Vytvoření zásad podmíněného přístupu na základě zařízení
Microsoft Intune zásady dodržování předpisů zařízením můžou vyhodnotit stav spravovaných zařízení, aby se zajistilo, že splňují vaše požadavky, než jim udělíte přístup k aplikacím a službám vaší organizace. Výsledky stavu ze zásad dodržování předpisů zařízení můžou používat zásady Microsoft Entra podmíněného přístupu k vynucování standardů zabezpečení a dodržování předpisů. Tato kombinace se označuje jako podmíněný přístup založený na zařízení.
Tip
Kromě zásad podmíněného přístupu založených na zařízení můžete s Intune používat podmíněný přístup založený na aplikacích.
V Centru pro správu Intune můžete získat přístup k uživatelskému rozhraní zásad podmíněného přístupu, které najdete v Microsoft Entra ID. Tento přístup zahrnuje všechny možnosti podmíněného přístupu, které byste měli, kdybyste zásady nakonfigurovali z Azure Portal. Zásady, které vytvoříte, můžou určovat aplikace nebo služby, které chcete chránit, podmínky přístupu k aplikacím nebo službám a uživatele, na které se zásady vztahují.
Pokud chcete vytvořit zásadu podmíněného přístupu na základě zařízení, váš účet musí mít v Microsoft Entra jedno z následujících oprávnění:
- Globální správce
- Správce zabezpečení
- Správce podmíněného přístupu
Pokud chcete využít výhod stavu dodržování předpisů zařízením, nakonfigurujte zásady podmíněného přístupu na Vyžadovat, aby zařízení bylo označené jako vyhovující. Tato možnost se nastavuje při konfiguraci udělení přístupu v kroku 6 následujícího postupu.
Důležité
Před nastavením podmíněného přístupu budete muset nastavit zásady dodržování předpisů zařízením v Intune, které vyhodnotí zařízení na základě toho, jestli splňují konkrétní požadavky. Viz Začínáme se zásadami dodržování předpisů zařízením v Intune.
Vytvoření zásady podmíněného přístupu
Přihlaste se do Centra pro správu Microsoft Intune.
Vyberte Zabezpečení >koncového boduPodmíněný přístup>Vytvořit novou zásadu.
Otevře se podokno Nový, což je podokno konfigurace z Microsoft Entra. Zásada, kterou vytváříte, je Microsoft Entra zásadou pro podmíněný přístup. Další informace o tomto podokně a zásadách podmíněného přístupu najdete v tématu Součásti zásad podmíněného přístupu v obsahu Microsoft Entra.
V části Přiřazení nakonfigurujte uživatele tak, aby v adresáři, na který se zásady vztahují, vybrali identity. Další informace najdete v tématu Uživatelé a skupiny v dokumentaci k Microsoft Entra.
- Na kartě Zahrnout nakonfigurujte uživatele a skupiny, které chcete zahrnout.
- Kartu Vyloučit použijte, pokud existují uživatelé, role nebo skupiny, které chcete z této zásady vyloučit.
Tip
Před nasazením do větších skupin otestujte zásadu s menší skupinou uživatelů a ujistěte se, že fungují podle očekávání.
Dále nakonfigurujte cílové prostředky, které jsou také v části Přiřazení. V rozevíracím seznamu Vyberte, na co se tato zásada vztahuje , použijte k výběru cloudových aplikací.
Na kartě Zahrnout použijte dostupné možnosti k identifikaci aplikací a služeb, které chcete chránit pomocí těchto zásad podmíněného přístupu.
Pokud zvolíte Vybrat aplikace, pomocí dostupného uživatelského rozhraní vyberte aplikace a služby, které chcete chránit pomocí této zásady.
Upozornění
Nezamykejte se. Pokud zvolíte Všechny cloudové aplikace, zkontrolujte upozornění a potom vyloučíte z této zásady svůj uživatelský účet nebo jiné relevantní uživatele a skupiny, kteří by si měli zachovat přístup k používání centra pro správu Azure Portal nebo Microsoft Intune, jakmile se tato zásada projeví.
Kartu Vyloučit použijte, pokud existují nějaké aplikace nebo služby, které chcete z této zásady vyloučit.
Další informace najdete v tématu Cloudové aplikace nebo akce v dokumentaci Microsoft Entra.
Dále nakonfigurujte Podmínky. Vyberte signály, které chcete použít jako podmínky pro tuto zásadu. Mezi možnosti patří:
- Uživatelské riziko
- Riziko přihlášení
- Platformy zařízení
- Umístění
- Klientské aplikace
- Filtrování zařízení
Informace o těchto možnostech najdete v tématu Podmínky v dokumentaci k Microsoft Entra.
Tip
Pokud chcete chránit klienty moderního ověřování i klienty protokol Exchange ActiveSync, vytvořte dvě samostatné zásady podmíněného přístupu, jednu pro každý typ klienta. I když protokol Exchange ActiveSync podporuje moderní ověřování, jedinou podmínkou, kterou protokol Exchange ActiveSync podporuje, je platforma. Jiné podmínky, včetně vícefaktorového ověřování, se nepodporují. Pokud chcete efektivně chránit přístup k Exchange Online před protokol Exchange ActiveSync, vytvořte zásadu podmíněného přístupu, která určuje Exchange Online cloudové aplikace Microsoft 365 a klientskou aplikaci protokol Exchange ActiveSync s vybranou možností Použít zásadu jenom pro podporované platformy.
V části Řízení přístupu nakonfigurujte Udělení tak, aby se vybral jeden nebo více požadavků. Informace o možnostech udělení najdete v tématu Udělení v dokumentaci k Microsoft Entra.
Důležité
Pokud chcete, aby tato zásada používala stav dodržování předpisů zařízením, musíte v části Udělit přístup vybrat Vyžadovat, aby zařízení bylo označené jako vyhovující.
Blokovat přístup: Uživatelům zadaným v této zásadě bude odepřen přístup k aplikacím nebo službám za podmínek, které jste zadali.
Udělení přístupu: Uživatelům zadaným v této zásadě se udělí přístup, ale můžete vyžadovat některou z následujících dalších akcí:
- Vyžadovat vícefaktorové ověřování
- Vyžadovat sílu ověřování
- Vyžadovat, aby zařízení bylo označené jako vyhovující – Tato možnost je vyžadována, aby zásady používaly stav dodržování předpisů zařízením.
- Vyžadovat Microsoft Entra zařízení připojené k hybridnímu připojení
- Vyžadovat schválenou klientskou aplikaci
- Vyžadovat zásady ochrany aplikací
- Vyžadovat změnu hesla
V části Povolit zásadu vyberte Zapnuto. Ve výchozím nastavení je zásada nastavená na Pouze sestavy.
Vyberte Vytvořit.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro