Podmíněný přístup: podmínky
V rámci zásad podmíněného přístupu může správce využívat signály z podmínek, jako je riziko, platforma zařízení nebo umístění, k vylepšení svých rozhodnutí o zásadách.
Kombinací několika podmínek můžete vytvořit jemně odstupňované a specifické zásady podmíněného přístupu.
Když uživatelé přistupují k citlivé aplikaci, může správce do svých rozhodnutí o přístupu zohlednit několik podmínek, například:
- Informace o riziku přihlášení ze služby Identity Protection
- Umístění v síti
- Informace o zařízení
Riziko přihlášení
Správci s přístupem ke službě Identity Protection můžou vyhodnotit riziko přihlášení v rámci zásad podmíněného přístupu. Riziko přihlášení představuje pravděpodobnost, že daná žádost o ověření nebyla provedena vlastníkem identity. Další informace o riziku přihlášení najdete v článcích Co je riziko a Postupy: Konfigurace a povolení zásad rizik.
Riziko uživatele
Správci s přístupem ke službě Identity Protection můžou vyhodnotit rizika uživatelů jako součást zásad podmíněného přístupu. Riziko uživatele představuje pravděpodobnost, že je ohroženo zabezpečení dané identity nebo účtu. Další informace o riziku uživatelů najdete v článcích Co je riziko a Postupy: Konfigurace a povolení zásad rizik.
Platformy zařízení
Podmíněný přístup identifikuje platformu zařízení pomocí informací poskytovaných zařízením, jako jsou řetězce uživatelského agenta. Vzhledem k tomu, že řetězce uživatelského agenta je možné upravit, nejsou tyto informace ověřeny. Platforma zařízení by se měla používat společně se zásadami dodržování předpisů zařízením Microsoft Intune nebo jako součást výrazu blokování. Výchozím nastavením je použití pro všechny platformy zařízení.
Podmíněný přístup podporuje následující platformy zařízení:
- Android
- iOS
- Windows
- macOS
- Linux
Pokud zablokujete starší ověřování pomocí podmínky Jiní klienti , můžete také nastavit podmínku platformy zařízení.
Výběr platforem zařízení s macOS a Linuxem nepodporujeme, když vyberete Vyžadovat schválenou klientskou aplikaci nebo Vyžadovat zásady ochrany aplikací jako jediné udělení ovládacích prvků nebo když zvolíte Vyžadovat všechny vybrané ovládací prvky.
Důležité
Microsoft doporučuje, abyste měli zásady podmíněného přístupu pro nepodporované platformy zařízení. Pokud například chcete blokovat přístup k podnikovým prostředkům z Chrome OS nebo jiných nepodporovaných klientů, měli byste nakonfigurovat zásadu s podmínkou Platformy zařízení, která zahrnuje jakékoli zařízení a vylučuje podporované platformy zařízení a udělit řízení nastavené na Blokovat přístup.
Umístění
Když správci nakonfigurují umístění jako podmínku, můžou se rozhodnout zahrnout nebo vyloučit umístění. Tato pojmenovaná umístění můžou zahrnovat informace o veřejné síti IPv4 nebo IPv6, zemi nebo oblast, neznámé oblasti, které se nemapují na konkrétní země nebo oblasti, a síť kompatibilní s globálním zabezpečeným přístupem.
Při zahrnutí libovolného umístění tato možnost zahrnuje všechny IP adresy na internetu, a ne jenom nakonfigurovaná pojmenovaná umístění. Když správci vyberou libovolné umístění, můžou vyloučit všechna důvěryhodná nebo vybraná umístění.
Správci můžou vytvářet zásady, které cílí na konkrétní umístění spolu s dalšími podmínkami. Další informace o umístěních najdete v článku Co je podmínka umístění v Microsoft Entra podmíněný přístup.
Klientské aplikace
Ve výchozím nastavení platí pro všechny typy klientských aplikací všechny nově vytvořené zásady podmíněného přístupu, i když není nakonfigurovaná podmínka klientských aplikací.
Poznámka
Chování podmínky klientských aplikací bylo aktualizováno v srpnu 2020. Pokud máte existující zásady podmíněného přístupu, zůstanou beze změny. Pokud ale kliknete na existující zásadu, přepínač konfigurace se odebere a vybere se klientské aplikace, na které se zásada vztahuje.
Důležité
Přihlášení ze starších klientů ověřování nepodporují vícefaktorové ověřování (MFA) a nepřecházejí informace o stavu zařízení, takže jsou blokovaná ovládacími prvky udělení podmíněného přístupu, jako je vyžadování vícefaktorového ověřování nebo vyhovujících zařízení. Pokud máte účty, které musí používat starší verzi ověřování, musíte buď tyto účty ze zásad vyloučit, nebo nakonfigurovat zásadu tak, aby se vztahovala jenom na moderní klienty ověřování.
Přepínač Konfigurovat, když je nastavený na Ano, platí pro zaškrtnuté položky, a když je nastavený na Ne, platí pro všechny klientské aplikace, včetně moderních a starších klientů ověřování. Tento přepínač se nezobrazuje v zásadách vytvořených před srpnem 2020.
- Moderní klienti ověřování
- Prohlížeč
- Patří mezi ně webové aplikace, které používají protokoly jako SAML, WS-Federation, OpenID Connect nebo služby zaregistrované jako důvěrný klient OAuth.
- Mobilní aplikace a desktopoví klienti
- Tato možnost zahrnuje aplikace, jako jsou desktopové a telefonní aplikace Office.
- Prohlížeč
- Starší klienti ověřování
- protokol Exchange ActiveSync klientů
- Tento výběr zahrnuje veškeré použití protokolu protokol Exchange ActiveSync (EAS).
- Když zásady zablokují použití protokol Exchange ActiveSync ovlivněný uživatel obdrží jeden e-mail o karanténě. Tento e-mail obsahuje informace o tom, proč jsou blokované, a pokyny k nápravě, pokud je to možné.
- Správci můžou použít zásady jenom pro podporované platformy (například iOS, Android a Windows) prostřednictvím podmíněného přístupu Microsoft Graph API.
- Ostatní klienti
- Tato možnost zahrnuje klienty, kteří používají základní nebo starší ověřovací protokoly, které nepodporují moderní ověřování.
- SMTP – používá se klienty POP a IMAP k odesílání e-mailových zpráv.
- Automatická konfigurace – Používá se v Outlooku a klientech EAS k vyhledání poštovních schránek a připojení k poštovním schránkám v Exchange Online.
- Exchange Online PowerShellu – používá se k připojení k Exchange Online pomocí vzdáleného PowerShellu. Pokud pro Exchange Online PowerShellu zablokujete základní ověřování, musíte k připojení použít modul Exchange Online PowerShellu. Pokyny najdete v tématu Připojení k Exchange Online PowerShellu pomocí vícefaktorového ověřování.
- Exchange Web Services (EWS) – programovací rozhraní, které používá Outlook, Outlook pro Mac a aplikace třetích stran.
- IMAP4 – používá se e-mailovými klienty IMAP.
- MAPI přes HTTP (MAPI/HTTP) – používá se v Outlooku 2010 a novějších verzích.
- Offline adresář (OAB) – kopie kolekcí seznamů adres, které se stahují a používají v Outlooku.
- Outlook Anywhere (RPC přes HTTP) – používá Outlook 2016 a starší.
- Outlook Service – používá aplikace Pošta a Kalendář pro Windows 10.
- POP3 – používá se e-mailovými klienty POP.
- Webové služby generování sestav – slouží k načtení dat sestavy v Exchange Online.
- Tato možnost zahrnuje klienty, kteří používají základní nebo starší ověřovací protokoly, které nepodporují moderní ověřování.
- protokol Exchange ActiveSync klientů
Tyto podmínky se běžně používají k:
- Vyžadovat spravované zařízení
- Blokování starší verze ověřování
- Blokování webových aplikací, ale povolení mobilních nebo desktopových aplikací
Podporované prohlížeče
Toto nastavení funguje se všemi prohlížeči. Pro splnění zásad zařízení, jako je například kompatibilní požadavek na zařízení, jsou však podporovány následující operační systémy a prohlížeče. V tomto seznamu se nezobrazují operační systémy a prohlížeče, u kterých není hlavní fáze technické podpory:
| Operační systémy | Browsers |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91 nebo novější |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (viz poznámky) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
| Desktopová verze Linuxu | Microsoft Edge |
Tyto prohlížeče podporují ověřování zařízení, což umožňuje identifikaci a ověření zařízení podle zásad. Kontrola zařízení selže, pokud je prohlížeč spuštěný v privátním režimu nebo pokud jsou zakázané soubory cookie.
Poznámka
Edge 85+ vyžaduje, aby byl uživatel přihlášený k prohlížeči, aby správně předal identitu zařízení. Jinak se chová jako Chrome bez rozšíření účtů. K tomuto přihlášení nemusí dojít automaticky ve scénáři hybridního připojení zařízení.
Safari podporuje podmíněný přístup na základě zařízení na spravovaném zařízení, ale nemůže splňovat podmínky zásad Vyžadovat schválenou klientskou aplikaci nebo Vyžadovat ochranu aplikací . Spravovaný prohlížeč, jako je Microsoft Edge, bude splňovat schválené požadavky na klientské aplikace a zásady ochrany aplikací. V systému iOS s řešením MDM třetí strany podporuje zásady zařízení pouze prohlížeč Microsoft Edge.
Firefox 91+ je podporovaný pro podmíněný přístup na základě zařízení, ale musí být povolená možnost Povolit jednotné přihlašování systému Windows pro účty Microsoft, pracovní a školní účty.
Proč se v prohlížeči zobrazuje výzva k certifikátu
Ve Windows 7 se zařízení s iOSem, Androidem a macOS identifikují pomocí klientského certifikátu. Tento certifikát se zřídí při registraci zařízení. Když se uživatel poprvé přihlásí přes prohlížeč, zobrazí se výzva k výběru certifikátu. Uživatel musí tento certifikát vybrat před použitím prohlížeče.
Podpora chromu
Pokud chcete chrome podporovat v Windows 10 Creators Update (verze 1703) nebo novější, nainstalujte si účty Windows nebo rozšíření Office. Tato rozšíření se vyžadují, když zásady podmíněného přístupu vyžadují podrobnosti specifické pro zařízení.
Pokud chcete toto rozšíření automaticky nasadit do prohlížečů Chrome, vytvořte následující klíč registru:
- HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist cesty
- Název 1
- Typ REG_SZ (řetězec)
- Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Pro podporu Chromu v Windows 8.1 a 7 vytvořte následující klíč registru:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls cesty
- Název 1
- Typ REG_SZ (řetězec)
- Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Podporované mobilní aplikace a desktopoví klienti
Správci můžou jako klientskou aplikaci vybrat Mobilní aplikace a desktopové klienty .
Toto nastavení má vliv na pokusy o přístup z následujících mobilních aplikací a desktopových klientů:
| Klientské aplikace | Cílová služba | Platforma |
|---|---|---|
| Aplikace Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS a Android |
| Aplikace Pošta/Kalendář/Lidé, Outlook 2016, Outlook 2013 (s moderním ověřováním) | Exchange Online | Windows 10 |
| Zásady vícefaktorového ověřování a zjišťování polohy pro aplikace. Zásady založené na zařízení se nepodporují. | Libovolná služba Moje aplikace App Service | Android a iOS |
| Microsoft Teams Services – tato klientská aplikace řídí všechny služby, které podporují Microsoft Teams, a všechny klientské aplikace – Windows Desktop, iOS, Android, WP a webový klient. | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android a macOS |
| Aplikace Office 2016, Office 2013 (s moderním ověřováním), synchronizační aplikace OneDrivu klient | SharePoint | Windows 8.1, Windows 7 |
| Aplikace Office 2016, univerzální aplikace Office, Office 2013 (s moderním ověřováním), synchronizační aplikace OneDrivu klient | SharePoint Online | Windows 10 |
| Office 2016 (jenom Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Mobilní aplikace Office | SharePoint | Android, iOS |
| Aplikace Office Yammer | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office pro macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (s moderním ověřováním), Skype pro firmy (s moderním ověřováním) | Exchange Online | Windows 8.1, Windows 7 |
| Mobilní aplikace Outlook | Exchange Online | Android, iOS |
| Aplikace Power BI | Služba Power BI | Windows 10, Windows 8.1, Windows 7, Android a iOS |
| Skype pro firmy | Exchange Online | Android, iOS |
| Azure DevOps Services (dříve Visual Studio Team Services nebo VSTS) | Azure DevOps Services (dříve Visual Studio Team Services nebo VSTS) | Windows 10, Windows 8.1, Windows 7, iOS a Android |
protokol Exchange ActiveSync klientů
- Správci můžou vybrat protokol Exchange ActiveSync klienty pouze při přiřazování zásad uživatelům nebo skupinám. Výběrem možnosti Všichni uživatelé, Všichni uživatelé typu host a externí uživatelé nebo Role adresáře způsobíte, že zásady budou podléhat všem uživatelům.
- Když správci vytvoří zásadu přiřazenou klientům protokol Exchange ActiveSync, Exchange Online by měla být jediná cloudová aplikace přiřazená k zásadám.
- Správci můžou rozsah této zásady zúžit na konkrétní platformy pomocí podmínky Platformy zařízení .
Pokud řízení přístupu přiřazené k zásadě používá Vyžadovat schválenou klientskou aplikaci, bude uživatel přesměrován na instalaci a použití mobilního klienta Outlooku. V případě, že se vyžaduje vícefaktorové ověřování, podmínky použití nebo vlastní ovládací prvky , jsou ovlivnění uživatelé zablokovaní, protože základní ověřování tyto ovládací prvky nepodporuje.
Další informace najdete v následujících článcích:
- Blokování starší verze ověřování pomocí podmíněného přístupu
- Vyžadování schválených klientských aplikací s podmíněným přístupem
Ostatní klienti
Výběrem možnosti Další klienti můžete zadat podmínku, která bude mít vliv na aplikace, které používají základní ověřování pomocí poštovních protokolů, jako jsou IMAP, MAPI, POP, SMTP a starší aplikace Office, které moderní ověřování nepoužívají.
Stav zařízení (zastaralé)
Tato funkce je zastaralá. Zákazníci by měli použít podmínku Filtr pro zařízení v zásadách podmíněného přístupu, aby splnili scénáře, kterých se dříve dosáhlo pomocí podmínky stavu zařízení.
Důležité
Stav zařízení a filtry pro zařízení nelze v zásadách podmíněného přístupu používat společně. Filtry pro zařízení poskytují podrobnější cílení, včetně podpory cílení informací o stavu zařízení prostřednictvím trustType vlastnosti a isCompliant .
Filtrování zařízení
Když správci nakonfigurují filtr pro zařízení jako podmínku, můžou se rozhodnout zahrnout nebo vyloučit zařízení na základě filtru pomocí výrazu pravidla ve vlastnostech zařízení. Výraz pravidla pro filtr pro zařízení je možné vytvořit pomocí tvůrce pravidel nebo syntaxe pravidel. Toto prostředí je podobné tomu, které se používá pro pravidla dynamického členství pro skupiny. Další informace najdete v článku Podmíněný přístup: Filtrování zařízení.