowa trybu offline (OAB) — kopia kolekcji list adresowych, które są pobierane i używane przez program Outlook.
        • Outlook Anywhere (RPC over HTTP) — używany przez program Outlook 2016 i starsze wersje.
        • Usługa Outlook — używana przez aplikację Poczta i kalendarz dla systemu Windows 10.
        • POP3 — używany przez klientów poczty e-mail POP.
        • Reporting Web Services — służy do pobierania danych raportu w usłudze Exchange Online.

Te warunki są często używane do:

  • Wymaganie urządzenia zarządzanego
  • Blokuj starsze uwierzytelnianie
  • Blokuj aplikacje internetowe, ale zezwalaj na aplikacje mobilne lub klasyczne

Obsługiwane przeglądarki

To ustawienie działa ze wszystkimi przeglądarkami. Jednak w celu spełnienia zasad urządzenia, takich jak zgodne wymaganie dotyczące urządzenia, obsługiwane są następujące systemy operacyjne i przeglądarki. Systemy operacyjne i przeglądarki poza podstawową obsługą nie są wyświetlane na tej liście:

Systemy operacyjne Przeglądarkach
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (zobacz uwagi)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari
Linux Desktop Microsoft Edge

Te przeglądarki obsługują uwierzytelnianie urządzeń, dzięki czemu urządzenie może być identyfikowane i weryfikowane względem zasad. Sprawdzanie urządzenia kończy się niepowodzeniem, jeśli przeglądarka jest uruchomiona w trybie prywatnym lub jeśli pliki cookie są wyłączone.

Uwaga

Przeglądarka Edge 85+ wymaga zalogowania użytkownika do przeglądarki w celu prawidłowego przekazania tożsamości urządzenia. W przeciwnym razie zachowuje się jak Chrome bez rozszerzenia Microsoft Logowanie jednokrotne. To logowanie może nie nastąpić automatycznie w scenariuszu dołączania urządzeń hybrydowych.

Przeglądarka Safari jest obsługiwana w przypadku dostępu warunkowego opartego na urządzeniach na urządzeniu zarządzanym, ale nie może spełniać warunków zasad Wymagaj zatwierdzonej aplikacji klienckiej lub Wymagaj ochrony aplikacji. Program Managed Browser, taki jak Przeglądarka Microsoft Edge, spełnia zatwierdzone wymagania dotyczące aplikacji klienckich i zasad ochrony aplikacji. W systemie iOS z rozwiązaniem MDM innej firmy tylko przeglądarka Microsoft Edge obsługuje zasady urządzeń.

Przeglądarka Firefox 91+ jest obsługiwana w przypadku dostępu warunkowego opartego na urządzeniach, ale należy włączyć opcję "Zezwalaj na logowanie jednokrotne systemu Windows dla kont firmy Microsoft, służbowych i szkolnych".

Przeglądarka Chrome 111+ jest obsługiwana w przypadku dostępu warunkowego opartego na urządzeniach, ale opcja "CloudApAuthEnabled" musi być włączona.

Urządzenia z systemem macOS korzystające z wtyczki enterprise SSO wymagają rozszerzenia microsoft Logowanie jednokrotne do obsługi logowania jednokrotnego i dostępu warunkowego opartego na urządzeniach w przeglądarce Google Chrome.

Dlaczego w przeglądarce jest wyświetlany monit o certyfikat

Na urządzeniach z systemem Windows 7, iOS, Android i macOS są identyfikowane przy użyciu certyfikatu klienta. Ten certyfikat jest aprowizowany po zarejestrowaniu urządzenia. Gdy użytkownik po raz pierwszy zaloguje się za pośrednictwem przeglądarki, zostanie wyświetlony monit o wybranie certyfikatu. Użytkownik musi wybrać ten certyfikat przed użyciem przeglądarki.

Obsługa programu Chrome

Windows

W przypadku obsługi programu Chrome w Aktualizacja systemu Windows 10 dla twórców (wersja 1703) lub nowszej zainstaluj rozszerzenie Microsoft Logowanie jednokrotne lub włącz rozszerzenie CloudAPAuthEnabled przeglądarki Chrome. Te konfiguracje są wymagane, gdy zasady dostępu warunkowego wymagają szczegółowych informacji specyficznych dla urządzeń dla platform systemu Windows.

Aby automatycznie włączyć zasady CloudAPAuthEnabled w przeglądarce Chrome, utwórz następujący klucz rejestru:

  • Ścieżka: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome
  • Nazwa: CloudAPAuthEnabled
  • Wartość: 0x00000001
  • Typ właściwości: DWORD

Aby automatycznie wdrożyć rozszerzenie Microsoft Logowanie jednokrotne w przeglądarkach Chrome, utwórz następujący klucz rejestru przy użyciu zasad ExtensionInstallForcelist w przeglądarce Chrome:

  • Ścieżka: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Nazwa: 1
  • Typ: REG_SZ (String)
  • Dane: ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

W przypadku obsługi programu Chrome w systemach Windows 8.1 i 7 utwórz następujący klucz rejestru:

  • Ścieżka: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Nazwa: 1
  • Typ: REG_SZ (String)
  • Dane: {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS

Urządzenia z systemem macOS korzystające z wtyczki enterprise SSO wymagają rozszerzenia microsoft Logowanie jednokrotne do obsługi logowania jednokrotnego i dostępu warunkowego opartego na urządzeniach w przeglądarce Google Chrome.

W przypadku wdrożeń opartych na oprogramowaniu MDM programu Google Chrome i zarządzania rozszerzeniami zobacz Konfigurowanie przeglądarki Chrome na komputerach Mac i ExtensionInstallForcelist.

Obsługiwane aplikacje mobilne i klienci stacjonni

Administratorzy mogą wybrać aplikacje mobilne i klientów klasycznych jako aplikację kliencją.

To ustawienie ma wpływ na próby dostępu z następujących aplikacji mobilnych i klientów stacjonarnych:

Aplikacje klienckie Usługa docelowa Platforma
Aplikacja Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS i Android
Aplikacja Poczta/Kalendarz/Osoby, Outlook 2016, Outlook 2013 (z nowoczesnym uwierzytelnianiem) Exchange Online Windows 10
Uwierzytelnianie wieloskładnikowe i zasady lokalizacji dla aplikacji. Zasady oparte na urządzeniach nie są obsługiwane. Dowolna usługa aplikacji Moje aplikacje Android i iOS
Microsoft Teams Services — ta aplikacja kliencka kontroluje wszystkie usługi, które obsługują usługę Microsoft Teams i wszystkie aplikacje klienckie — Windows Desktop, iOS, Android, WP i klient internetowy Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android i macOS
Aplikacje pakietu Office 2016, Pakiet Office 2013 (z nowoczesnym uwierzytelnianiem), klient synchronizacja usługi OneDrive SharePoint Windows 8.1, Windows 7
Aplikacje pakietu Office 2016, uniwersalne aplikacja pakietu Office, pakiet Office 2013 (z nowoczesnym uwierzytelnianiem), klient synchronizacja usługi OneDrive SharePoint Online Windows 10
Office 2016 (tylko programy Word, Excel, PowerPoint, OneNote). SharePoint macOS
Pakiet Office 2019 SharePoint Windows 10, macOS
Aplikacje pakietu Office Mobile SharePoint Android, iOS
Aplikacja Usługi Yammer pakietu Office Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office dla systemu macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (z nowoczesnym uwierzytelnianiem), Skype dla firm (z nowoczesnym uwierzytelnianiem) Exchange Online Windows 8.1, Windows 7
Aplikacja mobilna Outlook Exchange Online Android, iOS
Aplikacje Power BI Usługa Power BI Windows 10, Windows 8.1, Windows 7, Android i iOS
Skype dla firm Exchange Online Android, iOS
Aplikacja Azure DevOps Services (dawniej Visual Studio Team Services lub VSTS) Azure DevOps Services (dawniej Visual Studio Team Services lub VSTS) Windows 10, Windows 8.1, Windows 7, iOS i Android

Klienci programu Exchange ActiveSync

  • Administratorzy mogą wybierać tylko klientów programu Exchange ActiveSync podczas przypisywania zasad do użytkowników lub grup. Wybranie pozycji Wszyscy użytkownicy, Wszyscy użytkownicy-goście i użytkownicy zewnętrzni lub Role katalogu powoduje, że wszyscy użytkownicy będą podlegać zasadom.
  • Gdy administratorzy tworzą zasady przypisane do klientów programu Exchange ActiveSync, usługa Exchange Online powinna być jedyną aplikacją w chmurze przypisaną do zasad.
  • Administratorzy mogą zawęzić zakres tych zasad do określonych platform przy użyciu warunku Platformy urządzeń.

Jeśli kontrola dostępu przypisana do zasad używa opcji Wymagaj zatwierdzonej aplikacji klienckiej, użytkownik zostanie skierowany do zainstalowania klienta mobilnego programu Outlook i korzystania z niego. W przypadku, gdy wymagane jest uwierzytelnianie wieloskładnikowe, warunki użytkowania lub kontrolki niestandardowe, których dotyczy problem, użytkownicy są blokowani, ponieważ uwierzytelnianie podstawowe nie obsługuje tych kontrolek.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Inni klienci

Wybierając pozycję Inni klienci, możesz określić warunek, który ma wpływ na aplikacje korzystające z uwierzytelniania podstawowego z protokołami poczty, takimi jak IMAP, MAPI, POP, SMTP i starsze aplikacja pakietu Office, które nie korzystają z nowoczesnego uwierzytelniania.

Stan urządzenia (przestarzałe)

Ten warunek był przestarzały. Klienci powinni użyć filtru dla warunków urządzeń w zasadach dostępu warunkowego, aby spełnić scenariusze wcześniej osiągnięte przy użyciu warunku stanu urządzenia.

Ważne

Stan urządzenia i filtry dla urządzeń nie mogą być używane razem w zasadach dostępu warunkowego. Filtry dla urządzeń zapewniają bardziej szczegółowe określanie wartości docelowych, w tym obsługę określania wartości docelowej informacji o stanie urządzenia za pośrednictwem trustType właściwości i isCompliant .

Filtr dla urządzeń

Gdy administratorzy konfigurują filtr dla urządzeń jako warunek, mogą dołączać lub wykluczać urządzenia na podstawie filtru przy użyciu wyrażenia reguły we właściwościach urządzenia. Wyrażenie reguły dla filtru dla urządzeń może być tworzone przy użyciu konstruktora reguł lub składni reguły. To środowisko jest podobne do tego, które jest używane dla reguł dla dynamicznych grup członkostwa dla grup. Aby uzyskać więcej informacji, zobacz artykuł Dostęp warunkowy: filtr dla urządzeń.

Przepływy uwierzytelniania (wersja zapoznawcza)

Przepływy uwierzytelniania kontrolują sposób korzystania z określonych protokołów uwierzytelniania i autoryzacji oraz udzielania. Te przepływy mogą zapewnić bezproblemowe środowisko dla urządzeń, które mogą nie mieć lokalnych urządzeń wejściowych, takich jak urządzenia udostępnione lub znakowania cyfrowego. Ta kontrolka służy do konfigurowania metod transferu, takich jak przepływ kodu urządzenia lub transfer uwierzytelniania.

Następne kroki