Требовать соответствие устройств условному доступу
Microsoft Intune и Microsoft Entra работают вместе, чтобы защитить организацию с помощью политик соответствия устройств и условного доступа. Политики соответствия устройств — отличный способ обеспечить соответствие пользовательских устройств минимальным требованиям к конфигурации. Требования могут применяться при доступе пользователей к службам, защищенным с помощью политик условного доступа.
Некоторые организации могут быть не готовы требовать соответствия устройств для всех пользователей. Вместо этого эти организации могут выбрать развертывание следующих политик:
- Требовать соответствие требованиям или гибридное устройство, присоединенное к Microsoft Entra, для администраторов
- Должны быть либо совместимое устройство, либо гибридное устройство Microsoft Entra, либо многофакторная проверка подлинности для всех пользователей
- Блокировать неизвестные или неподдерживаемые платформы устройств
- Отключение сохраняемости браузера
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
-
Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
-
Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для рабочих нагрузок, чтобы определить политики для служебных участников.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.
Создание политики условного доступа
Следующие шаги помогут создать политику условного доступа, чтобы устройства, обращающиеся к ресурсам, были помечены как соответствующие политикам соответствия Intune вашей организации.
Предупреждение
Без политики соответствия требованиям, созданной в Microsoft Intune, эта политика условного доступа не будет работать должным образом. Сначала создайте политику соответствия требованиям и убедитесь, что перед продолжением работы у вас есть по крайней мере одно соответствующее устройство.
- Войдите в Центр администрирования Microsoft Entra как минимум с правами Администратора Условного Доступа.
- Перейдите к защите>условного доступа>политикам.
- Выберите Новая политика.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе исключить:
- Выберите Пользователи и группы
- Выберите аварийные или break-glass аккаунты вашей организации.
- Если вы используете решения гибридного удостоверения, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите роли каталога, а затем выберите учетные записи синхронизации каталогов
- Выберите Пользователи и группы
- В разделе "Целевые ресурсы">ресурсы (ранее — облачные приложения)>включитевсе ресурсы (ранее — "Все облачные приложения").
- Выберите Элементы управления доступом>Предоставить доступ.
- Выберите " Требовать, чтобы устройство было помечено как соответствующее".
- Выберите Выберите.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
Примечание.
Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех ресурсов "Все облачные приложения" (ранее "Все облачные приложения") с помощью предыдущих шагов. Требование, чтобы устройство было помечено как соответствующее, не блокирует регистрацию в Intune.
Известное поведение
В iOS, Android, macOS и некоторых веб-браузерах, отличных от Майкрософт, идентификатор Microsoft Entra определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.
Активация подписки
Организации, использующие функцию Subscription Activation для обновления пользователей с одной версии Windows на другую, могут пожелать исключить Windows Store for Business, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из своей политики соответствия устройств.