Wymaganie zgodności urządzenia z dostępem warunkowym

Usługa Microsoft Intune i firma Microsoft Entra współpracują ze sobą, aby zabezpieczyć organizację za pomocą zasad zgodności urządzeń i dostępu warunkowego. Zasady zgodności urządzeń to doskonały sposób na zapewnienie, że urządzenia użytkowników spełniają minimalne wymagania dotyczące konfiguracji. Wymagania można wymusić, gdy użytkownicy uzyskują dostęp do usług chronionych za pomocą zasad dostępu warunkowego.

Niektóre organizacje mogą nie być gotowe do wymagania zgodności urządzeń dla wszystkich użytkowników. Te organizacje mogą zamiast tego zdecydować się na wdrożenie następujących zasad:

• Wymaganie urządzenia zgodnego lub hybrydowego urządzenia dołączonego do Microsoft Entra dla administratorów
• Wymagaj zgodnego urządzenia, urządzenia przyłączonego hybrydowo do Microsoft Entra, lub uwierzytelniania wieloskładnikowego dla wszystkich użytkowników
• Blokuj nieznane lub nieobsługiwane platformy urządzeń
• Wyłącz trwałość przeglądarki

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ratunkowe, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i zasady dostępu do usług, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki ułatwiają utworzenie zasad dostępu warunkowego w celu wymagania, aby urządzenia, które uzyskują dostęp do zasobów, zostały oznaczone jako zgodne z zasadami zgodności usługi Intune w organizacji.

Ostrzeżenie

Bez zasad zgodności utworzonych w usłudze Microsoft Intune te zasady dostępu warunkowego nie będą działać zgodnie z oczekiwaniami. Najpierw utwórz zasady zgodności i przed kontynuowaniem upewnij się, że masz co najmniej jedno zgodne urządzenie.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkowników lub tożsamości robocze.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
   2. W obszarze Wyklucz:
      1. Wybierz użytkowników i grup
         1. Wybierz konta awaryjne lub konta break-glass organizacji.
         2. Jeśli używasz rozwiązań tożsamości hybrydowych, takich jak Microsoft Entra Connect lub Microsoft Entra Connect Cloud Sync, wybierz pozycję role katalogu , a następnie wybierz pozycję konta synchronizacji katalogów
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
7. W obszarze Kontrole dostępu>Udzielenie.
   1. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
   2. Wybierz Wybierz.
8. Potwierdź ustawienia i ustaw opcję Włącz politykę na Tylko raportowanie.
9. Wybierz pozycję Utwórz, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportowania, mogą przenieść przełącznik Włącz politykę z opcji Tylko raportowanie do opcji Włączone.

Uwaga

Nowe urządzenia można zarejestrować w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla pozycji Wszyscy użytkownicy i Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") przy użyciu poprzednich kroków. Kontrola "Wymagaj, aby urządzenie było oznaczone jako zgodne" nie blokuje rejestracji w usłudze Intune.

Znane zachowanie

W systemach iOS, Android, macOS i niektórych przeglądarkach sieci Web innych niż Microsoft identyfikator Entra identyfikuje urządzenie przy użyciu certyfikatu klienta, który jest aprowizowany, gdy urządzenie jest zarejestrowane w usłudze Microsoft Entra ID. Gdy użytkownik po raz pierwszy zaloguje się za pośrednictwem przeglądarki, zostanie wyświetlony monit o wybranie certyfikatu. Użytkownik końcowy musi wybrać ten certyfikat, zanim będzie mógł nadal korzystać z przeglądarki.

Aktywacja subskrypcji

Organizacje korzystające z Funkcji Aktywacji Subskrypcji, aby umożliwić użytkownikom przejście z jednej wersji systemu Windows na inną, mogą chcieć wykluczyć Sklep Windows dla Firm, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f, ze swoich zasad zgodności urządzeń.

Powiązana zawartość

• Tworzenie zasad zgodności w usłudze Microsoft Intune
• Kontrole udzielania dostępu warunkowego