通过 Intune 使用条件访问的常见方式

有两种类型的条件访问策略可通过 Intune 使用:基于设备的条件访问和基于应用的条件访问。 若要支持每个策略,需要配置相关的 Intune 策略。 当 Intune 策略已部署到位时,可以使用条件访问来允许或阻止访问Exchange、控制对网络的访问或与移动威胁防御解决方案集成。

本文中的信息有助于了解如何使用 Intune 移动设备符合性功能和 Intune 移动应用程序管理 (MAM) 功能

注意

条件访问是Microsoft Entra ID P1 或 P2 许可证附带的Microsoft Entra功能。 Intune 通过向解决方案添加移动设备符合性和移动应用管理来增强此功能。 从 Intune 访问的条件访问节点与从 Microsoft Entra ID 访问的节点相同。

基于设备的条件访问

Intune和Microsoft Entra ID协同工作,确保只有托管且合规的设备可以访问组织的电子邮件、Microsoft 365 服务、SaaS) 应用 (软件即服务以及本地应用。 此外,可以在 Microsoft Entra ID 中设置策略,仅允许在 Intune 中注册的已加入域的计算机或移动设备访问 Microsoft 365 服务。

通过 Intune,可以部署设备合规性策略,以确定设备是否满足预期的配置和安全要求。 合规性策略评估确定设备的符合性状态,该状态将报告给Intune和Microsoft Entra ID。 Microsoft Entra ID条件访问策略可以使用设备的符合性状态来决定是允许还是阻止从该设备访问组织的资源。

Exchange Online 和其他 Microsoft 365 产品的基于设备的条件访问策略通过 Microsoft Intune 管理中心进行配置。

注意

为用户通过其 Android 个人拥有的工作配置文件设备上的浏览器应用访问的内容启用基于设备的访问时,2021 年 1 月之前注册的用户必须启用浏览器访问,如下所示:

  1. 启动“公司门户”应用。
  2. 从菜单转到“设置”页面
  3. 在“启用浏览器访问”部分,点击“启用”按钮
  4. 关闭并重启浏览器应用。

这样可以在浏览器应用中进行访问,但不能访问在应用中打开的浏览器 WebView。

用于控制 Microsoft Intune 的条件访问中可用的应用程序

在 Microsoft Entra 管理中心中配置条件访问时,有两个应用程序可供选择:

  1. Microsoft Intune - 此应用程序控制对Microsoft Intune管理中心和数据源的访问。 当你想要面向Microsoft Intune管理中心和数据源时,请在此应用程序上配置授权/控制。
  2. Microsoft Intune 注册 - 此应用程序控制注册工作流。 如果要以注册过程为目标,请在此应用程序上配置授权/控制。 有关详细信息,请参阅对 Intune 设备注册要求多重身份验证

基于网络访问控制的条件访问

基于 Intune 注册和设备符合性状态,Intune 与 Cisco ISE、Aruba Clear Pass 以及 Citrix NetScaler 等合作伙伴集成,以提供访问控制。

根据用户使用的设备是否受管理以及是否符合 Intune 设备符合性策略,可以允许或拒绝他们访问企业 Wi-Fi 或 VPN 资源。

基于设备风险的条件访问

Intune 与移动威胁防护供应商合作提供安全性解决方案,以检测恶意软件、木马以及移动设备上的其他威胁。

Intune 和移动威胁防御集成的工作方式

在移动设备安装了移动威胁防御代理后,一旦发现移动设备自身存在威胁,代理即将符合性状态消息发送回 Intune 报告。

在基于设备风险的条件访问决策中,Intune 和移动威胁防御集成发挥着重要的作用。

适用于 Windows 电脑的条件访问

适用于电脑的条件访问提供与移动设备可用的类似功能。 让我们介绍一下使用 Intune 管理电脑时,你可以使用条件访问的方式。

公司拥有的设备

  • Microsoft Entra混合联接:此选项通常由对如何通过 AD 组策略或Configuration Manager管理电脑感到相当满意的组织使用。

  • Microsoft Entra域加入和Intune管理:此方案适用于希望成为云优先 ((主要使用云服务)的组织,其目标是减少使用本地基础结构) 或仅限云 (无本地基础结构) 。 Microsoft Entra联接在混合环境中非常有效,允许访问云和本地应用和资源。 设备加入到Microsoft Entra ID,并注册到Intune,在访问公司资源时,这可用作条件访问条件。

自带设备办公 (BYOD)

  • 工作区加入和 Intune 管理:用户可加入其个人设备以访问公司资源和服务。 你可以使用工作区将设备加入并注册到 Intune MDM 以接收设备级别的策略,这是评估条件访问标准的另一个选项。

详细了解 Microsoft Entra ID 中的设备管理

基于应用的条件访问

将 Intune 与 Microsoft Entra ID 配合使用,可确保只有托管应用才能访问企业电子邮件或其他 Microsoft 365 服务。

本地 Exchange 的 Intune 条件访问

基于设备合规性策略和注册状态,条件性访问可用于允许或阻止访问 本地 Exchange。 配合使用条件访问与设备合规性策略时,仅允许合规的设备访问本地 Exchange。

可以在条件访问中配置高级设置,以进行更精细的控制,例如:

  • 允许或阻止某些平台。

  • 立即阻止不受 Intune 管理的设备。

应用设备合规性和条件访问策略时,将检查用于访问本地 Exchange 的设备的合规性。

设备不满足设置的条件时,指导最终用户完成设备注册流程,以修复导致设备不符合的问题。

注意

从 2020 年 7 月开始,已弃用对 Exchange Connector 的支持,并已替换为 Exchange 新式混合身份验证 (HMA)。 使用 HMA 不需要 Intune 设置和使用 Exchange Connector。 通过此更改,配置和管理 exchange Connector for Intune 的 UI 已从 Microsoft Intune 管理中心中删除,除非已在订阅中使用 Exchange 连接器。

如果你的环境中设置了 Exchange Connector,则仍支持你的 Intune 租户使用该连接器,并且你有权继续访问支持其配置的 UI。 有关详细信息,请参阅安装本地 Exchange 连接器。 你可以继续使用该连接器,或者配置 HMA 后卸载你的连接器。

混合新式身份验证提供的功能之前 Intune Exchange Connector 也曾提供:设备标识到其 Exchange 记录的映射。 现在,此映射发生在你在 Intune 中进行的配置之外,或者要求 Intune 连接器桥接 Intune 和 Exchange。 使用 HMA,不再要求使用“Intune”特定配置(连接器)。

什么是 Intune 角色?

Intune 评估并管理设备状态。

什么是 Exchange Server 角色?

Exchange Server 提供了 API 和基础结构,可将设备移至隔离区域。

重要

请注意,使用设备的用户必须将符合性配置文件和 Intune 许可证分配到该设备中,以便对其进行符合性评估。 如果未向用户部署合规性策略,该设备将被视为合规且不会对其应用任何访问限制。

后续步骤

如何在 Microsoft Entra ID 中配置条件访问

设置基于应用的条件访问策略

如何为本地 Exchange 创建条件访问策略