Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
V zásadách podmíněného přístupu správci používají jeden nebo více signálů ke zlepšení rozhodování o zásadách.
Správci zkombinují více podmínek, aby vytvořili konkrétní podrobné zásady podmíněného přístupu.
Když uživatelé přistupují k citlivé aplikaci, můžou správci při rozhodování o přístupu zvážit několik podmínek, například:
- Informace o riziku ze služby Microsoft Entra ID Protection
- Umístění v síti
- Informace o zařízení
Riziko agenta (Náhled)
Správci s přístupem k ochraně ID můžou vyhodnotit riziko agenta jako součást zásad podmíněného přístupu. Riziko agenta ukazuje pravděpodobnost, že je agent ohrožen.
Riziko uživatele
Správci s přístupem k ochraně ID můžou vyhodnotit riziko uživatelů jako součást zásad podmíněného přístupu. Riziko uživatele ukazuje pravděpodobnost ohrožení identity nebo účtu. Přečtěte si další informace o riziku uživatelů v tématu Co je riziko a jak nakonfigurovat a povolit zásady rizik.
Riziko přihlášení
Správci s přístupem k ochraně ID můžou vyhodnotit riziko přihlašování jako součást zásad podmíněného přístupu. Riziko přihlášení ukazuje pravděpodobnost, že vlastník identity neprovádí žádost o ověření. Další informace o riziku přihlašování najdete v článcích Co je riziko a jak nakonfigurovat a povolit zásady rizik.
Insiderská rizika
Správci s přístupem k adaptivní ochraně Microsoft Purview můžou do rozhodování o zásadách podmíněného přístupu začlenit rizikové signály z Microsoft Purview. Riziko insideru bere v úvahu zásady správného řízení dat, zabezpečení dat a konfigurace rizik a dodržování předpisů z Microsoft Purview. Tyto signály jsou založené na kontextových faktorech, jako jsou:
- Chování uživatele
- Historické vzory
- Detekce anomálií
Tato podmínka umožňuje správcům používat zásady podmíněného přístupu k provádění akcí, jako je blokování přístupu, vyžadování silnějších metod ověřování nebo vyžadování podmínek přijetí podmínek použití.
Tato funkce zahrnuje parametry, které konkrétně řeší potenciální rizika vyplývající z organizace. Konfigurace podmíněného přístupu pro zvážení insiderských rizik umožňuje správcům přizpůsobit přístupová oprávnění na základě kontextových faktorů, jako je chování uživatelů, historické vzory a detekce anomálií.
Další informace najdete v tématu konfigurace a povolení zásad založených na insiderských rizicích.
Platformy zařízení
Podmíněný přístup identifikuje platformu zařízení pomocí informací poskytovaných zařízením, jako jsou řetězce uživatelského agenta. Vzhledem k tomu, že řetězce uživatelského agenta je možné upravit, tyto informace se neověřují. Použijte platformu zařízení se zásadami dodržování předpisů pro zařízení v Microsoft Intune nebo jako součást prohlášení o blokování. Ve výchozím nastavení platí pro všechny platformy zařízení.
Podmíněný přístup podporuje tyto platformy zařízení:
- Android
- iOS
- Windows
- macOS
- Operační systém Linux
Pokud zablokujete starší ověřování pomocí podmínky Ostatní klienti , můžete také nastavit podmínku platformy zařízení.
Výběr platforem zařízení s macOS nebo Linuxem se nepodporuje, když vyberete Možnost Vyžadovat schválenou klientskou aplikaci nebo Vyžadovat zásady ochrany aplikací jako jediné udělení ovládacích prvků nebo když vyberete Vyžadovat všechny vybrané ovládací prvky.
Důležité
Microsoft doporučuje vytvořit zásady podmíněného přístupu pro nepodporované platformy zařízení. Pokud chcete například blokovat přístup k podnikovým prostředkům z Chrome OS nebo jiných nepodporovaných klientů, nakonfigurujte zásadu s podmínkou platformy zařízení, která zahrnuje jakékoli zařízení, vylučuje podporované platformy zařízení a nastaví řízení pro blokování přístupu.
Umístění
Podmínka týkající se umístění byla přesunuta.
Klientské aplikace
Ve výchozím nastavení se všechny nově vytvořené zásady podmíněného přístupu vztahují na všechny typy klientských aplikací i v případě, že není nakonfigurovaná podmínka klientských aplikací.
Poznámka:
Chování podmínky u klientských aplikací bylo aktualizováno v srpnu 2020. Pokud máte existující zásady podmíněného přístupu, zůstanou beze změny. Pokud ale vyberete existující zásadu, přepínač Konfigurovat se odebere a klientské aplikace, na které se zásady vztahují, se vyberou.
Důležité
Přihlášení ze starších klientů ověřování nepodporují vícefaktorové ověřování (MFA) a nepředávají informace o stavu zařízení, takže jsou blokovány pomocí podmíněných kontrol přístupu, jako je vyžadování vícefaktorového ověřování nebo kompatibilní zařízení. Pokud máte účty, které musí používat starší ověřování, musíte tyto účty buď vyloučit ze zásad, nebo nakonfigurovat zásady tak, aby platily jenom pro moderní klienty ověřování.
Přepínač Konfigurovat, když je nastavený na Ano, platí pro zaškrtnuté položky, a když je nastavený na Ne, platí pro všechny klientské aplikace, včetně moderních a starších klientů ověřování. Tento přepínač se nezobrazuje v zásadách vytvořených před srpnem 2020.
- Klienti moderního ověřování
- Prohlížeč
- Mezi tyto klienty patří webové aplikace, které používají protokoly, jako je SAML, WS-Federation, OpenID Connect nebo služby zaregistrované jako důvěrný klient OAuth.
- Mobilní aplikace a desktopoví klienti
- Tato možnost zahrnuje aplikace, jako jsou desktopové a telefonní aplikace Office.
- Prohlížeč
- Starší klienti autentizace
- klienti Exchange ActiveSync
- Tento výběr zahrnuje veškeré použití protokolu protokol Exchange ActiveSync (EAS). Když zásady zablokují použití protokolu Exchange ActiveSync, obdrží ovlivněný uživatel jeden e-mail o karanténě. Tento e-mail obsahuje informace o tom, proč jsou blokované, a pokud je to možné, obsahuje pokyny k nápravě.
- Správci můžou zásady používat jenom na podporované platformy (například iOS, Android a Windows) prostřednictvím rozhraní Microsoft Graph API podmíněného přístupu.
- Ostatní klienti
- Tato možnost zahrnuje klienty, kteří používají základní nebo starší ověřovací protokoly, které nepodporují moderní ověřování.
- SMTP – Používá se k odesílání e-mailových zpráv klientem POP a IMAP.
- Autodiscover: Používá se klienty Outlooku a EAS k vyhledání a připojení k poštovním schránkám v Exchange Online.
- Exchange Online PowerShell – Slouží k připojení k Exchangi Online pomocí vzdáleného PowerShellu. Pokud zablokujete základní ověřování pro Exchange Online PowerShell, musíte k připojení použít modul PowerShellu Pro Exchange Online. Pokyny najdete v tématu Připojení k Prostředí PowerShell Pro Exchange Online pomocí vícefaktorového ověřování.
- Exchange Web Services (EWS) – programovací rozhraní používané aplikacemi Outlook, Outlook pro Mac a aplikacemi jiných společností než Microsoft.
- IMAP4 – Používá se e-mailovými klienty IMAP.
- MAPI přes HTTP (MAPI/HTTP) – Používá se v Outlooku 2010 a novějším.
- Offline adresář (OAB) – kopie kolekcí seznamů adres stažených a používaných aplikací Outlook.
- Outlook Anywhere (RPC přes HTTP) – Používá se v Outlooku 2016 a starším.
- Služba Outlook – Používá se v aplikaci Pošta a Kalendář pro Windows 10.
- POP3 – Používá se e-mailovými klienty POP.
- Služba Reporting Web Services – používá se pro načítání dat z reportů v rámci Exchange Online.
- Tato možnost zahrnuje klienty, kteří používají základní nebo starší ověřovací protokoly, které nepodporují moderní ověřování.
- klienti Exchange ActiveSync
Tyto podmínky se běžně používají k:
- Vyžadování spravovaného zařízení
- Blokování starší verze ověřování
- Blokování webových aplikací, ale povolení mobilních nebo desktopových aplikací
Podporované prohlížeče
Toto nastavení funguje se všemi prohlížeči. Pro splnění zásad zařízení, jako jsou požadavky na zařízení vyhovující, jsou však podporovány následující operační systémy a prohlížeče. V tomto seznamu se nezobrazují operační systémy a prohlížeče, které již nejsou v běžné podpoře.
| Operační systémy | Prohlížeče |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91 nebo novější |
| Windows Server 2025 | Microsoft Edge, Chrome |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (viz poznámky) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Firefox 133+, Safari |
| Linux pracovní plocha | Microsoft Edge |
Tyto prohlížeče podporují ověřování zařízení, což umožňuje identifikaci a ověření zařízení vůči zásadám. Kontrola zařízení selže, pokud je prohlížeč spuštěný v privátním režimu nebo pokud jsou zakázané soubory cookie.
Poznámka:
Microsoft Edge 85 nebo novější vyžaduje, aby se uživatel přihlásil k prohlížeči, aby správně předal identitu zařízení. Jinak se chová jako Chrome bez rozšíření Microsoft Single Sign-On. K tomuto přihlášení nemusí dojít automaticky ve scénáři hybridního připojení zařízení.
Safari je podporován pro podmíněný přístup založený na zařízení na spravovaném zařízení, ale nemůže splňovat podmínky Požadovat schválenou klientskou aplikaci ani Zásady ochrany aplikace. Spravovaný prohlížeč, jako je Microsoft Edge, splňuje schválené požadavky na klientské aplikace a zásady ochrany aplikací. V iOSu s řešeními MDM od jiných společností než Microsoft podporuje zásady zařízení jenom prohlížeč Microsoft Edge.
Firefox 91+ je podporovaný pro podmíněný přístup založený na zařízeních, ale musí být povolené jednotné přihlašování systému Windows pro Microsoft, pracovní a školní účty.
Chrome 111+ je podporovaný pro podmíněný přístup založený na zařízeních, ale musí být povolený CloudApAuthEnabled.
Zařízení s macOS používající modul plug-in Enterprise SSO vyžadují rozšíření Microsoft Jednotné přihlašování pro podporu jednotného přihlašování a podmíněného přístupu založeného na zařízeních v Google Chrome.
Zařízení s macOS používající prohlížeč Firefox musí používat macOS verze 10.15 nebo novější a musí mít nainstalovaný a správně nakonfigurovanýmodul plug-in Microsoft Enterprise SSO.
Proč se v prohlížeči zobrazuje výzva k zadání certifikátu
Na zařízeních s Windows 7, iOS, Androidem a macOS se identifikují pomocí klientského certifikátu. Tento certifikát je vystaven při registraci zařízení. Když se uživatel poprvé přihlásí přes prohlížeč, zobrazí se výzva k výběru certifikátu. Uživatel musí tento certifikát před použitím prohlížeče vybrat.
Podpora chromu
Windows
Pro podporu Chromu ve Windows 10 Creators Update (verze 1703) nebo novější nainstalujte rozšíření Microsoft Jednotné přihlašování nebo povolte CloudAPAuthEnabled Pro Chrome. Tyto konfigurace se vyžadují, když zásady podmíněného přístupu vyžadují podrobnosti specifické pro konkrétní zařízení pro platformy Windows.
Pokud chcete v Chromu automaticky povolit zásady CloudAPAuthEnabled, vytvořte následující klíč registru:
- Cesta:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Název:
CloudAPAuthEnabled - Hodnota:
0x00000001 - Druh nemovitosti:
DWORD
Pokud chcete automaticky nasadit rozšíření Microsoft Jednotné přihlašování do prohlížečů Chrome, vytvořte následující klíč registru pomocí zásad ExtensionInstallForcelist v Chromu:
- Cesta:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Název:
1 - Typ:
REG_SZ (String) - Údaje:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Pro podporu Chromu ve Windows 8.1 a 7 vytvořte následující klíč registru:
- Cesta:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Název:
1 - Typ:
REG_SZ (String) - Údaje:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Zařízení s macOS používající modul plug-in Enterprise SSO vyžadují rozšíření Microsoft Jednotné přihlašování pro podporu jednotného přihlašování a podmíněného přístupu založeného na zařízeních v Google Chrome.
Informace o nasazeních založených na MDM pro správu Google Chrome a rozšíření najdete v tématu Nastavení prohlížeče Chrome v systému Mac a ExtensionInstallForcelist.
Podporované mobilní aplikace a desktopoví klienti
Správci můžou jako klientskou aplikaci vybrat mobilní aplikace a desktopové klienty .
Toto nastavení má vliv na pokusy o přístup z následujících mobilních aplikací a desktopových klientů:
| Klientské aplikace | Cílová služba | Platforma |
|---|---|---|
| Aplikace Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS a Android |
| Aplikace Pošta/Kalendář/Lidé, Outlook 2016, Outlook 2013 (s moderním ověřováním) | Exchange Online | Systém Windows 10 |
| Zásady vícefaktorového ověřování a umístění pro aplikace. Zásady založené na zařízeních se nepodporují. | Libovolná služba aplikací My Apps | Android a iOS |
| Microsoft Teams Services – tato klientská aplikace řídí všechny služby, které podporují Microsoft Teams a všechny jeho klientské aplikace – Windows Desktop, iOS, Android, WP a webový klient. | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android a macOS |
| Aplikace Office 2016, Office 2013 (s moderním ověřováním), klient synchronizace OneDrivu | Služba SharePoint | Windows 8.1, Windows 7 |
| Aplikace Office 2016, univerzální aplikace Office, Office 2013 (s moderním ověřováním), synchronizační aplikace OneDrivu klient | SharePoint Online | Systém Windows 10 |
| Office 2016 (jenom Word, Excel, PowerPoint, OneNote). | Služba SharePoint | macOS |
| Kancelář 2019 | Služba SharePoint | Windows 10, macOS |
| Mobilní aplikace Office | Služba SharePoint | Android, iOS |
| Aplikace Office Yammer | Naříkání | Windows 10, iOS, Android |
| Výhled na rok 2019 | Služba SharePoint | Windows 10, macOS |
| Outlook 2016 (Office pro macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (s moderním ověřováním), Skype pro firmy (s moderním ověřováním) | Exchange Online | Windows 8.1, Windows 7 |
| Mobilní aplikace Outlook | Exchange Online | Android, iOS |
| Aplikace Power BI | služba Power BI | Windows 10, Windows 8.1, Windows 7, Android a iOS |
| Skype pro firmy | Exchange Online | Android, iOS |
| Aplikace Azure DevOps Services (dříve Visual Studio Team Services nebo VSTS) | Azure DevOps Services (dříve Visual Studio Team Services nebo VSTS) | Windows 10, Windows 8.1, Windows 7, iOS a Android |
klienti protokolu Exchange ActiveSync
- Správci můžou vybrat pouze klienty Exchange ActiveSync při přiřazování zásad uživatelům nebo skupinám. Výběr možnosti Všichni uživatelé, Všichni host a externí uživatelé nebo role Adresáře způsobí, že se na zásady vztahují všichni uživatelé.
- Když správci vytvoří zásadu přiřazenou klientům Exchange ActiveSync, exchange Online by měla být jedinou cloudovou aplikací přiřazenou k zásadám.
- Správci můžou rozsah této zásady zúžit na konkrétní platformy pomocí podmínky Platformy zařízení .
Pokud řízení přístupu přiřazené k zásadám používá Vyžadovat schválenou klientskou aplikaci, uživatel se přesměruje k instalaci a použití mobilního klienta Outlooku. V případě, že se vyžaduje vícefaktorové ověřování, podmínky použití nebo vlastní ovládací prvky , jsou ovlivnění uživatelé blokovaní, protože základní ověřování tyto ovládací prvky nepodporuje.
Další informace najdete v následujících článcích:
- Blokování starší verze ověřování pomocí podmíněného přístupu
- Vyžadování schválených klientských aplikací s podmíněným přístupem
Ostatní klienti
Výběrem možnosti Další klienti můžete zadat podmínku, která ovlivňuje aplikace, které používají základní ověřování pomocí poštovních protokolů, jako jsou IMAP, MAPI, POP, SMTP a starší aplikace Office, které nepoužívají moderní ověřování.
Stav zařízení (zastaralé)
Tato podmínka je zastaralá. Zákazníci by měli použít podmínku filtr pro zařízení v politice podmíněného přístupu, aby splnili scénáře, které byly dříve dosaženy pomocí podmínky stavu zařízení.
Důležité
Stav zařízení a filtry pro zařízení nelze používat společně v pravidlech podmíněného přístupu. Filtry pro zařízení poskytují podrobnější cílení, včetně podpory cílení na informace o stavu zařízení prostřednictvím vlastnosti trustType a isCompliant.
Filtr pro zařízení
Když správci nakonfigurují filtr pro zařízení jako podmínku, můžou zahrnout nebo vyloučit zařízení na základě filtru pomocí výrazu pravidla ve vlastnostech zařízení. Výraz pravidla pro filtrování pro zařízení můžete vytvořit pomocí tvůrce pravidel nebo syntaxe pravidla. Tento proces je podobný tomu, který se používá pro pravidla pro dynamické skupiny členství. Další informace najdete v tématu Podmíněný přístup: Filtrování pro zařízení.
Toky ověřování (Preview)
Procesy ověřování řídí, jak vaše organizace používá určité ověřovací a autorizační protokoly a oprávnění. Tyto toky můžou poskytovat bezproblémové prostředí pro zařízení, která nemají místní vstup, jako jsou sdílená zařízení nebo digitální podpis. Pomocí tohoto ovládacího prvku můžete nakonfigurovat metody přenosu, jako je tok kódu zařízení nebo přenos ověřování.