Podmíněný přístup: Podmínky

V rámci zásad podmíněného přístupu může správce využít signály z podmínek, jako jsou rizika, platforma zařízení nebo umístění k vylepšení rozhodnutí o zásadách.

Define a Conditional Access policy and specify conditions

Pokud chcete vytvořit podrobné a specifické zásady podmíněného přístupu, můžete zkombinovat několik podmínek.

Například při přístupu k citlivé aplikaci může správce přistoupit k rizikovým informacím o přihlášení ze služby Identity Protection a umístění do jejich rozhodnutí o přístupu kromě jiných ovládacích prvků, jako je vícefaktorové ověřování.

Riziko přihlášení

Pro zákazníky s přístupem k Identity Protection je možné riziko přihlašování vyhodnotit jako součást zásad podmíněného přístupu. Riziko přihlášení představuje pravděpodobnost, že daný požadavek na ověření není autorizován vlastníkem identity. Další informace o riziku přihlašování najdete v článcích, Co je riziko a postupy: Konfigurace a povolení zásad rizik.

Riziko uživatele

Pro zákazníky s přístupem ke službě Identity Protection je možné riziko uživatelů vyhodnotit jako součást zásad podmíněného přístupu. Uživatelské riziko představuje pravděpodobnost, že je ohrožena daná identita nebo účet. Další informace o riziku uživatelů najdete v článcích, Co je riziko a Postupy: Konfigurace a povolení zásad rizik.

Platformy zařízení

Platforma zařízení je charakterizována operačním systémem, který běží na zařízení. Azure AD identifikuje platformu pomocí informací poskytovaných zařízením, jako jsou řetězce uživatelských agentů. Vzhledem k tomu, že řetězce uživatelského agenta je možné upravit, tyto informace jsou neověřené. Platforma zařízení by se měla používat ve spolupráci se zásadami dodržování předpisů pro zařízení v Microsoft Intune nebo jako součást prohlášení o blokování. Výchozí hodnota je použít pro všechny platformy zařízení.

Podmíněný přístup Azure AD podporuje následující platformy zařízení:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Pokud zablokujete starší ověřování pomocí podmínky Ostatní klienti , můžete také nastavit podmínku platformy zařízení.

Důležité

Microsoft doporučuje, abyste měli zásady podmíněného přístupu pro nepodporované platformy zařízení. Pokud například chcete blokovat přístup k firemním prostředkům z Chrome OS nebo z jiných nepodporovaných klientů, měli byste nakonfigurovat zásadu s podmínkou platformy zařízení, která zahrnuje jakékoli zařízení, a vyloučit podporované platformy zařízení a udělit řízení nastavené na Blokovat přístup.

Umístění

Když konfigurujete umístění jako podmínku, můžou se organizace rozhodnout zahrnout nebo vyloučit umístění. Tato pojmenovaná umístění můžou obsahovat informace o veřejné síti IPv4, zemi nebo oblast nebo dokonce neznámé oblasti, které se nemapují na konkrétní země nebo oblasti. Jako důvěryhodné umístění lze označit pouze rozsahy IP adres.

Při zahrnutí libovolného umístění tato možnost zahrnuje libovolnou IP adresu na internetu, ne jenom nakonfigurovaná pojmenovaná umístění. Při výběru libovolného umístění můžou správci vyloučit všechna důvěryhodná nebo vybraná umístění.

Některé organizace se například můžou rozhodnout, že nevyžadují vícefaktorové ověřování, když jsou jejich uživatelé připojení k síti v důvěryhodném umístění, jako je například jejich fyzické ústředí. Správci můžou vytvořit zásadu, která zahrnuje jakékoli umístění, ale vylučuje vybraná umístění pro jejich sítě ústředí.

Další informace o umístěních najdete v článku o podmínce umístění v podmíněném přístupu Azure Active Directory.

Klientské aplikace

Ve výchozím nastavení se všechny nově vytvořené zásady podmíněného přístupu použijí pro všechny typy klientských aplikací i v případě, že není nakonfigurovaná podmínka klientských aplikací.

Poznámka

Chování podmínky klientských aplikací bylo aktualizováno v srpnu 2020. Pokud máte existující zásady podmíněného přístupu, zůstanou beze změny. Pokud ale kliknete na existující zásadu, přepínač konfigurace byl odebrán a klientské aplikace, na které se zásady vztahují, jsou vybrané.

Důležité

Přihlášení ze starších klientů ověřování nepodporují vícefaktorové ověřování a nepředávají do Azure AD informace o stavu zařízení, takže budou blokované ovládacími prvky udělení podmíněného přístupu, jako je vyžadování vícefaktorového ověřování nebo zařízení kompatibilních se zařízeními. Pokud máte účty, které musí používat starší ověřování, musíte tyto účty buď vyloučit ze zásad, nebo nakonfigurovat zásady tak, aby platily jenom pro moderní klienty ověřování.

Přepínač Konfigurovat , pokud je nastavená na hodnotu Ano , platí pro zaškrtnuté položky, pokud je nastavená na hodnotu Ne , platí pro všechny klientské aplikace, včetně moderních a starších klientů ověřování. Tento přepínač se nezobrazuje v zásadách vytvořených před srpnem 2020.

  • Moderní klienti ověřování
    • Prohlížeč
      • Patří mezi ně webové aplikace, které používají protokoly, jako je SAML, WS-Federation, OpenID Connect nebo služby zaregistrované jako důvěrný klient OAuth.
    • Mobilní aplikace a desktopoví klienti
      • Tato možnost zahrnuje aplikace, jako jsou desktopové a telefonní aplikace Office.
  • Starší klienti ověřování
    • Klienti Exchange ActiveSync
      • Tento výběr zahrnuje všechny použití protokolu Exchange ActiveSync (EAS).
      • Když zásady zablokují použití protokolu Exchange ActiveSync, obdrží ovlivněný uživatel jeden e-mail o karanténě. Tento e-mail s informacemi o tom, proč jsou blokované, a pokud je to možné, uveďte pokyny k nápravě.
      • Správci můžou zásady použít jenom na podporované platformy (například iOS, Android a Windows) prostřednictvím rozhraní Microsoft Graph API podmíněného přístupu.
    • Ostatní klienti
      • Tato možnost zahrnuje klienty, kteří používají základní nebo starší ověřovací protokoly, které nepodporují moderní ověřování.
        • Ověřený protokol SMTP – Používá se k odesílání e-mailových zpráv pomocí klienta POP a IMAP.
        • Automatická konfigurace – Používá se klienty Outlooku a EAS k vyhledání a připojení k poštovním schránkám v Exchangi Online.
        • Exchange Online PowerShell – Slouží k připojení k Exchangi Online pomocí vzdáleného PowerShellu. Pokud zablokujete základní ověřování pro Exchange Online PowerShell, musíte k připojení použít modul Exchange Online PowerShell. Pokyny najdete v tématu Připojení k Exchange Online PowerShellu pomocí vícefaktorového ověřování.
        • Exchange Web Services (EWS) – programovací rozhraní, které používá Aplikace Outlook, Outlook pro Mac a aplikace třetích stran.
        • IMAP4 – Používá se e-mailovými klienty IMAP.
        • MAPI přes HTTP (MAPI/HTTP) – Používá se v Outlooku 2010 a novějším.
        • Offline adresář (OAB) – kopie kolekcí seznamů adres, které se stáhnou a používají v Outlooku.
        • Outlook Anywhere (RPC přes HTTP) – Používá ho Outlook 2016 a starší.
        • Služba Outlook – Používá se v aplikaci Pošta a Kalendář pro Windows 10.
        • POP3 – Používá se e-mailovými klienty POP.
        • Reporting Web Services – používá se k načtení dat sestavy v Exchangi Online.

Tyto podmínky se běžně používají při vyžadování spravovaného zařízení, blokování starší verze ověřování a blokování webových aplikací, ale povolení mobilních nebo desktopových aplikací.

Podporované prohlížeče

Toto nastavení funguje se všemi prohlížeči. Pokud ale chcete splnit zásady zařízení, jako je požadavek na zařízení vyhovující, podporují se následující operační systémy a prohlížeče. V tomto seznamu se nezobrazují operační systémy a prohlížeče, které nevypadly z hlavní podpory:

Operační systémy Browsers
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (viz poznámky)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari

Tyto prohlížeče podporují ověřování zařízení, což umožňuje identifikaci a ověření zařízení vůči zásadám. Kontrola zařízení selže, pokud je prohlížeč spuštěný v privátním režimu nebo pokud jsou zakázané soubory cookie.

Poznámka

Edge 85+ vyžaduje, aby byl uživatel přihlášený k prohlížeči, aby správně předal identitu zařízení. V opačném případě se chová jako Chrome bez rozšíření účtů. K tomuto přihlášení nemusí dojít automaticky ve scénáři připojení k hybridní službě Azure AD.

Safari je podporováno pro podmíněný přístup na základě zařízení, ale nemůže splňovat schválené klientské aplikace nebo Vyžadovat podmínky zásad ochrany aplikací . Spravovaný prohlížeč, jako je Microsoft Edge, bude splňovat schválené požadavky na klientské aplikace a zásady ochrany aplikací. V iOSu s řešením MDM jiného výrobce podporuje zásady zařízení jenom prohlížeč Microsoft Edge.

Firefox 91+ je podporovaný pro podmíněný přístup založený na zařízeních, ale je potřeba povolit jednotné přihlašování windows pro Microsoft, práci a školní účty.

Proč se v prohlížeči zobrazuje výzva k zadání certifikátu

V systému Windows 7, iOS, Android a macOS Azure AD identifikuje zařízení pomocí klientského certifikátu zřízeného při registraci zařízení v Azure AD. Když se uživatel poprvé přihlásí v prohlížeči, zobrazí se výzva k výběru certifikátu. Uživatel musí tento certifikát před použitím prohlížeče vybrat.

Podpora pro Chrome

Pokud potřebujete podporu pro Chrome ve Windows 10 Creators Update (verze 1703) nebo novější, nainstalujte si rozšíření účtů Windows 10 nebo Office Online . Tato rozšíření se vyžadují, když zásady podmíněného přístupu vyžadují podrobnosti specifické pro zařízení.

Pokud chcete toto rozšíření automaticky nasadit do prohlížečů Chrome, vytvořte následující klíč registru:

  • Cesta HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Název 1
  • Typ REG_SZ (řetězec)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Pro podporu Chrome ve Windows 8.1 a 7 vytvořte následující klíč registru:

  • Cesta HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Název 1
  • Typ REG_SZ (řetězec)
  • Data {"pattern":"https://device.login.microsoftonline.com""filter":{"ISSUER":{"CN":"MS-Organization-Access"}}

Podporované mobilní aplikace a desktopoví klienti

Organizace můžou jako klientskou aplikaci vybrat mobilní aplikace a desktopové klienty .

Toto nastavení má vliv na pokusy o přístup z následujících mobilních aplikací a desktopových klientů:

Klientské aplikace Cílová služba Platforma
Aplikace Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS a Android
Aplikace Pošta/Kalendář/Lidé, Outlook 2016, Outlook 2013 (s moderním ověřováním) Exchange Online Windows 10
Zásady vícefaktorového ověřování a umístění pro aplikace Zásady založené na zařízení nejsou podporované. Libovolná aplikační služba Moje aplikace Android a iOS
Microsoft Teams Services – tato klientská aplikace řídí všechny služby, které podporují Microsoft Teams a všechny její klientské aplikace – Windows Desktop, iOS, Android, WP a webový klient. Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android a macOS
Aplikace Office 2016, Office 2013 (s moderním ověřováním), synchronizační klient OneDrivu SharePoint Windows 8.1, Windows 7
Aplikace Office 2016, univerzální aplikace Office, Office 2013 (s moderním ověřováním), synchronizační klient OneDrivu SharePoint Online Windows 10
Office 2016 (jenom Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Mobilní aplikace Office SharePoint Android, iOS
Aplikace Office Yammer Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office pro macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (s moderním ověřováním), Skype pro firmy (s moderním ověřováním) Exchange Online Windows 8.1, Windows 7
Mobilní aplikace Outlook Exchange Online Android, iOS
Aplikace Power BI Služba Power BI Windows 10, Windows 8.1, Windows 7, Android a iOS
Skype pro firmy Exchange Online Android, iOS
Aplikace Visual Studio Team Services Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS a Android

Klienti Exchange ActiveSync

  • Organizace můžou vybrat jenom klienty Exchange ActiveSync při přiřazování zásad uživatelům nebo skupinám. Výběr všech uživatelů, všech hostů a externích uživatelů nebo rolí adresářů způsobí, že se na zásady vztahují všichni uživatelé.
  • Při vytváření zásad přiřazených klientům Exchange ActiveSync by exchange Online měl být jedinou cloudovou aplikací přiřazenou k zásadám.
  • Organizace můžou rozsah této zásady zúžit na konkrétní platformy pomocí podmínky Platformy zařízení .

Pokud řízení přístupu přiřazené k zásadám používá Vyžadovat schválenou klientskou aplikaci, uživatel se přesměruje k instalaci a používání mobilního klienta Outlooku. V případě, že jsou vyžadovány vícefaktorové ověřování, podmínky použití nebo vlastní ovládací prvky , jsou ovlivnění uživatelé blokovaní, protože základní ověřování tyto ovládací prvky nepodporuje.

Další informace najdete v následujících článcích:

Ostatní klienti

Výběrem možnosti Další klienti můžete zadat podmínku, která ovlivňuje aplikace, které používají základní ověřování s poštovními protokoly, jako jsou IMAP, MAPI, POP, SMTP a starší aplikace Office, které nepoužívají moderní ověřování.

Stav zařízení (zastaralé)

Tato funkce Preview je zastaralá. Zákazníci by měli použít filtr pro podmínku zařízení v zásadách podmíněného přístupu, aby splnili scénáře, které byly dříve dosaženy pomocí podmínky stavu zařízení (Preview).

Podmínka stavu zařízení se použila k vyloučení zařízení, která jsou připojená k hybridní službě Azure AD nebo zařízení označená jako kompatibilní se zásadami dodržování předpisů Microsoft Intune ze zásad podmíněného přístupu organizace.

Například všichni uživatelé , kteří přistupují k cloudové aplikaci Microsoft Azure Management , včetně stavu všech zařízení kromě stavuzařízení připojeného k hybridní službě Azure AD a zařízení označeného jako vyhovující a pro řízení přístupu, Blokovat.

  • Tento příklad by vytvořil zásadu, která umožňuje přístup jenom ke správě Microsoft Azure ze zařízení, která jsou připojená k hybridní službě Azure AD nebo zařízení označená jako vyhovující.

Výše uvedený scénář je možné nakonfigurovat pomocí všech uživatelů , kteří přistupují k cloudové aplikaci Microsoft Azure Management s filtrem pro podmínky zařízení v režimu vyloučení pomocí následujícího pravidla device.trustType -eq "ServerAD" nebo device.isCompliant -eq True a pro řízení přístupu, Blokovat.

  • Tento příklad by vytvořil zásadu, která blokuje přístup k cloudové aplikaci Microsoft Azure Management z nespravovaných nebo nevyhovujících zařízení.

Důležité

Stav zařízení a filtry pro zařízení nelze použít společně v zásadách podmíněného přístupu. Filtry pro zařízení poskytují podrobnější cílení, včetně podpory cílení na informace o stavu zařízení prostřednictvím trustType vlastnosti a isCompliant vlastnosti.

Filtrování pro zařízení

V podmíněném přístupu existuje nová volitelná podmínka, která se označuje jako filtr pro zařízení. Při konfiguraci filtru pro zařízení jako podmínku se organizace můžou rozhodnout zahrnout nebo vyloučit zařízení na základě filtru pomocí výrazu pravidla ve vlastnostech zařízení. Výraz pravidla pro filtr pro zařízení lze vytvořit pomocí tvůrce pravidel nebo syntaxe pravidla. Toto prostředí je podobné tomu, které se používá pro pravidla dynamického členství pro skupiny. Další informace najdete v článku Podmíněný přístup: Filtrování zařízení (Preview).

Další kroky