Udostępnij za pośrednictwem

Dostęp warunkowy: filtrowanie urządzeń

  • Artykuł

Gdy administratorzy tworzą zasady dostępu warunkowego, możliwość kierowania lub wykluczania określonych urządzeń w ich środowisku jest typowym zadaniem. Filtr warunku dla urządzeń zapewnia administratorom możliwość ukierunkowania na określone urządzenia. Administratorzy mogą używać obsługiwanych operatorów i właściwości filtrów urządzeń obok innych dostępnych warunków przypisywania w zasadach dostępu warunkowego.

Tworzenie filtru dla urządzenia w warunkach zasad dostępu warunkowego

Typowe scenariusze

Istnieje wiele scenariuszy, które organizacje mogą teraz włączyć za pomocą filtru warunków urządzeń. W poniższych scenariuszach przedstawiono przykłady użycia tego nowego warunku.

  • Ogranicz dostęp do uprzywilejowanych zasobów. W tym przykładzie załóżmy, że chcesz zezwolić na dostęp do interfejsu API zarządzania usługami Platformy Windows Azure od użytkownika, który:
    • Ma przypisaną rolę uprzywilejowaną.
    • Ukończono uwierzytelnianie wieloskładnikowe.
    • Znajduje się na urządzeniu, które jest uprzywilejowaną lub zabezpieczoną stacją roboczą administratora i jest uznane za zgodne.
    • W tym scenariuszu organizacje tworzą dwie zasady dostępu warunkowego:
      • Zasady 1: Wszyscy użytkownicy z rolą administratora, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami platformy Windows Azure oraz kontrola dostępu, udzielanie dostępu, ale wymagają uwierzytelniania wieloskładnikowego i wymagają oznaczenia urządzenia jako zgodnego.
      • Zasady 2: Wszyscy użytkownicy z uprawnieniami administratora, uzyskujący dostęp do chmurowej aplikacji interfejsu API zarządzania usługami Windows Azure, z wyłączeniem filtru dla urządzeń, które spełniają wyrażenie reguły device.extensionAttribute1 równe SAW, oraz w przypadku kontroli dostępu, Blokowanie. Dowiedz się, jak zaktualizować atrybuty extensionAttributes w obiekcie urządzenia Entra firmy Microsoft.
  • Blokuj dostęp do zasobów organizacji z urządzeń z nieobsługiwanym systemem operacyjnym. W tym przykładzie załóżmy, że chcesz zablokować dostęp do zasobów z systemu operacyjnego Windows w wersji starszej niż Windows 10. W tym scenariuszu organizacje tworzą następujące zasady dostępu warunkowego:
    • Wszyscy użytkownicy mający dostęp do wszystkich zasobów, z wykluczeniem filtracji urządzeń za pomocą wyrażenia reguły device.operatingSystem równego Windows oraz gdy device.operatingSystemVersion zaczyna się od "10.0", a dla kontroli dostępu, Blokuj.
  • Nie wymagaj uwierzytelniania wieloskładnikowego dla określonych kont na określonych urządzeniach. W tym przykładzie załóżmy, że nie chcesz wymagać uwierzytelniania wieloskładnikowego w przypadku korzystania z kont usług na określonych urządzeniach, takich jak telefony usługi Teams lub urządzenia Surface Hub. W tym scenariuszu organizacje tworzą następujące dwie zasady dostępu warunkowego:
    • Zasada 1: Wszyscy użytkownicy z wyjątkiem kont usługowych, uzyskujący dostęp do wszystkich zasobów. Kontrole dostępu: przyznanie dostępu, jednak wymagana jest uwierzytelnianie wieloskładnikowe.
    • Zasady 2: Wybierz użytkowników i grupy oraz uwzględnij grupę zawierającą tylko konta usług, mającą dostęp do wszystkich zasobów, z wyłączeniem urządzeń, dla których, przy użyciu wyrażenia reguły, device.extensionAttribute2 nie jest równe TeamsPhoneDevice, oraz dla kontroli dostępu, aby zablokować.

Uwaga

Microsoft Entra ID używa uwierzytelniania urządzenia do oceny reguł filtrowania urządzeń. W przypadku urządzenia, które nie jest zarejestrowane w Microsoft Entra ID, wszystkie właściwości urządzenia są uznawane za wartości null, a atrybuty urządzenia nie mogą być określone, ponieważ urządzenie nie istnieje w katalogu. Najlepszym sposobem wyznaczania zasad dla niezarejestrowanych urządzeń jest użycie operatora negatywnego, ponieważ skonfigurowana reguła filtru będzie stosowana. Jeśli używasz operatora dodatniego, reguła filtru będzie stosowana tylko wtedy, gdy urządzenie istnieje w katalogu, a skonfigurowana reguła jest zgodna z atrybutem na urządzeniu.

Tworzenie zasady dostępu warunkowego

Filtr dla urządzeń to opcjonalna kontrolka podczas tworzenia zasad dostępu warunkowego.

Poniższe kroki ułatwiają utworzenie dwóch zasad dostępu warunkowego w celu obsługi pierwszego scenariusza w obszarze Typowe scenariusze.

Zasady 1: Wszyscy użytkownicy z rolą administratora, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami platformy Windows Azure oraz kontrola dostępu, udzielanie dostępu, ale wymagają uwierzytelniania wieloskładnikowego i wymagają oznaczenia urządzenia jako zgodnego.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążenia.

    1. W obszarze Dołącz, wybierz Role katalogu, a następnie wszystkie role, które mają administratora w nazwie.

      Ostrzeżenie

      Zasady dostępu warunkowego obsługują wbudowane role. Zasady kontroli dostępu warunkowego nie są wymuszane dla innych typów ról, w tym dla [jednostek administracyjnych o zakresie](../role-based-access-control/manage-roles-portal.md) lub ról niestandardowych.

    2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie konta awaryjne lub konta awaryjne do ominięcia zabezpieczeń w organizacji.

    3. Wybierz pozycję Gotowe.

  6. Pod Docelowe zasoby>Zasoby (dawniej aplikacje w chmurze)>Uwzględnij>Wybierz zasoby, wybierz Interfejs API zarządzania usługami platformy Windows Azure, a następnie wybierz Wybierz.
  7. W obszarze Kontrola dostępu>, pod Udziel wybierz Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj, aby urządzenie było oznaczone jako zgodne, a następnie wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  9. Wybierz opcję Utwórz, aby włączyć zasady.

Zasady 2: Wszyscy użytkownicy z rolą administratora, uzyskujący dostęp do interfejsu API do zarządzania usługami w chmurze Windows Azure, z pominięciem filtrowania dla urządzeń używających wyrażenia reguły device.extensionAttribute1 równej SAW, i dla kontroli dostępu, Blokada.

  1. Wybierz pozycję Nowe zasady.
  2. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  3. W obszarze Przypisania wybierz Użytkownicy lub tożsamości obciążenia.

    1. W obszarze Uwzględnij wybierz pozycję Role katalogu, a następnie wszystkie role z administratorem w nazwie

      Ostrzeżenie

      Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.

    2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz awaryjne konta dostępu lub konta break-glass używane w Twojej organizacji.

    3. Wybierz pozycję Gotowe.

  4. W obszarze Docelowe zasoby>Zasoby (dawniej aplikacje w chmurze)>Uwzględnij>Wybierz zasoby, wybierz pozycję Interfejs API zarządzania usługami platformy Windows Azure i wybierz pozycję Wybierz.
  5. W Warunkach, Filtruj dla urządzeń.
    1. Przełącz pozycję Konfiguruj na tak.
    2. Ustaw opcję Urządzenia pasujące do reguły , aby wykluczyć odfiltrowane urządzenia z zasad.
    3. Ustaw właściwość na ExtensionAttribute1, operator na Equals i wartość na SAW.
    4. Wybierz pozycję Gotowe.
  6. W obszarze Kontrole dostępu>Udziel wybierz Blokuj dostęp, a następnie wybierz Wybierz.
  7. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  8. Wybierz Utwórz, aby włączyć swoją politykę (policję).

Ostrzeżenie

Zasady wymagające zgodności urządzeń mogą monitować użytkowników na komputerach Mac, iOS i Android o wybranie certyfikatu urządzenia podczas oceny zasad, mimo że zgodność urządzenia nie jest wymuszana. Te komunikaty mogą być powtarzane, dopóki urządzenie nie spełni wymagań.

Ustawianie wartości atrybutów

Ustawienie atrybutów rozszerzenia jest możliwe za pośrednictwem interfejsu API programu Microsoft Graph. Aby uzyskać więcej informacji na temat ustawiania atrybutów urządzenia, zobacz artykuł Aktualizowanie urządzenia.

Filtr dla urządzeń API Graph

Filtr dla API urządzeń jest dostępny w punkcie końcowym Microsoft Graph w wersji 1.0 i można uzyskać dostęp za pomocą punktu końcowego https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Filtr dla urządzeń można skonfigurować podczas tworzenia nowych zasad dostępu warunkowego lub zaktualizować istniejące zasady w celu skonfigurowania filtru dla warunków urządzeń. Aby zaktualizować istniejące zasady, możesz wykonać wywołanie poprawki w punkcie końcowym programu Microsoft Graph w wersji 1.0, dołączając identyfikator zasad istniejących zasad i wykonując następującą treść żądania. W tym przykładzie pokazano konfigurowanie filtru dla warunków dotyczących urządzeń z pominięciem tych, które nie są oznaczone jako urządzenia SAW. Składnia reguły może składać się z więcej niż jednego wyrażenia. Aby dowiedzieć się więcej o składni, zobacz reguły dla dynamicznych grup członkostwa dla grup w usłudze Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Obsługiwane operatory i właściwości urządzenia dla filtrów

Następujące atrybuty urządzenia mogą być używane z filtrem warunku urządzenia w dostępie warunkowym.

Uwaga

Microsoft Entra ID używa uwierzytelniania urządzenia do oceny reguł filtrowania urządzeń. W przypadku urządzenia, które jest niezarejestrowane w Microsoft Entra ID, wszystkie właściwości urządzenia są uznawane za wartości null, a atrybuty urządzenia nie mogą być określone, ponieważ urządzenia nie ma w katalogu. Najlepszym sposobem kierowania zasad dla niezarejestrowanych urządzeń jest użycie operatora ujemnego, ponieważ skonfigurowana reguła filtru będzie stosowana. Jeśli używasz operatora dodatniego, reguła filtru będzie stosowana tylko wtedy, gdy urządzenie istnieje w katalogu, a skonfigurowana reguła jest zgodna z atrybutem na urządzeniu.

Obsługiwane atrybuty urządzenia Obsługiwane operatory Obsługiwane wartości Przykład
identyfikator urządzenia Equals, NotEquals, In, NotIn Prawidłowy deviceId, który jest GUID-em (device.deviceid -eq "aaaaaaa-0000-1111-2222-bbbbbbbbbb")
nazwa wyświetlana Równa się, Nie równa się, Zaczyna się od, Nie zaczyna się od, Kończy się na, Nie kończy się na, Zawiera, Nie zawiera, W, Nie w Dowolny ciąg (device.displayName -contains "ABC")
Własność urządzenia Równa się, Nie równa się Obsługiwane wartości to "Osobiste" dla urządzeń osobistych i "Firmowe" dla urządzeń należących do firmy. (urządzenie.własnośćUrządzenia -eq "Firma")
jest zgodny Równa się, Nie równa się Obsługiwane wartości to "True" dla zgodnych urządzeń i "False" dla niezgodnych urządzeń (device.isCompliant -eq "True")
producent Równa się, Nie równa się, Zaczyna się od, Nie zaczyna się od, Kończy się na, Nie kończy się na, Zawiera, Nie zawiera, W, Nie w Dowolny ciąg (device.manufacturer -zaczyna się od "Microsoft")
mdmAppId Równa się, Nie równa się, W, Nie w Prawidłowy identyfikator aplikacji MDM (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"])
model Równe, Nierówne, Zaczyna się od, Nie zaczyna się od, Kończy się na, Nie kończy się na, Zawiera, Nie zawiera, W, Nie w Dowolny ciąg (device.model -notContains "Surface")
system operacyjny Równa się, Nie równa się, Zaczyna się od, Nie zaczyna się od, Kończy się na, Nie kończy się na, Zawiera, Nie zawiera, W, Nie w Prawidłowy system operacyjny (na przykład Windows, iOS lub Android) (device.operatingSystem -eq "Windows")
wersjaSystemuOperacyjnego Równa się, Nie równa się, Zaczyna się od, Nie zaczyna się od, Kończy się na, Nie kończy się na, Zawiera, Nie zawiera, Zawiera się w, Nie zawiera się w Prawidłowa wersja systemu operacyjnego (na przykład 6.1 dla systemu Windows 7, 6.2 dla systemu Windows 8 lub 10.0 dla systemów Windows 10 i Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Zawiera, Nie zawiera Na przykład wszystkie urządzenia rozwiązania Windows Autopilot przechowują identyfikator ZTDId (unikatową wartość przypisaną do wszystkich zaimportowanych urządzeń rozwiązania Windows Autopilot) we właściwości physicalIds urządzenia. (device.physicalIds -contains "[ZTDId]:value")
typ profilu Równa się, Nie równa się Prawidłowy typ profilu ustawiony dla urządzenia. Obsługiwane wartości to: RegisteredDevice (ustawienie domyślne), SecureVM (używane dla maszyn wirtualnych z systemem Windows na platformie Azure z włączonym logowaniem firmy Microsoft Entra), drukarka (używana do drukarek), udostępniona (używana dla urządzeń udostępnionych), IoT (używana dla urządzeń udostępnionych) (device.profileType -eq "Drukarka")
systemLabels Zawiera, Nie zawiera Lista etykiet zastosowanych do urządzenia przez system. Niektóre z obsługiwanych wartości to: AzureResource (używana dla maszyn wirtualnych z systemem Windows na platformie Azure z obsługą logowania microsoft Entra), M365Managed (używana do zarządzania urządzeniami przy użyciu programu Microsoft Managed Desktop), MultiUser (używana dla urządzeń udostępnionych) (device.systemLabels -contains "M365Managed")
typ zaufania Równa się, Nie równa się Prawidłowy stan zarejestrowany dla urządzeń. Obsługiwane wartości to: AzureAD (używane dla urządzeń dołączonych do Microsoft Entra), ServerAD (używane dla urządzeń hybrydowo dołączonych do Microsoft Entra), Workplace (używane dla urządzeń zarejestrowanych w Microsoft Entra) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Równe, NieRówne, ZaczynaSięOd, NieZaczynaSięOd, KończySięNa, NieKończySięNa, Zawiera, NieZawiera, JestW, NieJestW extensionAttributes1-15 to atrybuty, których klienci mogą używać dla obiektów urządzeń. Klienci mogą zaktualizować dowolny z atrybutów rozszerzeń od 1 do 15 przy użyciu wartości niestandardowych i użyć ich w filtrze warunków urządzeń w ramach dostępu warunkowego. Można użyć dowolnej wartości ciągu. (device.extensionAttribute1 -eq "SAW")

Uwaga

Podczas tworzenia złożonych reguł lub używania zbyt wielu pojedynczych identyfikatorów, takich jak deviceid dla tożsamości urządzeń, należy pamiętać, że "Maksymalna długość reguły filtru wynosi 3072 znaki".

Uwaga

Operatory Contains i NotContains działają inaczej w zależności od typów atrybutów. W przypadku atrybutów tekstowych, takich jak operatingSystem i model, operator Contains wskazuje, czy określony podciąg znajduje się w atrybucie. W przypadku atrybutów kolekcji ciągów, takich jak physicalIds i systemLabels, operator wskazuje, Contains czy określony ciąg pasuje do jednego z całych ciągów w kolekcji.

Ostrzeżenie

Urządzenia muszą być zarządzane przez Microsoft Intune, zgodne, lub połączone hybrydowo z Microsoft Entra, aby wartość była dostępna w rozszerzeniach atrybutów 1-15 w momencie oceny zasad dostępu warunkowego.

Zachowanie polityki z filtrowaniem urządzeń

Filtr warunku urządzenia w obszarze Dostęp warunkowy ocenia zasady na podstawie atrybutów urządzenia zarejestrowanego urządzenia w identyfikatorze Entra firmy Microsoft, dlatego ważne jest, aby zrozumieć, w jakich okolicznościach zasady są stosowane lub nie są stosowane. W poniższej tabeli przedstawiono zachowanie podczas konfigurowania filtru dla warunku urządzenia.

Filtrowanie pod kątem warunku urządzenia Stan rejestracji urządzenia Zastosowany filtr urządzenia
Tryb dołączania/wykluczania z operatorami pozytywnymi (Equals, StartsWith, EndsWith, Contains, In) i używanie dowolnych atrybutów Niezarejestrowane urządzenie Nie.
Tryb dołączania/wykluczania z operatorami logicznymi (Equals, StartsWith, EndsWith, Contains, In) oraz używanie atrybutów z wyłączeniem extensionAttributes1-15. Zarejestrowane urządzenie Tak, jeśli kryteria są spełnione
Tryb włączania/wykluczania z operatorami pozytywnymi (Equals, StartsWith, EndsWith, Contains, In) oraz użycie atrybutów, takich jak extensionAttributes1-15 Zarejestrowane urządzenie zarządzane przez usługę Intune Tak, jeśli kryteria są spełnione
Tryb dołączania/wykluczania z operatorami pozytywnymi (Equals, StartsWith, EndsWith, Contains, In) i użycie atrybutów, w tym extensionAttributes1-15 Zarejestrowane urządzenie nie jest zarządzane przez usługę Intune Tak, jeśli zostały spełnione kryteria. Gdy używane są atrybuty extensionAttributes1-15, zasady mają zastosowanie, jeśli urządzenie jest zgodne lub hybrydowo połączone z Microsoft Entra.
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów Niezarejestrowane urządzenie Tak
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów wykluczających atrybuty extensionAttributes1-15 Zarejestrowane urządzenie Tak, jeśli kryteria są spełnione
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów, w tym extensionAttributes1-15 Zarejestrowane urządzenie zarządzane przez usługę Intune Tak, jeśli kryteria są spełnione
Tryb włączania/wyłączania z operatorami negatywnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i możliwość użycia dowolnych atrybutów, w tym extensionAttributes1-15 Zarejestrowane urządzenie nie jest zarządzane przez usługę Intune Tak, jeśli zostały spełnione kryteria. Gdy są używane atrybuty rozszerzenia 1-15, zasady mają zastosowanie, jeśli urządzenie jest zgodne lub hybrydowo dołączone do Microsoft Entra Directory.

Powiązana zawartość