Стандартные способы использования условного доступа с помощью Intune
Существует два типа политик условного доступа, которые можно использовать в Intune: условный доступ на основе устройств и условный доступ на основе приложений. Чтобы поддерживать каждую из них, необходимо настроить связанные политики Intune. Когда политики Intune развернуты и применены, вы можете использовать условный доступ для таких действий, как разрешение или блокировка доступа к Exchange, управление доступом к вашей сети или интеграция с решением защиты от угроз на мобильных устройствах.
Сведения в этой статье помогут вам понять, как использовать возможности соответствия требованиям мобильного устройства Intune и возможности управления мобильным приложением Intune (MAM).
Примечание.
Условный доступ — это возможность Microsoft Entra, включенная в лицензию Microsoft Entra ID P1 или P2. Intune расширяет эту возможность, добавляя в решение средства для обеспечения соответствия мобильных устройств и для управления мобильными приложениями. Узел условного доступа, доступный из Intune, является тем же узлом, что и из Microsoft Entra ID.
Условный доступ на основе устройств
Intune и Microsoft Entra ID работают вместе, чтобы только управляемые и соответствующие требованиям устройства могли получать доступ к электронной почте вашей организации, службам Microsoft 365, приложениям SaaS (программное обеспечение как услуга) и локальным приложениям. Кроме того, можно настроить политику в Microsoft Entra ID, чтобы разрешить доступ к службам Microsoft 365 только присоединенным к домену компьютерам или мобильным устройствам, зарегистрированным в Intune.
С помощью Intune вы можете развернуть политики соответствия устройств требованиям, чтобы определить, соответствует ли устройство ожидаемым требованиям к конфигурации и безопасности. Оценка политики соответствия требованиям определяет состояние соответствия устройства, которое сообщается как Intune, так и Microsoft Entra ID. Именно в Microsoft Entra ID политики условного доступа могут использовать состояние соответствия устройств для принятия решений о том, следует ли разрешать или блокировать доступ к ресурсам вашей организации с этого устройства.
Политики условного доступа на основе устройств для Exchange Online и других продуктов Microsoft 365 настраиваются в Центре администрирования Microsoft Intune.
Узнайте больше об обязательном использовании управляемых устройств с условным доступом в Microsoft Entra ID.
Дополнительные сведения см. в разделе о соответствии требованиям устройств Intune.
Узнайте больше о поддерживаемых браузерах с условным доступом в Microsoft Entra ID.
Примечание.
При включении доступа на основе устройств к содержимому, доступному пользователям из приложений браузера на устройствах с персональным рабочим профилем Android, пользователи, зарегистрированные до января 2021 года, должны включить доступ в браузере следующим образом:
- Запустите приложение Корпоративный портал.
- Откройте в меню страницу Параметры.
- В разделе Включить доступ в браузере коснитесь кнопки Включить.
- Закройте и перезапустите приложение браузера.
Это позволяет получить доступ к приложениям браузера, но не к представлениям WebViews браузера, которые открываются в приложениях.
Приложения, доступные в рамках условного доступа для управления Microsoft Intune
При настройке условного доступа в Центр администрирования Microsoft Entra у вас есть два приложения на выбор:
- Microsoft Intune. Это приложение управляет доступом к центру администрирования Microsoft Intune и источникам данных. Настройте разрешения и элементы управления в этом приложении, если вы хотите нацелиться на центр администрирования Microsoft Intune и источники данных.
- Microsoft Intune Enrollment — приложение для управления рабочим процессом регистрации. Настраивайте предоставление разрешений и элементы управления для этого приложения, ориентированные на процесс регистрации. Дополнительные сведения см. в статье Настройка обязательной многофакторной проверки подлинности для регистрации устройств в Intune.
Условный доступ на основе управления доступом к сети
Intune интегрируется с такими партнерами, как Cisco ISE, Aruba Clear Pass и Citrix NetScaler, чтобы обеспечить контроль доступа на основе регистрации Intune и состояния соответствия устройств.
Пользователям может быть разрешен или запрещен доступ к корпоративным ресурсам Wi-Fi или VPN в зависимости от того, управляется ли используемое ими устройство и соответствует ли оно политикам соответствия устройств Intune.
- Дополнительные сведения см. в разделе об интеграции NAC с Intune.
Условный доступ на основе рисках для устройств
Служба Intune работает в партнерстве с поставщиками защиты от угроз на мобильных устройствах, которые предлагают решения для обеспечения безопасности, позволяющие обнаруживать вредоносные программы, трояны и другие угрозы на мобильных устройствах.
Принципы интеграции защиты от угроз на мобильных устройствах с Intune
Если на мобильных устройствах установлен агент Mobile Threat Defense, он отправляет сообщения о состоянии соответствия требованиям обратно в Intune, чтобы сообщить об обнаружении угрозы на самом мобильном устройстве.
Интеграция Intune с защитой от угроз на мобильных устройствах является одним из факторов, определяющих решение о предоставлении условного доступа на основе сведений о рисках для устройства.
- Дополнительные сведения см. в разделе о защите от угроз на мобильных устройствах в Intune.
Условный доступ для компьютеров с Windows
Условный доступ для компьютеров позволяет использовать возможности, аналогичные тем, что доступны для мобильных устройств. Рассмотрим способы использования условного доступа при управлении компьютерами с помощью Intune.
Корпоративные устройства
Microsoft Entra гибридное присоединение. Этот вариант обычно используется организациями, которые достаточно хорошо знакомы с тем, как они уже управляют своими компьютерами с помощью групповых политик AD или Configuration Manager.
Microsoft Entra присоединение к домену и управление Intune. Этот сценарий предназначен для организаций, которые хотят быть первыми облачными (т. е. в первую очередь используют облачные службы, чтобы сократить использование локальной инфраструктуры) или только для облака (без локальной инфраструктуры). Microsoft Entra объединение хорошо работает в гибридной среде, обеспечивая доступ как к облачным, так и локальным приложениям и ресурсам. Устройство присоединяется к Microsoft Entra ID и регистрируется в Intune, что можно использовать в качестве критерия условного доступа при доступе к корпоративным ресурсам.
Принеси свое устройство (BYOD)
- Workplace Join и управление Intune. Здесь пользователь может подключить свои личные устройства для доступа к корпоративным ресурсам и службам. Workplace Join и регистрацию устройств в Intune MDM можно использовать для получения политик на уровне устройства, что является одним из способов оценить соблюдение критериев условного доступа.
Дополнительные сведения о Управление устройствами в Microsoft Entra ID.
Условный доступ на основе приложения
Intune и Microsoft Entra ID работают вместе, чтобы гарантировать, что только управляемые приложения могут получить доступ к корпоративной электронной почте или другим службам Microsoft 365.
- Дополнительные сведения см. в разделе об условном доступе на основе приложений с помощью Intune.
Условный доступ Intune для локальной организации Exchange
Условный доступ можно использовать для разрешения или блокирования доступа к локальной среде Exchange на основе политик соответствия устройств и состояния регистрации. При использовании условного доступа совместно с политикой соответствия устройства доступ к локальной среде Exchange получают только соответствующие устройства.
Для более детализированного управления можно настроить дополнительные параметры условного доступа, включая следующие.
Разрешение или блокировка определенных платформ.
Немедленная блокировка устройств, которые не управляются Intune.
В случае, когда применяются политики соответствия устройств и условного доступа, любое устройство, пытающееся получить доступ к локальной среде Exchange, проверяется на соответствие требованиям.
Если устройства не удовлетворяют заданным условиям, запускается процесс регистрации устройства, чтобы устранить проблему, которая делает устройство несоответствующим.
Примечание.
Начиная с июля 2020 года поддержка соединителя Exchange не рекомендуется и заменена на гибридную современную проверку подлинности (HMA) Exchange. Использование HMA не требует установки Intune и использования соединителя Exchange. С этим изменением пользовательский интерфейс для настройки соединителя Exchange для Intune и управления им был удален из центра администрирования Microsoft Intune, если вы еще не используете соединитель Exchange с подпиской.
Если в вашей среде настроен соединитель Exchange, клиент Intune по-прежнему будет поддерживаться и у вас останется доступ к пользовательскому интерфейсу, который поддерживает его конфигурацию. Дополнительные сведения см. в статье Установка локального соединителя Exchange. Вы можете продолжить использовать соединитель или настроить HMA, а затем удалить соединитель.
Гибридная современная проверка подлинности предоставляет функции, которые ранее были предоставлены соединителем Exchange для Intune: сопоставление удостоверения устройства с записью Exchange. Это сопоставление теперь выполняется за пределами конфигурации, которую вы создаете в Intune, или требований соединителя Intune для соединения Intune и Exchange. При использовании HMA требование к использованию специальной конфигурации для Intune (соединителя) больше не применяется.
В чем заключается роль Intune?
Intune оценивает и контролирует состояние устройства.
В чем заключается роль сервера Exchange?
Сервер Exchange предоставляет API и инфраструктуру для перевода устройств в карантин.
Важно!
Имейте в виду, что пользователь, использующий устройство, должен иметь профиль соответствия и назначенную ему лицензию Intune, позволяющие оценить соответствие устройства. Если политика соответствия не развернута для пользователя, устройство считается соответствующим, поэтому ограничения доступа к нему не применяются.
Дальнейшие действия
Настройка условного доступа в Microsoft Entra ID
Настройка политик условного доступа на основе приложений
Создание политики условного доступа для локальной организации Exchange