搭配使用條件式存取與 Intune的常見方式
您可以搭配 Intune 使用兩種類型的條件式存取原則:裝置型條件式存取和應用程式型條件式存取。 若要支援每個原則,您必須設定相關的 Intune 原則。 當 Intune 原則就緒並部署時,您可以接著使用條件式存取來執行一些動作,例如允許或封鎖對 Exchange 的存取、控制對您網路的存取,或與 Mobile Threat Defense 解決方案整合。
本文中的資訊可協助您瞭解如何使用 Intune 行動裝置合規性功能,以及 Intune 行動應用程式管理 (MAM) 功能。
注意事項
條件式存取是 Microsoft Entra ID P1 或 P2 授權隨附的 Microsoft Entra 功能。 Intune 將行動裝置合規性和行動裝置應用程式管理新增至解決方案,以增強此功能。 從 Intune 存取的條件式存取節點與從 Microsoft Entra ID 存取的節點相同。
裝置型條件式存取
Intune 和 Microsoft Entra ID 一起合作,以確保只有受管理且相容的裝置可以存取您組織的電子郵件、Microsoft 365 服務、軟體即服務 (SaaS) 應用程式,以及內部部署應用程式。 此外,您可以在 Microsoft Entra ID 中設定原則,只啟用已加入網域的計算機或在 Intune 中註冊的行動裝置,以存取Microsoft 365 服務。
透過 Intune,您可以部署裝置合規性原則,以判斷裝置是否符合您預期的設定和安全性需求。 合規性政策評估會決定裝置的合規性狀態,這會同時向 Intune 和 Microsoft Entra ID 報告。 Microsoft Entra ID 條件式存取原則可以使用裝置的合規性狀態來決定是否允許或封鎖從該裝置存取貴組織的資源。
Exchange Online 和其他Microsoft 365 產品的裝置型條件式存取原則是透過 Microsoft Intune 系統管理中心設定。
深入瞭解在 Microsoft Entra ID 中使用條件式存取要求受控裝置。
深入瞭解 Intune 裝置合規性。
注意事項
當您針對使用者從其 Android 個人擁有工作設定檔案裝置上的瀏覽器應用程式存取的內容啟用裝置型存取時,在 2021 年 1 月之前註冊的使用者必須啟用瀏覽器存取,如下所示:
- 啟動 公司入口網站 應用程式。
- 從選單移至 [ 設定] 頁面。
- 在 [ 啟用瀏覽器存取] 區段中,點選 [ 啟用 ] 按鈕。
- 關閉瀏覽器應用程式,然後重新啟動。
這可讓您存取瀏覽器應用程式,但無法存取在應用程式內開啟的瀏覽器 WebView。
條件式存取中可用來控制 Microsoft Intune
當您在 Microsoft Entra 系統管理中心 中設定條件式存取時,您有兩個應用程式可供選擇:
- Microsoft Intune - 此應用程式會控制 Microsoft Intune 系統管理中心和數據源的存取權。 當您想要以 Microsoft Intune 系統管理中心和數據源為目標時,請在此應用程式上設定授與/控制。
- Microsoft Intune 註冊 - 此應用程式會控制註冊工作流程。 當您想要以註冊程式為目標時,請在此應用程式上設定授與/控制。 如需詳細資訊,請參閱針對 Intune 裝置註冊需要多重要素驗證。
以網路存取控制為基礎的條件式存取
Intune 與 Cisco ISE、Aruba Clear Pass 和 Citrix NetScaler 等合作夥伴整合,以根據 Intune 註冊和裝置合規性狀態提供訪問控制。
根據使用者使用的裝置是否受管理且符合 Intune 裝置合規性政策,用戶可以允許或拒絕存取公司 Wi-Fi 或 VPN 資源。
- 深入瞭解 NAC 與 Intune 整合。
根據裝置風險的條件式存取
Intune 與Mobile Threat Defense廠商合作,提供安全性解決方案來偵測行動裝置上的惡意代碼、特洛伊木馬程式和其他威脅。
Intune 與 Mobile Threat Defense 整合的運作方式
當行動裝置安裝Mobile Threat Defense 代理程式時,代理程式會在行動裝置本身找到威脅時,將合規性狀態消息傳送回 Intune 報告。
Intune和行動威脅防禦整合會根據裝置風險在條件式存取決策中扮演重要因素。
- 深入瞭解 Intune 行動裝置威脅防禦。
Windows 計算機的條件式存取
計算機的條件式存取所提供的功能與行動裝置的功能類似。 讓我們來討論使用 Intune 管理計算機時,您可以使用條件式存取的方式。
公司擁有
Microsoft Entra 混合式聯結:組織通常會使用此選項,以合理地熟悉其已透過 AD 組策略或 Configuration Manager 管理計算機的狀況。
Microsoft Entra 加入網域並 Intune 管理:此案例適用於想要成為雲端優先 (的組織,也就是主要使用雲端服務,目標是減少使用內部部署基礎結構) 或僅限雲端 (不使用內部部署基礎結構) 。 Microsoft Entra 加入在混合式環境中運作良好,可讓您存取雲端和內部部署應用程式和資源。 裝置會加入 Microsoft Entra ID,並註冊至 Intune,這可在存取公司資源時作為條件式存取準則。
將您自己的裝置 (BYOD)
- 工作場所加入和 Intune 管理:在此,使用者可以加入其個人裝置,以存取公司資源和服務。 您可以使用 Workplace Join 將裝置註冊到 Intune MDM 以接收裝置層級原則,這是評估條件式存取準則的另一個選項。
深入瞭解 Microsoft Entra ID 中的 裝置管理。
應用程式型條件式存取
Intune 和 Microsoft Entra ID 可一起合作,以確保只有受控應用程式可以存取公司電子郵件或其他 Microsoft 365 服務。
- 深入瞭解使用 Intune的應用程式型條件式存取。
Intune Exchange 內部部署的條件式存取
條件式存取可用來根據裝置合規性原則和註冊狀態來允許或封鎖 對 Exchange 內部 部署的存取。 當條件式存取與裝置合規性政策搭配使用時,只允許符合規範的裝置存取 Exchange 內部部署。
您可以在條件式存取中設定進階設定,以取得更細微的控制,例如:
允許或封鎖特定平臺。
立即封鎖不受 Intune 管理的裝置。
套用裝置合規性和條件式存取原則時,會檢查用來存取 Exchange 內部部署的任何裝置是否符合規範。
當裝置不符合設定的條件時,系統會引導使用者完成註冊裝置的程式,以修正導致裝置不符合規範的問題。
注意事項
從 2020 年 7 月開始,Exchange 連接器的支援已過時,並由 Exchange 混合式新式驗證 (HMA) 取代。 使用 HMA 不需要 Intune 即可設定及使用 Exchange Connector。 透過這項變更,除非您已在訂用帳戶中使用 Exchange 連接器,否則已從 Microsoft Intune 系統管理中心移除設定及管理適用於 Intune 的 Exchange Connector 的 UI。
如果您已在環境中設定 Exchange Connector,您的 Intune 租使用者仍受支援以供其使用,而且您將可繼續存取支援其設定的 UI。 如需詳細資訊,請 參閱安裝 Exchange 內部部署連接器。 您可以繼續使用連接器或設定 HMA,然後卸載您的連接器。
混合式新式驗證提供 Exchange Connector 先前針對 Intune:裝置身分識別與其 Exchange 記錄的對應所提供的功能。 此對應現在會發生在您在 Intune 或 Intune 連接器對網橋 Intune 和 Exchange 的需求設定之外。 使用 HMA 時,已移除在連接器) (使用『Intune』 特定組態的需求。
Intune 角色是什麼?
Intune 會評估和管理裝置狀態。
什麼是 Exchange 伺服器角色?
Exchange Server 提供 API 和基礎結構,可將裝置移至隔離區。
重要事項
請記住,使用裝置的用戶必須獲指派合規性配置檔和 Intune 授權,才能評估裝置的合規性。 如果未將合規性政策部署至使用者,則會將裝置視為符合規範,且不會套用任何存取限制。