Sdílet prostřednictvím

Podmíněný přístup: Filtr pro zařízení

Když správci vytvářejí zásady podmíněného přístupu, možnost cílit nebo vyloučit konkrétní zařízení ve svém prostředí je běžnou úlohou. Filtr podmínek pro zařízení umožňuje správcům cílit na konkrétní zařízení. Správci můžou používat podporované operátory a vlastnosti pro filtry zařízení vedle ostatních dostupných podmínek přiřazení v zásadách podmíněného přístupu.

Vytvoření filtru pro zařízení v podmínkách zásad podmíněného přístupu

Obvyklé scénáře

Organizace teď můžou pomocí filtru pro podmínku zařízení povolit několik scénářů. Následující scénáře obsahují příklady použití této nové podmínky.

  • Omezte přístup k privilegovaným prostředkům. V tomto příkladu řekněme, že chcete povolit přístup k rozhraní API služby Windows Azure Management od uživatele, který:
    • Má přiřazenou privilegovanou roli.
    • Dokončilo se vícefaktorové ověřování.
    • Je na zařízení, které je privilegovanou nebo zabezpečenou pracovní stanicí správců a je potvrzeno jako vyhovující.
    • V tomto scénáři by organizace vytvořily dvě zásady podmíněného přístupu:
      • Zásada 1: Všichni uživatelé s rolí správce, kteří přistupují k cloudové aplikaci Windows Azure Service Management API, musí pro řízení přístupu získat povolení, ale je vyžadováno vícefaktorové ověřování a zařízení musí být označeno jako vyhovující.
      • Zásada 2: Všichni uživatelé s administrátorem, kteří přistupují ke cloudové aplikaci API pro správu služeb Windows Azure, kromě případů, kdy filtr pro zařízení používá výraz pravidla device.extensionAttribute1 se rovná SAW a pro řízení přístupu, blokovat. Zjistěte, jak aktualizovat atributy rozšíření na objektu zařízení Microsoft Entra.
  • Zablokujte přístup k prostředkům organizace ze zařízení s nepodporovaným operačním systémem. V tomto příkladu řekněme, že chcete blokovat přístup k prostředkům z verze operačního systému Windows starší než Windows 10. V tomto scénáři by organizace vytvořily následující zásady podmíněného přístupu:
    • Všichni uživatelé přistupující ke všem prostředkům, s výjimkou těch, kde na zařízení platí výrazy pravidel device.operatingSystem == 'Windows' a device.operatingSystemVersion startsWith '10.0', by měli být blokováni řízením přístupu.
  • Pro konkrétní účty na konkrétních zařízeních nevyžadují vícefaktorové ověřování. V tomto příkladu řekněme, že při používání účtů služeb na konkrétních zařízeních, jako jsou telefony Teams nebo zařízení Surface Hub, nechcete vyžadovat vícefaktorové ověřování. V tomto scénáři by organizace vytvořily následující dvě zásady podmíněného přístupu:
    • Zásada 1: Všichni uživatelé, kromě účtů služeb, přistupují ke všem prostředkům. Pro řízení přístupu udělit přístup, ale požadovat vícefaktorové ověřování.
    • Zásada 2: Vyberte uživatele a skupiny a zahrňte skupinu, která obsahuje pouze účty služeb. Zajistěte přístup ke všem prostředkům, s výjimkou zařízení, která používají výraz pravidla device.extensionAttribute2, který se nerovná TeamsPhoneDevice, a pro řízení přístupu blokovat.

Poznámka:

Microsoft Entra ID používá ověřování zařízení k vyhodnocení pravidel filtru zařízení. U zařízení, které je neregistrované s ID Microsoft Entra, se všechny vlastnosti zařízení považují za hodnoty null a atributy zařízení nelze určit, protože zařízení v adresáři neexistuje. Nejlepší způsob, jak cílit zásady pro neregistrovaná zařízení, je použití záporného operátoru, protože se tím uplatní nakonfigurované pravidlo filtru. Pokud byste použili kladný operátor, pravidlo filtru by se použilo jenom v případě, že zařízení existuje v adresáři a nakonfigurované pravidlo odpovídá atributu v zařízení.

Vytvořte zásady podmíněného přístupu

Filtr pro zařízení je volitelný ovládací prvek při vytváření zásad podmíněného přístupu.

Následující postup vám pomůže vytvořit dvě zásady podmíněného přístupu, které podporují první scénář v běžných scénářích.

Zásada 1: Všichni uživatelé s rolí správce, kteří přistupují k cloudové aplikaci Windows Azure Service Management API, musí pro řízení přístupu získat povolení, ale je vyžadováno vícefaktorové ověřování a zařízení musí být označeno jako vyhovující.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte na Entra ID>Podmíněný přístup>Zásady.
  3. Vyberte Novou politiku.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte uživatelské nebo pracovní identity.

    1. V části Zahrnout vyberte Adresářové role a potom všechny role s administrátorem v názvu.

      Varování

      Zásady podmíněného přístupu podporují předdefinované role. Zásady podmíněného přístupu se nevynucují pro jiné typy rolí, včetně rolí omezených na administrativní jednotky nebo vlastních rolí.

    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty vaší organizace pro nouzový přístup nebo účty typu break-glass.

    3. Vyberte Hotovo.

  6. V části Cílové prostředky>Prostředky (dříve cloudové aplikace)>Zahrnout>, vyberte prostředky, zvolte API pro správu služeb ve Windows Azure, a vyberte Vybrat.
  7. V části Řízení přístupu>Udělení vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a Vyžadovat, aby zařízení bylo označeno jako vyhovující, a pak vyberte Vybrat.
  8. Potvrďte nastavení a nastavte Povolit politiku na Zapnuto.
  9. Vyberte Vytvořit, abyste zásadu vytvořili a aktivovali.

Zásada 2: Všichni uživatelé s rolí správce, kteří přistupují ke cloudové aplikaci Windows Azure Service Management API, s výjimkou filtru pro zařízení používajícího výraz pravidla device.extensionAttribute1 rovný SAW a pro řízení přístupu, blokování.

  1. Vyberte Novou politiku.
  2. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  3. V části Přiřazení vyberte uživatelské nebo pracovní identity.

    1. V části Zahrnout vyberte Role adresáře a potom všechny role se správcem v názvu.

      Varování

      Zásady podmíněného přístupu podporují předdefinované role. Zásady podmíněného přístupu se nevynucují na jiné typy rolí, jako jsou omezené na správní jednotky nebo vlastní role.

    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty vaší organizace pro nouzový přístup nebo účty typu break-glass.

    3. Vyberte Hotovo.

  4. V části Cílové prostředky>Prostředky (dříve cloudové aplikace)>Zahrnout>, vyberte prostředky, zvolte API pro správu služeb ve Windows Azure, a vyberte Vybrat.
  5. Pod podmínkami vyfiltrujte zařízení.
    1. Přepněte konfigurovat na ano.
    2. Nastavte zařízení odpovídající pravidlu na vyloučení filtrovaných zařízení ze zásady.
    3. Nastavte vlastnost na ExtensionAttribute1, operátor na Equals a hodnotu na SAW.
    4. Vyberte Hotovo.
  6. V části Řízení přístupuGrant, vyberte Blokovat přístup, a pak vyberte Vybrat.
  7. Potvrďte nastavení a nastavte Povolit politiku na Zapnuto.
  8. Vyberte Vytvořit, abyste zásadu vytvořili a aktivovali.

Varování

Zásady, které vyžadují vyhovující zařízení, můžou uživatele na Macu, iOSu a Androidu vyzvat k výběru certifikátu zařízení během vyhodnocování zásad, i když dodržování předpisů zařízením není vynucené. Tyto výzvy se můžou opakovat, dokud zařízení nedodržuje předpisy.

Nastavení hodnot atributů

Nastavení atributů rozšíření je možné prostřednictvím rozhraní Microsoft Graph API. Další informace o nastavení atributů zařízení najdete v článku Aktualizace zařízení.

Filtrování pro zařízení Graph API

Filtr rozhraní API pro zařízení je k dispozici v koncovém bodu Microsoft Graphu v1.0 a lze k němu získat přístup pomocí koncového bodu https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Filtr pro zařízení můžete nakonfigurovat při vytváření nových zásad podmíněného přístupu nebo můžete aktualizovat existující zásady tak, aby konfigurovali filtr pro podmínku zařízení. Pokud chcete aktualizovat existující zásady, můžete provést PATCH volání na koncový bod Microsoft Graph v1.0 tak, že připojíte identifikátor existující zásady a spustíte následující tělo požadavku. Tento příklad ukazuje, jak nakonfigurovat podmínku filtru pro zařízení, s vyloučením zařízení, která nejsou označena jako zařízení SAW. Syntaxe pravidla se může skládat z více než jednoho výrazu. Další informace o syntaxi najdete v pravidlech pravidla pro dynamické skupiny členství ve skupinách v Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Podporované operátory a vlastnosti zařízení pro filtry

Následující atributy zařízení lze použít s filtrem pro nastavení zařízení v podmíněném přístupu.

Důležité

Microsoft doporučuje použít alespoň jednu vlastnost zařízení definovanou systémem nebo konfigurovatelnou správcem při použití filtru pro podmínku zařízení v podmíněném přístupu.

Poznámka:

Microsoft Entra ID používá ověřování zařízení k vyhodnocení pravidel filtru zařízení. U zařízení, které je neregistrované s ID Microsoft Entra, se všechny vlastnosti zařízení považují za hodnoty null a atributy zařízení nelze určit, protože zařízení v adresáři neexistuje. Nejlepší způsob, jak cílit zásady pro neregistrovaná zařízení, je použití záporného operátoru, protože se tím uplatní nakonfigurované pravidlo filtru. Pokud byste použili kladný operátor, pravidlo filtru by se použilo jenom v případě, že zařízení existuje v adresáři a nakonfigurované pravidlo odpovídá atributu v zařízení.

Podporované atributy zařízení Systémově definováno nebo nakonfigurováno správcem Podporované operátory Podporované hodnoty Příklad
ID zařízení Ano Rovná se, Není rovno, V, Není v Platný identifikátor deviceId, který je GUID (device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbb")
zobrazované jméno Ne Rovná se, Nerovná se, Začíná na, Nezačíná na, Končí na, Nekončí na, Obsahuje, Neobsahuje, V, Není v Libovolný řetězec (zařízení.názevObsahu -obsahuje "ABC")
vlastnictví zařízení Ano Rovná se, nerovná se Podporované hodnoty jsou "Osobní" pro používání vlastních zařízení a "Společnost" pro zařízení vlastněná společností. (device.deviceOwnership -eq "Společnost")
název profilu zápisu Ano Rovná se, Nerovná se, Začíná na, Nezačíná na, Končí na, Nekončí na, Obsahuje, Neobsahuje, V, Není v Toto nastavení nastavuje Microsoft Intune na základě profilu, pod který se zařízení zaregistrovalo v době registrace. Jedná se o řetězcovou hodnotu vytvořenou správcem Microsoft Intune a odpovídá profilu registrace zařízení pro Windows Autopilot, Apple Automated Device Enrollment (ADE) nebo profilu registrace Google použitého na zařízení. (device.enrollmentProfileName -startsWith "Profil AutoPilotu")
je v souladu Ano Rovná se, nerovná se Podporované hodnoty jsou "True" pro vyhovující zařízení a "False" pro nevyhovující zařízení. (device.isCompliant -eq "Pravda")
výrobce Ne Rovná se, Nerovná se, Začíná na, Nezačíná na, Končí na, Nekončí na, Obsahuje, Neobsahuje, V, Není v Libovolný řetězec (device.manufacturer -začínáNa "Microsoft")
mdmAppId Ano Rovná se, Není rovno, V, Není v Platné ID aplikace MDM (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"])
model Ne Rovná se, Nerovná se, Začíná na, Nezačíná na, Končí na, Nekončí na, Obsahuje, Neobsahuje, V, Není v Libovolný řetězec (device.model -neobsahuje "Surface")
operační systém Ano Rovná se, Nerovná se, Začíná na, Nezačíná na, Končí na, Nekončí na, Obsahuje, Neobsahuje, V, Není v Platný operační systém (například Windows, iOS nebo Android) (device.operatingSystem -eq "Windows")
verze operačního systému Ano Rovná se, Nerovná se, Začíná na, Nezačíná na, Končí na, Nekončí na, Obsahuje, Neobsahuje, V, Není v Platná verze operačního systému (například 6.1 pro Windows 7, 6.2 pro Windows 8 nebo 10.0 pro Windows 10 a Windows 11) (zařízení.verzeOperačníhoSystému -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Ano Obsahuje, Neobsahuje Například všechna zařízení Windows Autopilot ukládají ZTDId (jedinečnou hodnotu přiřazenou všem importovaným zařízením Windows Autopilot) ve vlastnosti physicalIds zařízení. (device.physicalIds -contains "[ZTDId]:value")
typ profilu Ano Rovná se, nerovná se Platný typ profilu nastavený pro zařízení. Podporované hodnoty jsou: RegisteredDevice (výchozí), SecureVM (používá se pro virtuální počítače s Windows v Azure s povoleným přihlášením k Microsoft Entra), tiskárna (použitá pro tiskárny), sdílená (používaná pro sdílená zařízení), IoT (používá se pro zařízení IoT). (device.profileType -eq "Tiskárna")
systémové štítky Ano Obsahuje, Neobsahuje Seznam štítků použitých systémem na zařízení Mezi podporované hodnoty patří: AzureResource (používá se pro virtuální počítače s Windows v Azure s povoleným přihlášením k Microsoft Entra), M365Managed (používá se pro zařízení spravovaná pomocí Microsoft Managed Desktopu), MultiUser (používá se pro sdílená zařízení). (device.systemLabels -contains "M365Managed")
typ důvěry Ano Rovná se, nerovná se Platný zaregistrovaný stav pro zařízení. Podporované hodnoty jsou: AzureAD (používá se pro zařízení připojená k Microsoft Entra), ServerAD (používá se pro zařízení připojená k Microsoft Entra v hybridním režimu), Workplace (používá se pro zaregistrovaná zařízení Microsoft Entra). (device.trustType -eq "ServerAD")
extensionAttribute1-15 Ano Rovná se, Nerovná se, Začíná na, Nezačíná na, Končí na, Nekončí na, Obsahuje, Neobsahuje, V, Není v extensionAttributes1-15 jsou atributy, které zákazníci můžou použít pro objekty zařízení. Zákazníci mohou aktualizovat libovolný atribut rozšíření od 1 do 15 vlastními hodnotami a použít je jako filtr pro podmínku zařízení v rámci podmíněného přístupu. Lze použít libovolnou řetězcovou hodnotu. (device.extensionAttribute1 -eq "SAW")

Varování

Zařízení musí být spravována prostřednictvím Microsoft Intune, v souladu s požadavky nebo připojena ke službě Microsoft Entra v hybridním režimu, aby byla hodnota dostupná v extensionAttributes1-15 v době vyhodnocování zásady podmíněného přístupu.

Poznámka:

Při vytváření složitých pravidel nebo použití příliš velkého počtu jednotlivých identifikátorů, jako je deviceid pro identity zařízení, mějte na paměti, že maximální délka pravidla filtru je 3072 znaků.

Poznámka:

Operátory Contains a operátory NotContains fungují odlišně v závislosti na typech atributů. U atributů řetězců, jako jsou operatingSystem a model, operátor Contains označuje, zda se zadaný podřetězec vyskytuje v atributu. U atributů kolekce řetězců, například physicalIds a systemLabels, operátor označuje, Contains zda zadaný řetězec odpovídá jednomu z celých řetězců v kolekci.

Chování zásad s filtrem pro zařízení

Filtr podmínky zařízení v podmíněném přístupu vyhodnocuje zásady na základě atributů zařízení registrovaného zařízení v Microsoft Entra ID, a proto je důležité pochopit, za jakých okolností se zásada použije nebo nepoužívá. Následující tabulka ukazuje chování při konfiguraci filtru pro podmínku zařízení.

Filtr podle stavu zařízení Stav registrace zařízení Použitý filtr zařízení
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a používání jakýchkoli atributů Neregistrované zařízení Ne
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů s výjimkou extensionAttributes1-15 Zaregistrované zařízení Ano, pokud jsou splněna kritéria
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů včetně extensionAttributes1-15 Zaregistrované zařízení spravované přes Intune Ano, pokud jsou splněna kritéria
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů včetně extensionAttributes1-15 Zaregistrované zařízení, které nespravuje Intune Ano, pokud jsou splněna kritéria. Když se použijí atributy extensionAttributes1-15, zásada se uplatní, pokud je zařízení vyhovující nebo hybridně připojeno k Microsoft Entra.
Režim zahrnutí/vyloučení se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím jakýchkoli atributů Neregistrované zařízení Ano
Režim zahrnutí/vyloučení s použitím negativních operátorů (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a využití všech atributů, kromě extensionAttributes1-15 Zaregistrované zařízení Ano, pokud jsou splněna kritéria
Režim zahrnutí/vynechání s negativními operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím jakéhokoli atributu včetně extensionAttributes1-15 Zaregistrované zařízení spravované přes Intune Ano, pokud jsou splněna kritéria
Režim zahrnutí/vynechání s negativními operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím jakéhokoli atributu včetně extensionAttributes1-15 Zaregistrované zařízení, které nespravuje Intune Ano, pokud jsou splněna kritéria. Když se použijí atributy extensionAttributes1-15, zásada se uplatní, pokud je zařízení vyhovující nebo hybridně připojeno k Microsoft Entra.

Související obsah

  • Last updated on