Podmíněný přístup: podmínky

V rámci zásad podmíněného přístupu může správce využívat signály z podmínek, jako je riziko, platforma zařízení nebo umístění, k vylepšení svých rozhodnutí o zásadách.

Definování zásad podmíněného přístupu a zadání podmínek

Kombinací několika podmínek můžete vytvořit jemně odstupňované a specifické zásady podmíněného přístupu.

Například při přístupu k citlivé aplikaci může správce do svého rozhodnutí o přístupu kromě dalších ovládacích prvků, jako je vícefaktorové ověřování, zahrnout informace o riziku přihlášení ze služby Identity Protection a umístění.

Riziko přihlášení

U zákazníků s přístupem ke službě Identity Protection je možné vyhodnotit riziko přihlášení v rámci zásad podmíněného přístupu. Riziko přihlášení představuje pravděpodobnost, že daný požadavek na ověření není autorizovaný vlastníkem identity. Další informace o riziku přihlášení najdete v článcích Co je riziko a Postupy: Konfigurace a povolení zásad rizik.

Riziko uživatele

U zákazníků s přístupem ke službě Identity Protection je možné vyhodnotit riziko uživatelů v rámci zásad podmíněného přístupu. Riziko uživatele představuje pravděpodobnost, že je ohroženo zabezpečení dané identity nebo účtu. Další informace o riziku uživatelů najdete v článcích Co je riziko a Postupy: Konfigurace a povolení zásad rizik.

Platformy zařízení

Platforma zařízení je charakterizována operačním systémem, který na zařízení běží. Azure AD identifikuje platformu pomocí informací poskytovaných zařízením, jako jsou řetězce uživatelského agenta. Vzhledem k tomu, že řetězce uživatelského agenta je možné upravit, nejsou tyto informace ověřeny. Platforma zařízení by se měla používat společně se zásadami dodržování předpisů zařízením Microsoft Intune nebo jako součást výrazu blokování. Výchozím nastavením je použití pro všechny platformy zařízení.

Podmíněný přístup Azure AD podporuje následující platformy zařízení:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Pokud zablokujete starší ověřování pomocí podmínky Ostatní klienti , můžete také nastavit podmínku platformy zařízení.

Důležité

Microsoft doporučuje, abyste měli zásady podmíněného přístupu pro nepodporované platformy zařízení. Pokud například chcete blokovat přístup k podnikovým prostředkům z Chrome OS nebo jiných nepodporovaných klientů, měli byste nakonfigurovat zásadu s podmínkou Platformy zařízení, která zahrnuje jakékoli zařízení a vylučuje podporované platformy zařízení a udělit řízení nastavené na Blokovat přístup.

Umístění

Při konfiguraci umístění jako podmínky můžou organizace umístění zahrnout nebo vyloučit. Tato pojmenovaná umístění můžou zahrnovat informace o veřejné síti IPv4, zemi nebo oblast nebo dokonce neznámé oblasti, které se nemapují na konkrétní země nebo oblasti. Jako důvěryhodné umístění je možné označit pouze rozsahy IP adres.

Při zahrnutí libovolného umístění tato možnost zahrnuje všechny IP adresy na internetu, a ne jenom nakonfigurovaná pojmenovaná umístění. Při výběru libovolného umístění můžou správci vyloučit všechna důvěryhodná nebo vybraná umístění.

Některé organizace se například můžou rozhodnout, že nebudou vyžadovat vícefaktorové ověřování, když jsou jejich uživatelé připojení k síti v důvěryhodném umístění, jako je jejich fyzické ústředí. Správci můžou vytvořit zásadu, která zahrnuje jakékoli umístění, ale vyloučí vybraná umístění pro jejich sítě v ústředí.

Další informace o umístěních najdete v článku Co je podmínka umístění v podmíněném přístupu Azure Active Directory.

Klientské aplikace

Ve výchozím nastavení se všechny nově vytvořené zásady podmíněného přístupu použijí pro všechny typy klientských aplikací i v případě, že není nakonfigurovaná podmínka klientských aplikací.

Poznámka

Chování podmínky klientských aplikací bylo aktualizováno v srpnu 2020. Pokud máte existující zásady podmíněného přístupu, zůstanou beze změny. Pokud ale kliknete na existující zásadu, přepínač konfigurace se odebere a vybere se klientské aplikace, na které se zásada vztahuje.

Důležité

Přihlášení ze starších klientů ověřování nepodporují vícefaktorové ověřování a nepředávají informace o stavu zařízení do Azure AD, takže je zablokují řízení udělení podmíněného přístupu, jako je vyžadování vícefaktorového ověřování nebo vyhovujících zařízení. Pokud máte účty, které musí používat starší verzi ověřování, musíte buď tyto účty ze zásad vyloučit, nebo nakonfigurovat zásadu tak, aby se vztahovala jenom na moderní klienty ověřování.

Přepínač Konfigurovat, když je nastavený na Ano, platí pro zaškrtnuté položky, a když je nastavený na Ne, platí pro všechny klientské aplikace, včetně moderních a starších klientů ověřování. Tento přepínač se nezobrazuje v zásadách vytvořených před srpnem 2020.

  • Moderní klienti ověřování
    • Prohlížeč
      • Patří mezi ně webové aplikace, které používají protokoly jako SAML, WS-Federation, OpenID Connect nebo služby zaregistrované jako důvěrný klient OAuth.
    • Mobilní aplikace a desktopoví klienti
      • Tato možnost zahrnuje aplikace, jako jsou desktopové a telefonní aplikace Office.
  • Starší klienti ověřování
    • protokol Exchange ActiveSync klientů
      • Tento výběr zahrnuje veškeré použití protokolu protokol Exchange ActiveSync (EAS).
      • Když zásady zablokuje použití protokol Exchange ActiveSync ovlivněný uživatel obdrží jeden e-mail o karanténě. Tento e-mail obsahuje informace o tom, proč jsou blokované, a pokyny k nápravě, pokud je to možné.
      • Správci můžou prostřednictvím Microsoft Graph API podmíněného přístupu použít zásady jenom u podporovaných platforem (jako jsou iOS, Android a Windows).
    • Ostatní klienti
      • Tato možnost zahrnuje klienty, kteří používají základní nebo starší ověřovací protokoly, které nepodporují moderní ověřování.
        • Ověřený protokol SMTP – Používá se klienty POP a IMAP k odesílání e-mailových zpráv.
        • Automatická konfigurace – Používá se v Outlooku a klientech EAS k vyhledání poštovních schránek a připojení k poštovním schránkám v Exchange Online.
        • Exchange Online PowerShellu – používá se k připojení k Exchange Online pomocí vzdáleného PowerShellu. Pokud pro Exchange Online PowerShellu zablokujete základní ověřování, musíte k připojení použít modul Exchange Online PowerShellu. Pokyny najdete v tématu Připojení k Exchange Online PowerShellu pomocí vícefaktorového ověřování.
        • Exchange Web Services (EWS) – programovací rozhraní, které používá Outlook, Outlook pro Mac a aplikace třetích stran.
        • IMAP4 – používá se e-mailovými klienty IMAP.
        • MAPI přes HTTP (MAPI/HTTP) – Používá se v Outlooku 2010 a novějších verzích.
        • Offline adresář (OAB) – kopie kolekcí seznamů adres, které se stahují a používají v Outlooku.
        • Outlook Anywhere (RPC přes HTTP) – používá Outlook 2016 a starší.
        • Outlook Service – používá aplikace Pošta a Kalendář pro Windows 10.
        • POP3 – používá se e-mailovými klienty POP.
        • Webové služby generování sestav – slouží k načtení dat sestavy v Exchange Online.

Tyto podmínky se běžně používají při vyžadování spravovaného zařízení, blokování starších verzí ověřování a blokování webových aplikací, ale povolení mobilních nebo desktopových aplikací.

Podporované prohlížeče

Toto nastavení funguje se všemi prohlížeči. Pro splnění zásad zařízení, jako je například kompatibilní požadavek na zařízení, jsou však podporovány následující operační systémy a prohlížeče. V tomto seznamu se nezobrazují operační systémy a prohlížeče, u kterých není hlavní fáze technické podpory:

Operační systémy Browsers
Windows 10 + Microsoft Edge, Chrome, Firefox 91 nebo novější
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (viz poznámky)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari

Tyto prohlížeče podporují ověřování zařízení a umožňují jeho identifikaci a ověření podle zásad. Kontrola zařízení selže, pokud je prohlížeč spuštěný v privátním režimu nebo pokud jsou zakázané soubory cookie.

Poznámka

Edge 85+ vyžaduje, aby byl uživatel přihlášený k prohlížeči, aby správně předal identitu zařízení. Jinak se chová jako Chrome bez rozšíření účtů. K tomuto přihlášení nemusí dojít automaticky ve scénáři služby Hybrid Azure AD Join.

Safari podporuje podmíněný přístup na základě zařízení, ale nemůže splňovat podmínky zásad Vyžadovat schválenou klientskou aplikaci nebo Vyžadovat ochranu aplikací . Spravovaný prohlížeč, jako je Microsoft Edge, bude splňovat schválené požadavky na klientské aplikace a zásady ochrany aplikací. V iOSu s řešením MDM třetí strany podporuje zásady zařízení jenom prohlížeč Microsoft Edge.

Firefox 91+ je podporovaný pro podmíněný přístup založený na zařízení, ale musí být povolená možnost Povolit jednotné přihlašování windows pro Microsoft, pracovní a školní účty.

Proč se v prohlížeči zobrazuje výzva k certifikátu

Ve Windows 7, iOS, Android a macOS Azure AD identifikuje zařízení pomocí klientského certifikátu, který je zřízený při registraci zařízení v Azure AD. Když se uživatel poprvé přihlásí přes prohlížeč, zobrazí se výzva k výběru certifikátu. Uživatel musí tento certifikát vybrat před použitím prohlížeče.

Podpora chromu

Pokud chcete chrome podporovat v Windows 10 Creators Update (verze 1703) nebo novější, nainstalujte si účty Windows nebo rozšíření Office. Tato rozšíření se vyžadují, když zásady podmíněného přístupu vyžadují podrobnosti specifické pro zařízení.

Pokud chcete toto rozšíření automaticky nasadit do prohlížečů Chrome, vytvořte následující klíč registru:

  • HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist cesty
  • Název 1
  • Typ REG_SZ (řetězec)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Pro podporu Chromu v Windows 8.1 a 7 vytvořte následující klíč registru:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls cesty
  • Název 1
  • Typ REG_SZ (řetězec)
  • Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Podporované mobilní aplikace a desktopoví klienti

Organizace můžou jako klientskou aplikaci vybrat Mobilní aplikace a desktopové klienty .

Toto nastavení má vliv na pokusy o přístup z následujících mobilních aplikací a desktopových klientů:

Klientské aplikace Cílová služba Platforma
Aplikace Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS a Android
Aplikace Pošta,Kalendář/Lidé, Outlook 2016, Outlook 2013 (s moderním ověřováním) Exchange Online Windows 10
Zásady vícefaktorového ověřování a zjišťování polohy pro aplikace. Zásady založené na zařízení se nepodporují. Libovolná služba Moje aplikace App Service Android a iOS
Microsoft Teams Services – tato klientská aplikace řídí všechny služby, které podporují Microsoft Teams, a všechny její klientské aplikace – desktopový, iOS, Android, WP a webový klient Windows Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android a macOS
Aplikace Office 2016, Office 2013 (s moderním ověřováním), synchronizační aplikace OneDrivu klient SharePoint Windows 8.1, Windows 7
Aplikace Office 2016, univerzální aplikace Office, Office 2013 (s moderním ověřováním), synchronizační aplikace OneDrivu klient SharePoint Online Windows 10
Office 2016 (jenom Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Mobilní aplikace Office SharePoint Android, iOS
Aplikace Office Yammer Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office pro macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (s moderním ověřováním), Skype pro firmy (s moderním ověřováním) Exchange Online Windows 8.1, Windows 7
Mobilní aplikace Outlook Exchange Online Android, iOS
Aplikace Power BI Služba Power BI Windows 10, Windows 8.1, Windows 7, Android a iOS
Skype pro firmy Exchange Online Android, iOS
Visual Studio Team Services aplikace Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS a Android

protokol Exchange ActiveSync klientů

  • Organizace můžou při přiřazování zásad uživatelům nebo skupinám vybrat jenom klienty protokol Exchange ActiveSync. Výběrem možnosti Všichni uživatelé, Všichni uživatelé typu host a externí uživatelé nebo Role adresáře způsobíte, že zásady budou podléhat všem uživatelům.
  • Při vytváření zásady přiřazené klientům protokol Exchange ActiveSync by Exchange Online měla být jediná cloudová aplikace přiřazená k zásadám.
  • Organizace můžou rozsah této zásady zúžit na konkrétní platformy pomocí podmínky Platformy zařízení .

Pokud řízení přístupu přiřazené k zásadě používá Vyžadovat schválenou klientskou aplikaci, bude uživatel přesměrován na instalaci a používání mobilního klienta Outlooku. V případě, že se vyžaduje vícefaktorové ověřování, podmínky použití nebo vlastní ovládací prvky , jsou ovlivnění uživatelé zablokovaní, protože základní ověřování tyto ovládací prvky nepodporuje.

Další informace najdete v následujících článcích:

Ostatní klienti

Výběrem možnosti Další klienti můžete zadat podmínku, která bude mít vliv na aplikace, které používají základní ověřování pomocí poštovních protokolů, jako jsou IMAP, MAPI, POP, SMTP a starší aplikace Office, které moderní ověřování nepoužívají.

Stav zařízení (zastaralé)

Tato funkce Preview je zastaralá. Zákazníci by měli ve scénářích, ke kterým dřív v zásadách podmíněného přístupu používali podmínku Stav zařízení (Preview), použít podmínku Filtr pro zařízení .

Podmínka stavu zařízení se použila k vyloučení zařízení, která jsou připojená k hybridním Azure AD nebo zařízení označená jako vyhovující zásadám dodržování předpisů Microsoft Intune, ze zásad podmíněného přístupu organizace.

Například Všichni uživatelé, kteří přistupují ke cloudové aplikaci Microsoft Azure Management, včetně stavu všech zařízení kromě zařízení Hybrid Azure AD připojeno a zařízení označeného jako vyhovující a pro řízení přístupublokovat.

  • Tento příklad by vytvořil zásadu, která povolí přístup k Microsoft Azure Management jenom ze zařízení, která jsou připojená k hybridnímu Azure AD, nebo ze zařízení označených jako vyhovující.

Výše uvedený scénář je možné nakonfigurovat pomocí možnosti Všichni uživatelé přistupující ke cloudové aplikaci Microsoft Azure Management s podmínkou Filtru pro zařízení v režimu vyloučení pomocí následujícího pravidla device.trustType -eq "ServerAD" -nebo device.isCompliant -eq True a pro řízení přístupublokovat.

  • Tento příklad by vytvořil zásadu, která blokuje přístup ke cloudové aplikaci Microsoft Azure Management z nespravovaných nebo nevyhovujících zařízení.

Důležité

Stav zařízení a filtry pro zařízení nelze v zásadách podmíněného přístupu používat společně. Filtry pro zařízení poskytují podrobnější cílení, včetně podpory cílení informací o stavu zařízení prostřednictvím trustType vlastnosti a isCompliant .

Filtrování zařízení

V podmíněném přístupu je nová volitelná podmínka s názvem filtr pro zařízení. Při konfiguraci filtru pro zařízení jako podmínku se organizace můžou rozhodnout zahrnout nebo vyloučit zařízení na základě filtru pomocí výrazu pravidla ve vlastnostech zařízení. Výraz pravidla pro filtr pro zařízení je možné vytvořit pomocí tvůrce pravidel nebo syntaxe pravidel. Toto prostředí je podobné tomu, které se používá pro pravidla dynamického členství pro skupiny. Další informace najdete v článku Podmíněný přístup: Filtrování zařízení (Preview).

Další kroky