Běžné zásady podmíněného přístupu: Vyžadovat kompatibilní zařízení, hybridní zařízení připojené k Microsoft Entra nebo vícefaktorové ověřování pro všechny uživatele

Organizace, které nasadily Microsoft Intune, můžou informace vrácené ze svých zařízení použít k identifikaci zařízení, která splňují požadavky na dodržování předpisů, například:

• Vyžadování kódu PIN k odemknutí
• Vyžadování šifrování zařízení
• Vyžadování minimální nebo maximální verze operačního systému
• Vyžadování zařízení není jailbreak ani root

Informace o dodržování zásad se odesílají do ID Microsoft Entra, kde se podmíněný přístup rozhodne udělovat nebo blokovat přístup k prostředkům. Další informace o zásadách dodržování předpisů pro zařízení najdete v článku Nastavení pravidel na zařízeních, která umožňují přístup k prostředkům ve vaší organizaci pomocí Intune.

Vyžadování hybridního zařízení připojeného k Microsoft Entra závisí na zařízeních, která už jsou připojená službou Microsoft Entra Hybrid Join. Další informace najdete v článku Konfigurace hybridního připojení Microsoft Entra.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet Microsoft Entra Připojení Sync. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Nasazení šablon

Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.

Vytvořte zásady podmíněného přístupu

Následující kroky vám pomůžou vytvořit zásadu podmíněného přístupu, která bude vyžadovat vícefaktorové ověřování, zařízení, která přistupují k prostředkům, označená jako kompatibilní se zásadami dodržování předpisů v Intune vaší organizace nebo jako hybridní připojení Microsoft Entra.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
2. Přejděte k podmíněnému přístupu k ochraně>.
3. Vyberte Vytvořit novou zásadu.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Možnost Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
6. V části Cílové prostředky>: Zahrnout cloudové aplikace>vyberte Všechny cloudové aplikace.
   1. Pokud z zásad musíte vyloučit konkrétní aplikace, můžete je vybrat na kartě Vyloučit v části Vybrat vyloučené cloudové aplikace a zvolit Vybrat.
7. V části Řízení>přístupu Udělení.
   1. Vyberte Vyžadovat vícefaktorové ověřování, Vyžadovat, aby zařízení bylo označené jako vyhovující, a vyžadovat hybridní zařízení připojené k Microsoftu Entra.
   2. U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
   3. Zvolte Zvolit.
8. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Poznámka:

Nová zařízení můžete zaregistrovat do Intune, i když pomocí výše uvedeného postupu vyberete Vyžadovat, aby zařízení bylo označené jako vyhovující všem uživatelům a všem cloudovým aplikacím . Vyžadovat, aby zařízení bylo označené jako vyhovující řízení, neblokuje registraci Intune a přístup k aplikaci Microsoft Intune Web Portál společnosti.

Známé chování

Ve Windows 7, iOS, Androidu, macOS a některých webových prohlížečích třetích stran identifikuje Microsoft Entra ID zařízení pomocí klientského certifikátu zřízeného při registraci zařízení pomocí Microsoft Entra ID. Když se uživatel poprvé přihlásí přes prohlížeč, zobrazí se výzva k výběru certifikátu. Koncový uživatel musí tento certifikát vybrat, aby mohl dál používat prohlížeč.

Aktivace předplatného

Organizace, které používají funkci aktivace předplatného, umožňují uživatelům "krokovat" z jedné verze Windows do jiné a používat zásady podmíněného přístupu k řízení přístupu, aby z jejich zásad podmíněného přístupu vyloučily jednu z následujících cloudových aplikací pomocí možnosti Vybrat vyloučené cloudové aplikace:

• Rozhraní API služby Universal Store a webová aplikace, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Windows Store pro firmy, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f.

I když je ID aplikace v obou instancích stejné, název cloudové aplikace závisí na tenantovi.

Další informace o konfiguraci vyloučení vzásadách

Pokud je zařízení po delší dobu offline, nemusí se zařízení automaticky aktivovat, pokud toto vyloučení podmíněného přístupu není splněné. Nastavením tohoto vyloučení podmíněného přístupu zajistíte, že aktivace předplatného bude bez problémů fungovat.

Od Windows 11 verze 23H2 s KB5034848 nebo novějším se uživatelům zobrazí výzva k ověření pomocí informační zprávy, když aktivace předplatného potřebuje opětovnou aktivaci. Informační zpráva zobrazí následující zprávu:

Váš účet vyžaduje ověření.

Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.

V podokně Aktivace se navíc může zobrazit následující zpráva:

Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.

K výzvě k ověření obvykle dochází, když je zařízení po delší dobu offline. Tato změna eliminuje potřebu vyloučení v zásadách podmíněného přístupu pro Windows 11 verze 23H2 s KB5034848 nebo novějším. Zásady podmíněného přístupu se dají dál používat s Windows 11 verze 23H2 s KB5034848 nebo novějším, pokud není žádoucí výzva k ověření uživatele prostřednictvím informačního oznámení.

Další kroky

Šablony podmíněného přístupu

Určení efektu pomocí režimu pouze sestavy podmíněného přístupu

Pomocí režimu jen pro podmíněný přístup můžete určit výsledky nových rozhodnutí o zásadách.

Zásady dodržování předpisů zařízením fungují s ID Microsoft Entra