Dostęp warunkowy: Warunki
W ramach zasad dostępu warunkowego administrator może użyć co najmniej jednego sygnału w celu ulepszenia decyzji dotyczących zasad.
W celu utworzenia szczegółowych i określonych zasad dostępu warunkowego można połączyć wiele warunków.
Gdy użytkownicy uzyskują dostęp do poufnej aplikacji, administrator może uwzględniać wiele warunków w podejmowaniu decyzji dotyczących dostępu, takich jak:
- Informacje o ryzyku logowania z usługi ID Protection
- Lokalizacja sieciowa
- Informacje o urządzeniu
Ryzyko związane z użytkownikiem
Administratorzy z dostępem do ochrony identyfikatorów mogą oceniać ryzyko użytkownika w ramach zasad dostępu warunkowego. Ryzyko użytkownika reprezentuje prawdopodobieństwo naruszenia zabezpieczeń danej tożsamości lub konta. Więcej informacji o ryzyku użytkowników można znaleźć w artykułach Co to jest ryzyko i Instrukcje: Konfigurowanie i włączanie zasad ryzyka.
Ryzyko związane z logowaniem
Administratorzy z dostępem do ochrony identyfikatorów mogą oceniać ryzyko logowania w ramach zasad dostępu warunkowego. Ryzyko logowania reprezentuje prawdopodobieństwo, że dane żądanie uwierzytelnienia nie zostało wykonane przez właściciela tożsamości. Więcej informacji na temat ryzyka związanego z logowaniem można znaleźć w artykułach Co to jest ryzyko i Instrukcje: Konfigurowanie i włączanie zasad ryzyka.
Ryzyko wewnętrzne
Administratorzy z dostępem do funkcji adaptacyjnej ochrony usługi Microsoft Purview mogą uwzględniać sygnały o podwyższonym ryzyku od firmy Microsoft Purview do decyzji dotyczących zasad dostępu warunkowego. Ryzyko wewnętrzne uwzględnia zarządzanie danymi, bezpieczeństwo danych oraz konfiguracje dotyczące ryzyka i zgodności w usłudze Microsoft Purview. Te sygnały są oparte na czynnikach kontekstowych, takich jak:
- Zachowanie użytkownika
- Wzorce historyczne
- Wykrywanie anomalii
Ten warunek umożliwia administratorom używanie zasad dostępu warunkowego do podejmowania działań, takich jak blokowanie dostępu, wymaganie silniejszych metod uwierzytelniania lub wymaganie akceptacji warunków użytkowania.
Ta funkcja obejmuje włączenie parametrów, które w szczególności dotyczą potencjalnych zagrożeń wynikających z organizacji. Konfigurując dostęp warunkowy w celu rozważenia ryzyka niejawnego, administratorzy mogą dostosować uprawnienia dostępu na podstawie kontekstowych czynników, takich jak zachowanie użytkownika, wzorce historyczne i wykrywanie anomalii.
Aby uzyskać więcej informacji, zobacz artykuł Konfigurowanie i włączanie zasad opartych na ryzyku niejawnym.
Platformy urządzeń
Dostęp warunkowy identyfikuje platformę urządzenia przy użyciu informacji dostarczonych przez urządzenie, takich jak ciągi agenta użytkownika. Ponieważ można modyfikować ciągi agenta użytkownika, te informacje są niezweryfikowane. Platforma urządzeń powinna być używana we współpracy z zasadami zgodności urządzeń usługi Microsoft Intune lub jako część deklaracji blokującej. Ustawieniem domyślnym jest zastosowanie do wszystkich platform urządzeń.
Dostęp warunkowy obsługuje następujące platformy urządzeń:
- Android
- iOS
- Windows
- macOS
- Linux
Jeśli zablokujesz starsze uwierzytelnianie przy użyciu warunku Inne klienci , możesz również ustawić warunek platformy urządzenia.
Nie obsługujemy wybierania platform urządzeń z systemem macOS lub Linux podczas wybierania opcji Wymagaj zatwierdzonej aplikacji klienckiej lub Wymagaj zasad ochrony aplikacji jako jedyne elementy kontrolne lub po wybraniu opcji Wymagaj wszystkich wybranych elementów kontrolnych.
Ważne
Firma Microsoft zaleca stosowanie zasad dostępu warunkowego dla nieobsługiwanych platform urządzeń. Jeśli na przykład chcesz zablokować dostęp do zasobów firmowych z Chrome OS lub innych nieobsługiwanych klientów, należy skonfigurować zasadę z warunkiem Platformy urządzeń, który obejmuje dowolne urządzenie i wyklucza obsługiwane platformy urządzeń, oraz ustawić kontrolę na Blokuj dostęp.
Lokalizacje
Aplikacje klienckie
Domyślnie wszystkie nowo utworzone zasady dostępu warunkowego mają zastosowanie do wszystkich typów aplikacji klienckich, nawet jeśli warunek aplikacji klienckich nie jest skonfigurowany.
Uwaga
Sposób działania aplikacji klienckich został zaktualizowany w sierpniu 2020 r. Jeśli masz istniejące zasady dostępu warunkowego, pozostaną niezmienione. Jeśli jednak klikniesz na istniejące zasady, przełącznik Konfiguruj został usunięty, a aplikacje klienckie, do których zasady się odnoszą, zostały wybrane.
Ważne
Logowania ze starszych klientów uwierzytelniania nie obsługują uwierzytelniania wieloskładnikowego (MFA) i nie przekazują informacji o stanie urządzenia, dlatego są blokowane przez mechanizmy kontroli udzielania dostępu warunkowego, takie jak wymaganie uwierzytelniania wieloskładnikowego lub zgodnych urządzeń. Jeśli masz konta, które muszą używać starszego uwierzytelniania, musisz wykluczyć te konta z zasad lub skonfigurować zasady tak, aby miały zastosowanie tylko do nowoczesnych klientów uwierzytelniania.
Przełącznik Konfiguruj po ustawieniu wartości Tak ma zastosowanie do zaznaczonych elementów, a po ustawieniu pozycji Nie ma zastosowanie do wszystkich aplikacji klienckich, w tym nowoczesnych i starszych klientów uwierzytelniania. Ten przełącznik nie jest wyświetlany w zasadach utworzonych przed sierpniem 2020 r.
- Klienci nowoczesnego uwierzytelniania
- Przeglądarka
- Należą do nich aplikacje internetowe korzystające z protokołów takich jak SAML, WS-Federation, OpenID Connect lub usługi zarejestrowane jako poufny klient OAuth.
- Aplikacje mobilne i klienci klasyczni
- Ta opcja obejmuje aplikacje, takie jak aplikacje klasyczne i telefoniczne pakietu Office.
- Przeglądarka
- Starsi klienci uwierzytelniania
- Klienci programu Exchange ActiveSync
- Ten wybór obejmuje wszystkie zastosowania protokołu Exchange ActiveSync (EAS).
- Gdy zasady blokują użycie programu Exchange ActiveSync, użytkownik, którego dotyczy problem, otrzymuje pojedynczą wiadomość e-mail z kwarantanny. Ta wiadomość e-mail zawiera informacje o przyczynie blokady i, jeśli to możliwe, zawiera instrukcje dotyczące usunięcia problemu.
- Administratorzy mogą stosować zasady tylko do obsługiwanych platform (takich jak iOS, Android i Windows) za pośrednictwem interfejsu API dostępu warunkowego Microsoft Graph.
- Inni klienci
- Ta opcja obejmuje klientów korzystających z podstawowych/starszych protokołów uwierzytelniania, które nie obsługują nowoczesnego uwierzytelniania.
- SMTP — używany przez klienta POP i IMAP do wysyłania wiadomości e-mail.
- Automatyczne wykrywanie — używane przez klientów programu Outlook i EAS do znajdowania skrzynek pocztowych w usłudze Exchange Online i łączenia się z nimi.
- Exchange Online PowerShell — służy do nawiązywania połączenia z usługą Exchange Online za pomocą zdalnego programu PowerShell. Jeśli zablokujesz uwierzytelnianie podstawowe dla programu PowerShell usługi Exchange Online, musisz użyć modułu programu PowerShell usługi Exchange Online, aby nawiązać połączenie. Aby uzyskać instrukcje, zobacz Connect to Exchange Online PowerShell using multifactor authentication (Nawiązywanie połączenia z programem Exchange Online przy użyciu uwierzytelniania wieloskładnikowego).
- Exchange Web Services (EWS) — interfejs programowania używany przez program Outlook, Outlook dla komputerów Mac i aplikacje innych firm.
- IMAP4 — używany przez klientów poczty e-mail IMAP.
- MAPI za pośrednictwem protokołu HTTP (MAPI/HTTP) — używane przez program Outlook 2010 lub nowszy.
- Książka adresowa trybu offline (OAB) — kopia kolekcji list adresowych, które są pobierane i używane przez program Outlook.
- Outlook Anywhere (RPC over HTTP) — używany przez program Outlook 2016 i starsze wersje.
- Usługa Outlook — używana przez aplikację Poczta i kalendarz dla systemu Windows 10.
- POP3 — używany przez klientów poczty e-mail POP.
- Reporting Web Services — służy do pobierania danych raportu w usłudze Exchange Online.
- Ta opcja obejmuje klientów korzystających z podstawowych/starszych protokołów uwierzytelniania, które nie obsługują nowoczesnego uwierzytelniania.
- Klienci programu Exchange ActiveSync
Te warunki są często stosowane do:
- Wymaganie urządzenia zarządzanego
- Blokuj starsze uwierzytelnianie
- Blokuj aplikacje internetowe, ale zezwalaj na aplikacje mobilne lub klasyczne
Obsługiwane przeglądarki
To ustawienie działa ze wszystkimi przeglądarkami. Jednak w celu spełnienia zasad urządzenia, takich jak zgodne wymaganie dotyczące urządzenia, obsługiwane są następujące systemy operacyjne i przeglądarki. Systemy operacyjne i przeglądarki poza podstawową obsługą nie są wyświetlane na tej liście:
| Systemy operacyjne | Przeglądarki |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (zobacz uwagi) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
| Linux Desktop | Microsoft Edge |
Te przeglądarki obsługują uwierzytelnianie urządzeń, dzięki czemu urządzenie może być identyfikowane i weryfikowane względem zasad. Sprawdzanie urządzenia kończy się niepowodzeniem, jeśli przeglądarka jest uruchomiona w trybie prywatnym lub jeśli pliki cookie są wyłączone.
Uwaga
Przeglądarka Edge 85+ wymaga zalogowania użytkownika do przeglądarki w celu prawidłowego przekazania tożsamości urządzenia. W przeciwnym razie zachowuje się jak Chrome bez rozszerzenia Microsoft Single Sign-On. To logowanie może nie nastąpić automatycznie w scenariuszu dołączania urządzeń hybrydowych.
pl-PL: Przeglądarka Safari jest obsługiwana w ramach dostępu warunkowego opartego na urządzeniach na zarządzanym urządzeniu, ale nie może spełniać warunków takich jak Wymagaj zatwierdzonej aplikacji klienckiej lub Wymagaj ochrony aplikacji. Program Managed Browser, taki jak Przeglądarka Microsoft Edge, spełnia zatwierdzone wymagania dotyczące aplikacji klienckich i zasad ochrony aplikacji. W systemie iOS z zewnętrznym rozwiązaniem MDM tylko przeglądarka Microsoft Edge obsługuje zasady dotyczące urządzeń.
Przeglądarka Firefox 91+ jest obsługiwana w przypadku dostępu warunkowego opartego na urządzeniach, ale należy włączyć opcję "Zezwalaj na logowanie jednokrotne systemu Windows dla kont firmy Microsoft, służbowych i szkolnych".
Przeglądarka Chrome 111+ jest obsługiwana w przypadku dostępu warunkowego opartego na urządzeniach, ale opcja "CloudApAuthEnabled" musi być włączona.
Urządzenia z systemem macOS korzystające z wtyczki Enterprise SSO wymagają rozszerzenia Microsoft Single Sign On do obsługi logowania jednokrotnego i dostępu warunkowego opartego na urządzeniu w przeglądarce Google Chrome.
Dlaczego w przeglądarce jest wyświetlany monit o certyfikat
Na urządzeniach z systemem Windows 7, iOS, Android i macOS są identyfikowane przy użyciu certyfikatu klienta. Ten certyfikat jest aprowizowany po zarejestrowaniu urządzenia. Gdy użytkownik po raz pierwszy zaloguje się za pośrednictwem przeglądarki, zostanie wyświetlony monit o wybranie certyfikatu. Użytkownik musi wybrać ten certyfikat przed użyciem przeglądarki.
Obsługa programu Chrome
Windows
W przypadku obsługi programu Chrome w Aktualizacja systemu Windows 10 dla twórców (wersja 1703) lub nowszej, zainstaluj rozszerzenie Microsoft Single Sign On lub włącz opcję CloudAPAuthEnabled w przeglądarce Chrome. Te konfiguracje są wymagane, gdy zasady dostępu warunkowego wymagają szczegółowych informacji specyficznych dla urządzeń dla platform systemu Windows.
Aby automatycznie włączyć zasady CloudAPAuthEnabled w przeglądarce Chrome, utwórz następujący klucz rejestru:
- Ścieżka:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Nazwa:
CloudAPAuthEnabled - Wartość:
0x00000001 - Typ właściwości:
DWORD
Aby automatycznie wdrożyć rozszerzenie Microsoft Jednokrotne logowanie w przeglądarkach Chrome, utwórz następujący klucz rejestru zgodnie z zasadą ExtensionInstallForcelist w przeglądarce Chrome.
- Ścieżka:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Nazwa:
1 - Typ:
REG_SZ (String) - Dane:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
W przypadku obsługi programu Chrome w systemach Windows 8.1 i 7 utwórz następujący klucz rejestru:
- Ścieżka:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Nazwa:
1 - Typ:
REG_SZ (String) - Dane:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Urządzenia z systemem macOS korzystające z wtyczki Enterprise SSO wymagają rozszerzenia Microsoft Single Sign On do obsługi logowania jednokrotnego i dostępu warunkowego opartego na urządzeniach w Google Chrome.
W przypadku wdrożeń opartych na oprogramowaniu MDM programu Google Chrome i zarządzania rozszerzeniami zobacz Konfigurowanie przeglądarki Chrome na komputerach Mac i ExtensionInstallForcelist.
Obsługiwane aplikacje mobilne i klienci stacjonni
Administratorzy mogą wybrać aplikacje mobilne i aplikacje desktopowe jako aplikację kliencką.
To ustawienie ma wpływ na próby dostępu z następujących aplikacji mobilnych i klientów stacjonarnych:
| Aplikacje klienckie | Usługa docelowa | Platforma |
|---|---|---|
| Aplikacja Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS i Android |
| Aplikacja Poczta/Kalendarz/Osoby, Outlook 2016, Outlook 2013 (z nowoczesnym uwierzytelnianiem) | Exchange Online | Windows 10 |
| Uwierzytelnianie wieloskładnikowe i polityka lokalizacji dla aplikacji. Zasady oparte na urządzeniach nie są obsługiwane. | Dowolny serwis aplikacji Moje Aplikacje | Android i iOS |
| Microsoft Teams Services — ta aplikacja kliencka kontroluje wszystkie usługi, które obsługują usługę Microsoft Teams i wszystkie aplikacje klienckie — Windows Desktop, iOS, Android, WP i klient internetowy | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android i macOS |
| Aplikacje pakietu Office 2016, Pakiet Office 2013 (z nowoczesnym uwierzytelnianiem), klient synchronizacja usługi OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Aplikacje pakietu Office 2016, uniwersalne aplikacja pakietu Office, pakiet Office 2013 (z nowoczesnym uwierzytelnianiem), klient synchronizacja usługi OneDrive | SharePoint Online | Windows 10 |
| Office 2016 (tylko programy Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Aplikacje pakietu Office Mobile | SharePoint | Android, iOS |
| Aplikacja Usługi Yammer pakietu Office | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office dla systemu macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (z nowoczesnym uwierzytelnianiem), Skype dla firm (z nowoczesnym uwierzytelnianiem) | Exchange Online | Windows 8.1, Windows 7 |
| Aplikacja mobilna Outlook | Exchange Online | Android, iOS |
| Aplikacje Power BI | Usługa Power BI | Windows 10, Windows 8.1, Windows 7, Android i iOS |
| Skype dla firm | Exchange Online | Android, iOS |
| Aplikacja Azure DevOps Services (dawniej Visual Studio Team Services lub VSTS) | Azure DevOps Services (dawniej Visual Studio Team Services lub VSTS) | Windows 10, Windows 8.1, Windows 7, iOS i Android |
Klienci programu Exchange ActiveSync
- Administratorzy mogą wybierać tylko klientów programu Exchange ActiveSync podczas przypisywania zasad do użytkowników lub grup. Wybranie opcji Wszyscy użytkownicy, Wszyscy użytkownicy-goście i użytkownicy zewnętrzni lub Role katalogu powoduje, że wszyscy użytkownicy będą objęci polityką.
- Gdy administratorzy tworzą zasady przypisane do klientów programu Exchange ActiveSync, usługa Exchange Online powinna być jedyną aplikacją w chmurze przypisaną do zasad.
- Administratorzy mogą zawęzić zakres tych zasad do określonych platform przy użyciu warunku Platformy urządzeń.
Jeśli kontrola dostępu przypisana do zasad używa opcji Wymagaj zatwierdzonej aplikacji klienckiej, użytkownik zostanie skierowany do zainstalowania klienta mobilnego programu Outlook i korzystania z niego. W przypadku, gdy wymagane jest uwierzytelnianie wieloskładnikowe, warunki użytkowania lub kontrole niestandardowe, użytkownicy są blokowani, ponieważ uwierzytelnianie podstawowe nie obsługuje tych kontrolek.
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Blokowanie starszego uwierzytelniania przy użyciu dostępu warunkowego
- Wymaganie zatwierdzonych aplikacji klienckich z dostępem warunkowym
Inni klienci
Wybierając pozycję Inni klienci, możesz określić warunek, który ma wpływ na aplikacje korzystające z uwierzytelniania podstawowego z protokołami poczty, takimi jak IMAP, MAPI, POP, SMTP i starsze aplikacja pakietu Office, które nie korzystają z nowoczesnego uwierzytelniania.
Stan urządzenia (przestarzałe)
Ten warunek został uznany za przestarzały. Klienci powinni użyć Filtru dla urządzeń w zasadzie dostępu warunkowego, aby spełnić scenariusz wcześniej osiągnięty za pomocą warunku stanu urządzenia.
Ważne
Stan urządzenia i filtry dla urządzeń nie mogą być używane razem w zasadach dostępu warunkowego. Filtry dla urządzeń oferują bardziej szczegółowe możliwości targetowania, w tym wsparcie dla targetowania informacji o stanie urządzenia przez trustType i isCompliant.
Filtr dla urządzeń
Gdy administratorzy konfigurują filtr dla urządzeń jako warunek, mogą dołączać lub wykluczać urządzenia na podstawie filtru przy użyciu wyrażenia reguły we właściwościach urządzenia. Wyrażenie reguły dla filtru dla urządzeń może być tworzone przy użyciu konstruktora reguł lub składni reguły. To doświadczenie jest podobne do tego, które stosuje się do reguł dynamicznych członkostwa w grupach. Aby uzyskać więcej informacji, zobacz artykuł Dostęp warunkowy: filtr dla urządzeń.
Przepływy uwierzytelniania (wersja zapoznawcza)
Przepływy uwierzytelniania kontrolują sposób korzystania z określonych protokołów uwierzytelniania i autoryzacji oraz udzielania uprawnień. Te przepływy pracy mogą dostarczyć bezproblemowe środowisko dla urządzeń, które mogą nie mieć lokalnych urządzeń wejściowych, takich jak urządzenia współdzielone lub ekrany cyfrowe. Ta kontrolka służy do konfigurowania metod transferu, takich jak przepływ kodu urządzenia lub transfer uwierzytelniania.