Typowe sposoby korzystania z dostępu warunkowego za pomocą usługi Intune

Istnieją dwa typy zasad dostępu warunkowego, których można używać z Intune: dostęp warunkowy oparty na urządzeniach i dostęp warunkowy oparty na aplikacji. Aby obsługiwać każdą z nich, należy skonfigurować powiązane zasady Intune. Gdy zasady Intune są wdrożone i wdrożone, możesz użyć dostępu warunkowego do wykonywania takich czynności, jak zezwalanie lub blokowanie dostępu do programu Exchange, kontrolowanie dostępu do sieci lub integracja z rozwiązaniem Mobile Threat Defense.

Informacje zawarte w tym artykule ułatwiają zrozumienie sposobu korzystania z funkcji Intune zgodności urządzeń przenośnych oraz funkcji zarządzania aplikacjami mobilnymi (INTUNE Mobile Application Management).

Uwaga

Dostęp warunkowy to funkcja Microsoft Entra, która jest dołączona do licencji Tożsamość Microsoft Entra P1 lub P2. Intune zwiększa tę możliwość, dodając do rozwiązania zgodność urządzeń przenośnych i zarządzanie aplikacjami mobilnymi. Węzeł dostępu warunkowego uzyskiwany z Intune jest tym samym węzłem, do który jest uzyskiwany z Tożsamość Microsoft Entra.

Dostęp warunkowy oparty na urządzeniach

Intune i Tożsamość Microsoft Entra współpracują ze sobą, aby upewnić się, że tylko zarządzane i zgodne urządzenia mogą uzyskiwać dostęp do poczty e-mail organizacji, usług platformy Microsoft 365, aplikacji oprogramowania jako usługi (SaaS) i aplikacji lokalnych. Ponadto można ustawić zasady w Tożsamość Microsoft Entra, aby umożliwić dostęp do usług platformy Microsoft 365 tylko komputerom przyłączonym do domeny lub urządzeniom przenośnym zarejestrowanym w Intune.

Dzięki Intune wdrażasz zasady zgodności urządzeń, aby określić, czy urządzenie spełnia oczekiwane wymagania dotyczące konfiguracji i zabezpieczeń. Ocena zasad zgodności określa stan zgodności urządzenia, który jest zgłaszany zarówno Intune, jak i Tożsamość Microsoft Entra. W Tożsamość Microsoft Entra zasady dostępu warunkowego mogą używać stanu zgodności urządzenia do podejmowania decyzji o tym, czy zezwolić na dostęp do zasobów organizacji z tego urządzenia lub go zablokować.

Zasady dostępu warunkowego opartego na urządzeniach dla usługi Exchange Online i innych produktów platformy Microsoft 365 są konfigurowane za pośrednictwem centrum administracyjnego Microsoft Intune.

• Dowiedz się więcej o wymaganiu zarządzanych urządzeń z dostępem warunkowym w Tożsamość Microsoft Entra.

• Dowiedz się więcej na temat Intune zgodności urządzeń.

• Dowiedz się więcej o obsługiwanych przeglądarkach z dostępem warunkowym w Tożsamość Microsoft Entra.

Uwaga

Po włączeniu dostępu opartego na urządzeniach dla zawartości dostępnej przez użytkowników z aplikacji przeglądarki na urządzeniach z profilem służbowym należącym do użytkownika systemu Android użytkownicy zarejestrowani przed styczniem 2021 r. muszą włączyć dostęp do przeglądarki w następujący sposób:

1. Uruchom aplikację Portal firmy.
2. Przejdź do strony Ustawienia z menu.
3. W sekcji Włącz dostęp do przeglądarki naciśnij przycisk WŁĄCZ .
4. Zamknij, a następnie uruchom ponownie aplikację przeglądarki.

Umożliwia to dostęp w aplikacjach przeglądarki, ale nie do przeglądarek WebView, które są otwierane w aplikacjach.

Aplikacje dostępne w dostępie warunkowym do kontrolowania Microsoft Intune

Podczas konfigurowania dostępu warunkowego w centrum administracyjne Microsoft Entra masz dwie aplikacje do wyboru:

1. Microsoft Intune — ta aplikacja kontroluje dostęp do centrum administracyjnego Microsoft Intune i źródeł danych. Skonfiguruj dotacje/kontrolki dla tej aplikacji, jeśli chcesz kierować Microsoft Intune centrum administracyjne i źródła danych.
2. Microsoft Intune Rejestracja — ta aplikacja kontroluje przepływ pracy rejestracji. Skonfiguruj dotacje/kontrolki dla tej aplikacji, jeśli chcesz kierować proces rejestracji. Aby uzyskać więcej informacji, zobacz Wymagaj uwierzytelniania wieloskładnikowego dla rejestracji urządzeń Intune.

Dostęp warunkowy oparty na kontroli dostępu do sieci

Intune integruje się z partnerami takimi jak Cisco ISE, Aruba Clear Pass i Citrix NetScaler w celu zapewnienia kontroli dostępu na podstawie rejestracji Intune i stanu zgodności urządzeń.

Użytkownikom można zezwolić lub odmówić dostępu do firmowych zasobów Wi-Fi lub sieci VPN w zależności od tego, czy używane przez nich urządzenie jest zarządzane i zgodne z zasadami zgodności urządzeń Intune.

• Dowiedz się więcej o integracji translatora adresów sieciowych z usługą Intune.

Dostęp warunkowy na podstawie ryzyka urządzenia

Intune partnerów z dostawcami usługi Mobile Threat Defense, którzy zapewniają rozwiązanie zabezpieczeń do wykrywania złośliwego oprogramowania, trojanów i innych zagrożeń na urządzeniach przenośnych.

Jak działa integracja usług Intune i Mobile Threat Defense

Jeśli na urządzeniach przenośnych zainstalowano agenta usługi Mobile Threat Defense, agent wysyła komunikaty o stanie zgodności z powrotem do Intune raportowania, gdy na samym urządzeniu przenośnym zostanie znalezione zagrożenie.

Integracja Intune i mobile threat defense odgrywa rolę w decyzjach dotyczących dostępu warunkowego w oparciu o ryzyko urządzenia.

• Dowiedz się więcej na temat Intune ochrony przed zagrożeniami mobilnymi.

Dostęp warunkowy dla komputerów z systemem Windows

Dostęp warunkowy dla komputerów zapewnia funkcje podobne do tych dostępnych dla urządzeń przenośnych. Porozmawiajmy o sposobach korzystania z dostępu warunkowego podczas zarządzania komputerami z Intune.

Należące do firmy

• Microsoft Entra przyłączone hybrydowo: ta opcja jest często używana przez organizacje, które są w miarę wygodne z zarządzaniem swoimi komputerami za pomocą zasad grupy usługi AD lub Configuration Manager.

• Microsoft Entra zarządzania przyłączonymi do domeny i zarządzaniem Intune: ten scenariusz dotyczy organizacji, które chcą korzystać z chmury (czyli głównie usług w chmurze, aby ograniczyć użycie infrastruktury lokalnej) lub tylko w chmurze (bez infrastruktury lokalnej). Microsoft Entra sprzężenia działa dobrze w środowisku hybrydowym, umożliwiając dostęp zarówno do aplikacji i zasobów w chmurze, jak i lokalnych. Urządzenie przyłącza się do Tożsamość Microsoft Entra i zostaje zarejestrowane w Intune, które może służyć jako kryteria dostępu warunkowego podczas uzyskiwania dostępu do zasobów firmowych.

Przynieś własne urządzenie (BYOD)

• Dołączanie do miejsca pracy i zarządzanie Intune: w tym miejscu użytkownik może dołączyć do swoich urządzeń osobistych, aby uzyskać dostęp do zasobów i usług firmy. Możesz użyć dołączania i rejestrowania urządzeń w miejscu pracy w usłudze Intune MDM w celu odbierania zasad na poziomie urządzenia, które są kolejną opcją oceny kryteriów dostępu warunkowego.

Dowiedz się więcej o Zarządzanie urządzeniami w Tożsamość Microsoft Entra.

Dostęp warunkowy oparty na aplikacji

Intune i Tożsamość Microsoft Entra współpracują ze sobą, aby upewnić się, że tylko aplikacje zarządzane mogą uzyskiwać dostęp do firmowej poczty e-mail lub innych usług platformy Microsoft 365.

• Dowiedz się więcej o dostępie warunkowym opartym na aplikacji przy użyciu Intune.

Intune dostępu warunkowego dla lokalnego programu Exchange

Dostęp warunkowy może służyć do zezwalania na dostęp do lokalnego programu Exchange lub blokowania go na podstawie zasad zgodności urządzeń i stanu rejestracji. Gdy dostęp warunkowy jest używany w połączeniu z zasadami zgodności urządzeń, tylko zgodne urządzenia mają dostęp do lokalnego programu Exchange.

Zaawansowane ustawienia można skonfigurować w obszarze Dostęp warunkowy, aby uzyskać bardziej szczegółową kontrolę, taką jak:

• Zezwalaj lub blokuj niektóre platformy.

• Natychmiast zablokuj urządzenia, które nie są zarządzane przez Intune.

Każde urządzenie używane do uzyskiwania dostępu do lokalnego programu Exchange jest sprawdzane pod kątem zgodności podczas stosowania zasad zgodności urządzeń i dostępu warunkowego.

Jeśli urządzenia nie spełniają ustawionych warunków, użytkownik końcowy przechodzi przez proces rejestrowania urządzenia, aby rozwiązać problem powodujący niezgodność urządzenia.

Uwaga

Począwszy od lipca 2020 r., obsługa łącznika programu Exchange jest przestarzała i zastąpiona przez nowoczesne uwierzytelnianie hybrydowe programu Exchange (HMA). Użycie usługi HMA nie wymaga Intune do konfigurowania i używania programu Exchange Connector. Dzięki tej zmianie interfejs użytkownika do konfigurowania programu Exchange Connector dla Intune został usunięty z centrum administracyjnego Microsoft Intune, chyba że używasz już łącznika programu Exchange z subskrypcją.

Jeśli w środowisku skonfigurowano program Exchange Connector, dzierżawa Intune pozostaje obsługiwana do jej użycia i nadal będziesz mieć dostęp do interfejsu użytkownika, który obsługuje jego konfigurację. Aby uzyskać więcej informacji, zobacz Instalowanie łącznika lokalnego programu Exchange. Możesz nadal korzystać z łącznika lub skonfigurować usługę HMA, a następnie odinstalować łącznik.

Nowoczesne uwierzytelnianie hybrydowe zapewnia funkcje, które zostały wcześniej udostępnione przez program Exchange Connector dla Intune: mapowanie tożsamości urządzenia na rekord programu Exchange. To mapowanie odbywa się teraz poza konfiguracją utworzoną w Intune lub wymaganiem łącznika Intune do mostka Intune i programu Exchange. W przypadku usługi HMA usunięto wymóg używania konfiguracji "Intune" (łącznika).

Jaka jest rola Intune?

Intune ocenia stan urządzenia i zarządza nimi.

Jaka jest rola serwera Exchange?

Serwer Exchange udostępnia interfejs API i infrastrukturę do przenoszenia urządzeń do kwarantanny.

Ważna

Należy pamiętać, że użytkownik korzystający z urządzenia musi mieć przypisany profil zgodności i Intune licencję, aby można było ocenić zgodność urządzenia. Jeśli żadne zasady zgodności nie zostaną wdrożone dla użytkownika, urządzenie będzie traktowane jako zgodne i nie zostaną zastosowane żadne ograniczenia dostępu.

Następne kroki

Jak skonfigurować dostęp warunkowy w Tożsamość Microsoft Entra

Konfigurowanie zasad dostępu warunkowego opartego na aplikacji

Jak utworzyć zasady dostępu warunkowego dla lokalnego programu Exchange