Wymagaj urządzenia zgodnego, urządzenia z hybrydowym dołączeniem do Microsoft Entra lub uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.

Organizacje wdrażające usługę Microsoft Intune mogą używać informacji zwracanych z urządzeń w celu zidentyfikowania urządzeń spełniających wymagania dotyczące zgodności, takie jak:

• Wymaganie numeru PIN do odblokowania
• Wymaganie szyfrowania urządzenia
• Wymaganie minimalnej lub maksymalnej wersji systemu operacyjnego
• Wymóg dotyczący urządzenia to brak jailbreaka lub roota.

Informacje o zgodności zasad są wysyłane do Microsoft Entra ID, gdzie dostęp warunkowy decyduje o udzieleniu lub zablokowaniu dostępu do zasobów. Więcej informacji na temat zasad zgodności urządzeń można znaleźć w artykule Ustawianie reguł na urządzeniach w celu zezwolenia na dostęp do zasobów w organizacji przy użyciu usługi Intune

Wymóg posiadania urządzenia hybrydowo dołączonego do Microsoft Entra zależy od tego, czy urządzenia są już hybrydowo dołączone do Microsoft Entra. Aby uzyskać więcej informacji, zobacz artykuł Konfigurowanie hybrydowego dołączenia Microsoft Entra.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta awaryjne, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości aplikacji, aby zdefiniować zasady przeznaczone dla obiektów usługi.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki ułatwiają utworzenie zasad dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego, aby urządzenia uzyskujące dostęp do zasobów były oznaczone jako zgodne z zasadami zgodności usługi Intune w organizacji lub były hybrydowo dołączone do Microsoft Entra.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Warunkowy Dostęp>Zasady.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości robocze.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz:
      1. Wybierz użytkowników i grupy
         1. Wybierz konta awaryjne lub konta break-glass organizacji.
         2. Jeśli używasz rozwiązań tożsamości hybrydowych, takich jak Microsoft Entra Connect lub Microsoft Entra Connect Cloud Sync, wybierz pozycję role katalogu , a następnie wybierz pozycję konta synchronizacji katalogów
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
   1. Jeśli musisz wykluczyć określone aplikacje z zasad, możesz wybrać je z karty Wykluczanie w obszarze Wybierz wykluczone aplikacje w chmurze i wybrać pozycję Wybierz.
7. Pod Kontrolami dostępu>Udziel.
   1. Wybierz Wymagaj uwierzytelniania wieloskładnikowego, Wymagaj oznaczenia urządzenia jako zgodnego i Wymagaj hybrydowo przyłączonego urządzenia Microsoft Entra
   2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednego z wybranych kontrolek.
   3. Wybierz Wybierz.
8. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
9. Wybierz Utwórz, aby włączyć zasady.

Po tym, jak administratorzy potwierdzą ustawienia w trybie tylko raportowania, mogą przenieść przełącznik włączania polityki z Tylko raportowanie do Włączone.

Uwaga

Nowe urządzenia można zarejestrować w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla pozycji Wszyscy użytkownicy i Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") przy użyciu poprzednich kroków. Wymagaj, aby urządzenie było oznaczone jako zgodne kontrola nie blokuje rejestracji w usłudze Intune i dostępu do aplikacji Portal firmy Microsoft Intune.

Znane zachowanie

W systemach iOS, Android, macOS i niektórych przeglądarkach sieci Web innych niż Microsoft identyfikator Entra identyfikuje urządzenie przy użyciu certyfikatu klienta, który jest aprowizowany, gdy urządzenie jest zarejestrowane w usłudze Microsoft Entra ID. Gdy użytkownik po raz pierwszy zaloguje się za pośrednictwem przeglądarki, zostanie wyświetlony monit o wybranie certyfikatu. Użytkownik końcowy musi wybrać ten certyfikat, zanim będzie mógł nadal korzystać z przeglądarki.

Aktywacja subskrypcji

Organizacje korzystające z funkcji aktywacji subskrypcji, aby umożliwić użytkownikom przejście z jednej wersji systemu Windows do innej oraz stosowanie zasad dostępu warunkowego do kontroli dostępu, muszą wykluczyć jedną z następujących aplikacji w chmurze ze swoich zasad przy użyciu funkcji Wybierz wykluczone aplikacje w chmurze.

• Interfejsy API Usługi Universal Store i aplikacja internetowa, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Sklep Windows dla firm, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Mimo że identyfikator aplikacji jest taki sam w obu wystąpieniach, nazwa aplikacji cloudowej zależy od najemcy.

Jeśli urządzenie jest w trybie offline przez dłuższy czas, urządzenie może nie zostać ponownie aktywowane automatycznie, jeśli to wykluczenie dostępu warunkowego nie zostanie wprowadzone. Ustawienie tego wykluczenia dostępu warunkowego gwarantuje, że aktywacja subskrypcji będzie nadal bezproblemowo działać.

Począwszy od systemu Windows 11, wersja 23H2 z KB5034848 lub nowszym, użytkownicy są monitowani o uwierzytelnienie za pomocą wyskakującym powiadomieniem, gdy aktywacja subskrypcji musi ponownie aktywować. Powiadomienie toast wyświetla następujący komunikat:

Twoje konto wymaga uwierzytelniania

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Ponadto w okienku Aktywacja może zostać wyświetlony następujący komunikat:

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Monit o uwierzytelnienie zwykle występuje, gdy urządzenie jest w trybie offline przez dłuższy czas. Ta zmiana eliminuje konieczność wykluczenia w zasadach dostępu warunkowego dla systemu Windows 11 w wersji 23H2 z KB5034848 lub nowszym. Zasady dostępu warunkowego mogą być nadal używane w systemie Windows 11 w wersji 23H2 z KB5034848 lub nowszym, jeśli nie jest wymagany monit o uwierzytelnienie użytkownika za pośrednictwem wyskakującego powiadomienia.

Następne kroki

Szablony dostępu warunkowego

Określanie wyniku za pomocą trybu raportowania tylko dostępu warunkowego

Użyj trybu tylko do raportowania dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.

Zasady zgodności urządzeń działają z identyfikatorem Entra firmy Microsoft