Skapa motståndskraft med enhetstillstånd

Genom att aktivera enhetstillstånd med Microsoft Entra-ID kan administratörer skapa principer för villkorsstyrd åtkomst som styr åtkomsten till program baserat på enhetstillstånd. Aktivering av enhetstillstånd uppfyller starka autentiseringskrav för resursåtkomst, minskar begäranden om multifaktorautentisering och förbättrar återhämtning.

I följande flödesdiagram visas olika sätt att registrera enheter i Microsoft Entra-ID som aktiverar enhetstillstånd. Du kan använda mer än en i din organisation.

När du använder enhetstillstånd får användarna i de flesta fall enkel inloggning till resurser via en primär uppdateringstoken (PRT). PRT innehåller anspråk om användaren och enheten. Du kan använda dessa anspråk för att hämta autentiseringstoken för att komma åt program från enheten. PRT är giltigt i 14 dagar och förnyas kontinuerligt så länge användaren aktivt använder enheten, vilket ger användarna en elastisk upplevelse. Mer information om hur en PRT kan hämta anspråk för multifaktorautentisering finns i När får en PRT ett MFA-anspråk.

Hur hjälper enhetstillstånd?

När en PRT begär åtkomst till ett program är dess enheter, sessioner och MFA-anspråk betrodda av Microsoft Entra-ID. När administratörer skapar principer som kräver antingen en enhetsbaserad kontroll eller en multifaktorautentiseringskontroll kan principkravet uppfyllas genom dess enhetstillstånd utan att MFA används. Användarna ser inte fler MFA-frågor på samma enhet. Detta ökar motståndskraften mot avbrott i Microsoft Entra-multifaktorautentiseringstjänsten eller beroenden som lokala telekomleverantörer.

Hur gör jag för att implementera enhetstillstånd?

• Aktivera Microsoft Entra-hybridansluten och Microsoft Entra-anslutning för företagsägda Windows-enheter och kräva att de ansluts, om möjligt. Om det inte är möjligt måste du kräva att de registreras. Om det finns äldre versioner av Windows i din organisation uppgraderar du enheterna så att de använder Windows 10.
• Standardisera användarwebbläsarens åtkomst för att använda antingen Microsoft Edge eller Google Chrome med Microsoft Enkel inloggning-tillägget som möjliggör sömlös enkel inloggning för webbprogram med hjälp av PRT.
• Distribuera Microsoft Authenticator-appen för personliga eller företagsägda iOS- och Android-enheter. Förutom MFA- och lösenordslösa inloggningsfunktioner möjliggör Microsoft Authenticator-appen enkel inloggning i inbyggda program via asynkron autentisering med färre autentiseringsanvisningarna för slutanvändare.
• För personliga eller företagsägda iOS- och Android-enheter använder du hantering av mobilprogram för säker åtkomst till företagsresurser med färre autentiseringsbegäranden.
• För macOS-enheter använder du Microsoft Enterprise SSO-plugin-programmet för Apple-enheter (förhandsversion) för att registrera enheten och tillhandahålla enkel inloggning i webbläsare och interna Microsoft Entra-program. Följ sedan stegen som är specifika för Microsoft Intune eller Jamf Pro baserat på din miljö.

Nästa steg

Motståndskraftsresurser för administratörer och arkitekter

• Skapa motståndskraft med hantering av autentiseringsuppgifter
• Skapa motståndskraft med hjälp av kontinuerlig åtkomstutvärdering (CAE)
• Skapa motståndskraft vid extern användarautentisering
• Skapa motståndskraft i din hybridautentisering
• Skapa motståndskraft i programåtkomst med Programproxy

Motståndskraftsresurser för utvecklare

• Skapa IAM-motståndskraft i dina program
• Skapa motståndskraft i dina CIAM-system