Sdílet prostřednictvím

Podmíněný přístup: Filtr pro zařízení

  • Článek

Když správci vytvářejí zásady podmíněného přístupu, možnost cílit nebo vyloučit konkrétní zařízení ve svém prostředí je běžnou úlohou. Filtr podmínek pro zařízení umožňuje správcům cílit na konkrétní zařízení. Správci můžou používat podporované operátory a vlastnosti pro filtry zařízení vedle ostatních dostupných podmínek přiřazení v zásadách podmíněného přístupu.

Vytvoření filtru pro zařízení v podmínkách zásad podmíněného přístupu

Obvyklé scénáře

Organizace teď můžou pomocí filtru pro podmínku zařízení povolit několik scénářů. Následující scénáře obsahují příklady použití této nové podmínky.

  • Omezte přístup k privilegovaným prostředkům. V tomto příkladu řekněme, že chcete povolit přístup k rozhraní API služby Windows Azure Management od uživatele, který:
    • Má přiřazenou privilegovanou roli.
    • Dokončilo se vícefaktorové ověřování.
    • Je na zařízení, které je privilegované nebo zabezpečené pracovní stanice správců a je potvrzeno jako vyhovující.
    • V tomto scénáři by organizace vytvořily dvě zásady podmíněného přístupu:
      • Zásada 1: Všichni uživatelé s rolí správce, přístup k cloudové aplikaci API pro správu služeb Windows Azure a pro řízení přístupu, udělení přístupu, ale vyžadují vícefaktorové ověřování a vyžadují, aby zařízení bylo označené jako vyhovující.
      • Zásada 2: Všichni uživatelé s správcem, kteří přistupují ke cloudové aplikaci API pro správu služeb Windows Azure, s výjimkou filtru pro zařízení používající výraz pravidla device.extensionAttribute1 se rovná SAW a pro řízení přístupu, Blokovat. Zjistěte, jak aktualizovat rozšířeníAttributes na objektu zařízení Microsoft Entra.
  • Zablokujte přístup k prostředkům organizace ze zařízení s nepodporovaným operačním systémem. V tomto příkladu řekněme, že chcete blokovat přístup k prostředkům z verze operačního systému Windows starší než Windows 10. V tomto scénáři by organizace vytvořily následující zásady podmíněného přístupu:
    • Všichni uživatelé, kteří přistupují ke všem cloudovým aplikacím, s výjimkou filtru pro zařízení pomocí výrazu pravidla device.operatingSystem equals Windows a device.operatingSystemVersion startsWith "10.0" a pro řízení přístupu, Block.
  • Pro konkrétní účty na konkrétních zařízeních nevyžadují vícefaktorové ověřování. V tomto příkladu řekněme, že při používání účtů služeb na konkrétních zařízeních, jako jsou telefony Teams nebo zařízení Surface Hub, nechcete vyžadovat vícefaktorové ověřování. V tomto scénáři by organizace vytvořily následující dvě zásady podmíněného přístupu:
    • Zásada 1: Všichni uživatelé bez účtů služeb, přístup ke všem cloudovým aplikacím a pro řízení přístupu, udělení přístupu, ale vyžadují vícefaktorové ověřování.
    • Zásada 2: Vyberte uživatele a skupiny a zahrňte skupinu, která obsahuje jenom účty služeb, přístup ke všem cloudovým aplikacím, s výjimkou filtru pro zařízení používající výraz pravidla device.extensionAttribute2 se nerovná TeamsPhoneDevice a pro řízení přístupu, Blokovat.

Poznámka:

Microsoft Entra ID používá ověřování zařízení k vyhodnocení pravidel filtru zařízení. U zařízení, které je neregistrované s ID Microsoft Entra, se všechny vlastnosti zařízení považují za hodnoty null a atributy zařízení nelze určit, protože zařízení v adresáři neexistuje. Nejlepší způsob, jak cílit zásady pro neregistrovaná zařízení, je použití záporného operátoru, protože by se použilo nakonfigurované pravidlo filtru. Pokud byste použili kladný operátor, pravidlo filtru by se použilo jenom v případě, že zařízení existuje v adresáři a nakonfigurované pravidlo odpovídá atributu v zařízení.

Vytvořte zásady podmíněného přístupu

Filtr pro zařízení je volitelný ovládací prvek při vytváření zásad podmíněného přístupu.

Následující postup vám pomůže vytvořit dvě zásady podmíněného přístupu, které podporují první scénář v běžných scénářích.

Zásada 1: Všichni uživatelé s rolí správce, přístup k cloudové aplikaci API pro správu služeb Windows Azure a pro řízení přístupu, udělení přístupu, ale vyžadují vícefaktorové ověřování a vyžadují, aby zařízení bylo označené jako vyhovující.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k zásadám podmíněného přístupu ochrany>>.
  3. Vyberte Možnost Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.

    1. V části Zahrnout vyberte Role adresáře a potom všechny role se správcem v názvu.

      Upozorňující

      Zásady podmíněného přístupu podporují předdefinované role. Zásady podmíněného přístupu se nevynucují pro jiné typy rolí, včetně jednotek pro správu nebo vlastních rolí.

    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.

    3. Vyberte Hotovo.

  6. V části Cílové prostředky>Cloud apps Include>Select apps>, choose Windows Azure Service Management API, and select Select.
  7. V části Řízení>přístupu udělte, vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a Vyžadovat, aby zařízení bylo označeno jako vyhovující, a pak vyberte Vybrat.
  8. Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
  9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Zásada 2: Všichni uživatelé s rolí správce, kteří přistupují k cloudové aplikaci API pro správu služeb Windows Azure, s výjimkou filtru pro zařízení pomocí výrazu pravidla device.extensionAttribute1 se rovná SAW a pro řízení přístupu, Blokovat.

  1. Vyberte Možnost Nová zásada.
  2. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  3. V části Přiřazení vyberte Uživatelé nebo identity úloh.

    1. V části Zahrnout vyberte Role adresáře a potom všechny role se správcem v názvu.

      Upozorňující

      Zásady podmíněného přístupu podporují předdefinované role. Zásady podmíněného přístupu se nevynucují pro jiné typy rolí, včetně jednotek pro správu nebo vlastních rolí.

    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.

    3. Vyberte Hotovo.

  4. V části Cílové prostředky>Cloud apps Include>Select apps>, choose Windows Azure Service Management API, and select Select.
  5. Za podmínek vyfiltrujte zařízení.
    1. Přepněte konfigurovat na ano.
    2. Nastavte zařízení odpovídající pravidlu na vyloučení filtrovaných zařízení ze zásad.
    3. Nastavte vlastnost na ExtensionAttribute1, operátor na Equals a hodnotu na SAW.
    4. Vyberte Hotovo.
  6. V části Řízení>přístupu udělte, vyberte Blokovat přístup a pak vyberte Vybrat.
  7. Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
  8. Pokud chcete zásadu povolit, vyberte Vytvořit .

Upozorňující

Zásady, které vyžadují vyhovující zařízení, můžou uživatele na Macu, iOSu a Androidu vyzvat k výběru certifikátu zařízení během vyhodnocování zásad, i když dodržování předpisů zařízením není vynucené. Tyto výzvy se můžou opakovat, dokud zařízení nedodržuje předpisy.

Nastavení hodnot atributů

Nastavení atributů rozšíření je možné prostřednictvím rozhraní Microsoft Graph API. Další informace o nastavení atributů zařízení najdete v článku Aktualizace zařízení.

Filtrování pro zařízení Graph API

Filtr rozhraní API pro zařízení je k dispozici v koncovém bodu Microsoft Graphu v1.0 a lze k němu získat přístup pomocí koncového bodu https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Filtr pro zařízení můžete nakonfigurovat při vytváření nových zásad podmíněného přístupu nebo můžete aktualizovat existující zásady tak, aby konfigurovali filtr pro podmínku zařízení. Pokud chcete aktualizovat existující zásady, můžete provést volání opravy koncového bodu Microsoft Graphu v1.0 tak, že připojíte ID zásady existující zásady a spustíte následující text požadavku. V tomto příkladu vidíte konfiguraci filtru pro podmínku zařízení s výjimkou zařízení, která nejsou označená jako zařízení SAW. Syntaxe pravidla se může skládat z více než jednoho výrazu. Další informace o syntaxi najdete vpravidlech 

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Podporované operátory a vlastnosti zařízení pro filtry

Následující atributy zařízení lze použít s filtrem pro podmínku zařízení v podmíněném přístupu.

Poznámka:

Microsoft Entra ID používá ověřování zařízení k vyhodnocení pravidel filtru zařízení. U zařízení, které je neregistrované s ID Microsoft Entra, se všechny vlastnosti zařízení považují za hodnoty null a atributy zařízení nelze určit, protože zařízení v adresáři neexistuje. Nejlepší způsob, jak cílit zásady pro neregistrovaná zařízení, je použití záporného operátoru, protože by se použilo nakonfigurované pravidlo filtru. Pokud byste použili kladný operátor, pravidlo filtru by se použilo jenom v případě, že zařízení existuje v adresáři a nakonfigurované pravidlo odpovídá atributu v zařízení.

Podporované atributy zařízení Podporované operátory Podporované hodnoty Příklad
deviceId Rovná se, NotEquals, In, NotIn Platný identifikátor deviceId, který je IDENTIFIKÁTOR GUID (device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbb")
displayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Libovolný řetězec (device.displayName -contains "ABC")
DeviceOwnership Rovná se, NotEquals Podporované hodnoty jsou "Osobní" pro používání vlastních zařízení a "Společnost" pro zařízení vlastněná společností. (device.deviceOwnership -eq "Company")
isCompliant Rovná se, NotEquals Podporované hodnoty jsou "True" pro zařízení vyhovující předpisům a "False" pro zařízení nedodržování předpisů (device.isCompliant -eq "True")
Výrobce Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Libovolný řetězec (device.manufacturer -startsWith "Microsoft")
mdmAppId Rovná se, NotEquals, In, NotIn Platné ID aplikace MDM (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"])
model Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Libovolný řetězec (device.model -notContains "Surface")
operatingSystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Platný operační systém (například Windows, iOS nebo Android) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Platná verze operačního systému (například 6.1 pro Windows 7, 6.2 pro Windows 8 nebo 10.0 pro Windows 10 a Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Obsahuje, NotContains Například všechna zařízení s Windows Autopilot ukládají ZTDId (jedinečnou hodnotu přiřazenou všem importovaným zařízením Windows Autopilot) ve vlastnosti fyzické id zařízení. (device.physicalIds -contains "[ZTDId]:value")
profileType Rovná se, NotEquals Platný typ profilu nastavený pro zařízení. Podporované hodnoty jsou: RegisteredDevice (výchozí), SecureVM (používá se pro virtuální počítače s Windows v Azure s povoleným přihlášením k Microsoft Entra), tiskárna (použitá pro tiskárny), sdílená (používaná pro sdílená zařízení), IoT (používá se pro zařízení IoT). (device.profileType -eq "Printer")
systemLabels Obsahuje, NotContains Seznam popisků použitých na zařízení systémem Mezi podporované hodnoty patří: AzureResource (používá se pro virtuální počítače s Windows v Azure s povoleným přihlášením k Microsoft Entra), M365Managed (používá se pro zařízení spravovaná pomocí Microsoft Managed Desktopu), MultiUser (používá se pro sdílená zařízení). (device.systemLabels -contains "M365Managed")
trustType Rovná se, NotEquals Platný zaregistrovaný stav pro zařízení. Podporované hodnoty jsou: AzureAD (používá se pro zařízení připojená k Microsoft Entra), ServerAD (používá se pro zařízení připojená k Hybridním připojeným zařízením Microsoft Entra), Pracoviště (používá se pro registrovaná zařízení Microsoft Entra). (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn extensionAttributes1-15 jsou atributy, které zákazníci můžou použít pro objekty zařízení. Zákazníci můžou aktualizovat libovolnou příponuAttributes1 až 15 s vlastními hodnotami a použít je ve filtru pro podmínku zařízení v podmíněném přístupu. Lze použít libovolnou řetězcovou hodnotu. (device.extensionAttribute1 -eq "SAW")

Poznámka:

Při vytváření složitých pravidel nebo použití příliš velkého počtu jednotlivých identifikátorů, jako je deviceid pro identity zařízení, mějte na paměti, že maximální délka pravidla filtru je 3072 znaků.

Poznámka:

Operátory Contains a operátory NotContains fungují odlišně v závislosti na typech atributů. U atributů řetězců, jako operatingSystem modelje a , operátor označuje, Contains zda se zadaný podřetězce vyskytuje v rámci atributu. U atributů kolekce řetězců, například physicalIds a systemLabels, operátor označuje, Contains zda zadaný řetězec odpovídá jednomu z celých řetězců v kolekci.

Upozorňující

Zařízení musí být spravovaná, kompatibilní se službou Microsoft Intune nebo hybridním připojením Microsoft Entra, aby byla hodnota dostupná v extensionAttributes1-15 v době vyhodnocení zásad podmíněného přístupu.

Chování zásad s filtrem pro zařízení

Filtr podmínky zařízení v podmíněném přístupu vyhodnocuje zásady na základě atributů zařízení registrovaného zařízení v Microsoft Entra ID, a proto je důležité pochopit, za jakých okolností se zásada použije nebo nepoužívá. Následující tabulka ukazuje chování při konfiguraci filtru pro podmínku zařízení.

Podmínka filtru pro zařízení Stav registrace zařízení Použitý filtr zařízení
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a používání všech atributů Neregistrované zařízení No
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů s výjimkou extensionAttributes1-15 Zaregistrované zařízení Ano, pokud jsou splněna kritéria
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů včetně extensionAttributes1-15 Zaregistrované zařízení spravované přes Intune Ano, pokud jsou splněna kritéria
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů včetně extensionAttributes1-15 Zaregistrované zařízení, které nespravuje Intune Ano, pokud jsou splněna kritéria. Když se použije extensionAttributes1-15, zásada se použije, pokud zařízení dodržuje předpisy nebo je připojeno k hybridnímu připojení Microsoft Entra.
Režim include/exclude se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím jakýchkoli atributů Neregistrované zařízení Ano
Režim include/exclude s negativními operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použití všech atributů kromě extensionAttributes1-15 Zaregistrované zařízení Ano, pokud jsou splněna kritéria
Režim include/exclude se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím atributů včetně extensionAttributes1-15 Zaregistrované zařízení spravované přes Intune Ano, pokud jsou splněna kritéria
Režim include/exclude se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použitím atributů včetně extensionAttributes1-15 Zaregistrované zařízení, které nespravuje Intune Ano, pokud jsou splněna kritéria. Když se použije extensionAttributes1-15, zásada se použije, pokud zařízení dodržuje předpisy nebo je připojeno k hybridnímu připojení Microsoft Entra.

Související obsah