Требовать соответствие устройств условному доступу

Microsoft Intune и Microsoft Entra работают вместе, чтобы защитить организацию с помощью политик соответствия устройств и условного доступа. Политики соответствия устройств — отличный способ обеспечить соответствие пользовательских устройств минимальным требованиям к конфигурации. Требования могут применяться при доступе пользователей к службам, защищенным с помощью политик условного доступа.

Некоторые организации могут быть не готовы требовать соответствия устройств для всех пользователей. Вместо этого эти организации могут выбрать развертывание следующих политик:

• Требовать соответствие требованиям или гибридное устройство, присоединенное к Microsoft Entra, для администраторов
• Должны быть либо совместимое устройство, либо гибридное устройство Microsoft Entra, либо многофакторная проверка подлинности для всех пользователей
• Блокировать неизвестные или неподдерживаемые платформы устройств
• Отключение сохраняемости браузера

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для рабочих нагрузок, чтобы определить политики для служебных участников.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа, чтобы устройства, обращающиеся к ресурсам, были помечены как соответствующие политикам соответствия Intune вашей организации.

Предупреждение

Без политики соответствия требованиям, созданной в Microsoft Intune, эта политика условного доступа не будет работать должным образом. Сначала создайте политику соответствия требованиям и убедитесь, что перед продолжением работы у вас есть по крайней мере одно соответствующее устройство.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами Администратора Условного Доступа.
2. Перейдите к защите>условного доступа>политикам.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе исключить:
      1. Выберите Пользователи и группы
         1. Выберите аварийные или break-glass аккаунты вашей организации.
         2. Если вы используете решения гибридного удостоверения, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите роли каталога, а затем выберите учетные записи синхронизации каталогов
6. В разделе "Целевые ресурсы">ресурсы (ранее — облачные приложения)>включитевсе ресурсы (ранее — "Все облачные приложения").
7. Выберите Элементы управления доступом>Предоставить доступ.
   1. Выберите " Требовать, чтобы устройство было помечено как соответствующее".
   2. Выберите Выберите.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Примечание.

Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех ресурсов "Все облачные приложения" (ранее "Все облачные приложения") с помощью предыдущих шагов. Требование, чтобы устройство было помечено как соответствующее, не блокирует регистрацию в Intune.

Известное поведение

В iOS, Android, macOS и некоторых веб-браузерах, отличных от Майкрософт, идентификатор Microsoft Entra определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию Subscription Activation для обновления пользователей с одной версии Windows на другую, могут пожелать исключить Windows Store for Business, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из своей политики соответствия устройств.

Связанный контент

• Создание политики соответствия требованиям в Microsoft Intune
• Элементы управления предоставлением условного доступа