Běžné zásady zabezpečení pro organizace Microsoftu 365
Organizace mají spoustu starostí o nasazení Microsoftu 365 pro svoji organizaci. Zásady podmíněného přístupu, ochrany aplikací a zařízení, na které odkazuje tento článek, vycházejí z doporučení Microsoftu a tří hlavních principů nulová důvěra (Zero Trust):
- Explicitní ověření
- Použití nejnižších oprávnění
- Předpokládat porušení zabezpečení
Organizace můžou tyto zásady používat tak, jak jsou, nebo si je přizpůsobit podle svých potřeb. Pokud je to možné, otestujte zásady v neprodukčním prostředí a teprve potom je zaváděte pro produkční uživatele. Testování je důležité k identifikaci a komunikaci jakýchkoli možných efektů uživatelům.
Tyto zásady seskupíme do tří úrovní ochrany na základě toho, kde jste na cestě k nasazení:
- Výchozí bod – základní ovládací prvky, které zavádějí vícefaktorové ověřování, zabezpečené změny hesel a zásady ochrany aplikací.
- Enterprise – vylepšené ovládací prvky, které zavádějí dodržování předpisů zařízením.
- Specializované zabezpečení – zásady, které vyžadují vícefaktorové ověřování pokaždé pro konkrétní datové sady nebo uživatele.
Následující diagram znázorňuje, na jakou úroveň ochrany se jednotlivé zásady vztahují a jestli se zásady vztahují na počítače nebo telefony a tablety, nebo na obě kategorie zařízení.
Tento diagram si můžete stáhnout jako soubor PDF .
Tip
Před registrací zařízení v Intune se doporučuje vyžadovat použití vícefaktorového ověřování (MFA), aby se zajistilo, že zařízení je ve vlastnictví zamýšleného uživatele. Než budete moct vynutit zásady dodržování předpisů zařízením, musíte registrovat zařízení v Intune.
Požadavky
Oprávnění
- Uživatelé, kteří budou spravovat zásady podmíněného přístupu, se musí přihlásit k webu Azure Portal jako alespoň správce podmíněného přístupu.
- Uživatelé, kteří budou spravovat ochranu aplikací a zásady dodržování předpisů zařízením, se musí k Intune přihlásit jako alespoň správce Intune.
- Uživatelům, kteří potřebují jenom zobrazit konfigurace, je možné přiřadit role Čtenář zabezpečení nebo Globální čtenář .
Další informace o rolích a oprávněních najdete v článku Předdefinované role Microsoft Entra.
Registrace uživatele
Před vyžadováním použití se ujistěte, že se vaši uživatelé zaregistrují k vícefaktorovým ověřováním. Pokud máte licence, které zahrnují Microsoft Entra ID P2, můžete použít zásady registrace vícefaktorového ověřování v rámci služby Microsoft Entra ID Protection a vyžadovat, aby se uživatelé zaregistrovali. Poskytujeme komunikační šablony, které si můžete stáhnout a přizpůsobit a zvýšit úroveň registrace.
Skupiny
Všechny skupiny Microsoft Entra používané jako součást těchto doporučení musí být vytvořeny jako skupina Microsoft 365, nikoli skupina zabezpečení. Tento požadavek je důležitý pro nasazení popisků citlivosti při zabezpečení dokumentů v Microsoft Teams a SharePointu později. Další informace najdete v článku Informace o skupinách a přístupových právech v Microsoft Entra ID
Přiřazování zásad
Zásady podmíněného přístupu mohou být přiřazeny uživatelům, skupinám a rolím správce. Zásady ochrany aplikací Intune a dodržování předpisů zařízením se můžou přiřazovat jenom ke skupinám. Před konfigurací zásad byste měli určit, kdo by měl být zahrnutý a vyloučený. Zásady na úrovni ochrany výchozích bodů se obvykle vztahují na všechny v organizaci.
Tady je příklad přiřazení skupin a vyloučení pro vyžadování vícefaktorového ověřování po dokončení registrace uživatele.
| Zásady podmíněného přístupu Microsoft Entra | Zahrnout | Vyloučit | |
|---|---|---|---|
| Výchozí bod | Vyžadovat vícefaktorové ověřování pro střední nebo vysoké riziko přihlašování | Všichni uživatelé |
|
| Enterprise | Vyžadování vícefaktorového ověřování pro nízké, střední nebo vysoké riziko přihlašování | Skupina vedoucích pracovníků |
|
| Specializované zabezpečení | Vyžadovat vícefaktorové ověřování vždy | Skupina Top Secret Project Buckeye |
|
Při použití vyšší úrovně ochrany u skupin a uživatelů buďte opatrní. Cílem zabezpečení není přidat zbytečné tření uživatelského prostředí. Například členové skupiny Top Secret Project Buckeye budou muset používat vícefaktorové ověřování při každém přihlášení, i když nepracují na specializovaném obsahu zabezpečení pro svůj projekt. Nadměrné bezpečnostní tření může vést k únavě.
Můžete zvážit povolení metod ověřování bez hesla, jako jsou Windows Hello pro firmy nebo klíče zabezpečení FIDO2, aby se snížily určité třecí plochy vytvořené určitými bezpečnostními prvky.
Nouzové přístupové účty
Všechny organizace by měly mít alespoň jeden účet pro nouzový přístup, který je monitorovaný pro použití a vyloučený ze zásad. Tyto účty se používají jenom v případě, že všechny ostatní účty správců a metody ověřování jsou uzamčené nebo jinak nedostupné. Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
Vyloučení
Doporučeným postupem je vytvoření skupiny Microsoft Entra pro vyloučení podmíněného přístupu. Tato skupina poskytuje způsob, jak poskytnout přístup uživateli při řešení potíží s přístupem.
Upozorňující
Tato skupina se doporučuje používat pouze jako dočasné řešení. Nepřetržitě monitorujte a auditujte tuto skupinu změn a ujistěte se, že se skupina vyloučení používá jenom podle očekávání.
Přidání této skupiny vyloučení do existujících zásad:
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Přejděte k podmíněnému přístupu k ochraně>.
- Vyberte existující zásadu.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
- V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo účty pro přerušení přístupu a skupinu vyloučení podmíněného přístupu.
Nasazení
Doporučujeme implementovat zásady výchozího bodu v pořadí uvedeném v této tabulce. Zásady vícefaktorového ověřování pro podnikové a specializované úrovně zabezpečení je však možné implementovat kdykoli.
Výchozí bod
| Zásady | Více informací | Licencování |
|---|---|---|
| Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké | Použití rizikových dat z Microsoft Entra ID Protection k vyžadování vícefaktorového ověřování pouze v případech, kdy se zjistí riziko | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security |
| Blokování klientů, kteří nepodporují moderní ověřování | Klienti, kteří nepoužívají moderní ověřování, můžou obejít zásady podmíněného přístupu, takže je důležité je zablokovat. | Microsoft 365 E3 nebo E5 |
| Uživatelé s vysokým rizikem musí změnit heslo | Vynutí, aby uživatelé při přihlašování změnili heslo, pokud se zjistí vysoká riziková aktivita pro svůj účet. | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security |
| Použití zásad ochrany aplikací pro ochranu dat | Jedna zásada ochrany aplikací Intune na platformu (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 nebo E5 |
| Vyžadování schválených aplikací a zásad ochrany aplikací | Vynucuje zásady ochrany mobilních aplikací pro telefony a tablety pomocí iOS, iPadOS nebo Androidu. | Microsoft 365 E3 nebo E5 |
Enterprise
| Zásady | Více informací | Licencování |
|---|---|---|
| Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké | Použití rizikových dat z Microsoft Entra ID Protection k vyžadování vícefaktorového ověřování pouze v případech, kdy se zjistí riziko | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security |
| Definovánízásadch | Nastavte minimální požadavky na konfiguraci. Jedna zásada pro každou platformu. | Microsoft 365 E3 nebo E5 |
| Vyžadování kompatibilních počítačů a mobilních zařízení | Vynucuje požadavky na konfiguraci pro zařízení, která přistupují k vaší organizaci. | Microsoft 365 E3 nebo E5 |
Specializované zabezpečení
| Zásady | Více informací | Licencování |
|---|---|---|
| Vždy vyžadovat vícefaktorové ověřování | Uživatelé musí provádět vícefaktorové ověřování, kdykoli se přihlásí ke službám vaší organizace. | Microsoft 365 E3 nebo E5 |
zásady Ochrana aplikací
Ochrana aplikací zásady definují, které aplikace jsou povolené, a akce, které můžou provádět s daty vaší organizace. K dispozici je mnoho možností a některé můžou být matoucí. Následující základní hodnoty jsou doporučené konfigurace Microsoftu, které se dají přizpůsobit vašim potřebám. Poskytujeme tři šablony, které je potřeba sledovat, ale většina organizací zvolí úrovně 2 a 3.
Úroveň 2 mapuje to, co považujeme za výchozí bod nebo zabezpečení na podnikové úrovni, úroveň 3 mapuje na specializované zabezpečení.
Základní ochrana podnikových dat úrovně 1 – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci ochrany dat pro podnikové zařízení.
Rozšířená ochrana dat úrovně 2 – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Některé ovládací prvky můžou mít vliv na uživatelské prostředí.
Vysoká ochrana podnikových dat úrovně 3 – Microsoft doporučuje tuto konfiguraci pro zařízení spuštěná organizací s větším nebo sofistikovanějším týmem zabezpečení nebo pro konkrétní uživatele nebo skupiny, kteří mají jedinečně vysoké riziko (uživatelé, kteří zpracovávají vysoce citlivá data, pokud neoprávněné zveřejnění způsobuje značné materiálové ztráty pro organizaci). Organizace, na kterou bude pravděpodobně cílit dobře financovaná a sofistikovaná nežádoucí osoba, by se měla snažit o tuto konfiguraci.
Vytvoření zásad ochrany aplikací
Vytvořte nové zásady ochrany aplikací pro každou platformu (iOS a Android) v Microsoft Intune pomocí nastavení architektury ochrany dat:
- Zásady vytvoříte ručně podle kroků v tématu Vytvoření a nasazení zásad ochrany aplikací v Microsoft Intune.
- Importujte ukázkové šablony JSON architektury Intune App Protection Policy Configuration Framework pomocí powershellových skriptů Intune.
Zásady dodržování předpisů zařízením
Zásady dodržování předpisů zařízením Intune definují požadavky, které musí zařízení splňovat, aby byla určena jako vyhovující.
Musíte vytvořit zásadu pro každou platformu počítače, telefonu nebo tabletu. Tento článek se zabývá doporučeními pro následující platformy:
Vytvoření zásad dodržování předpisů pro zařízení
Pokud chcete vytvořit zásady dodržování předpisů zařízením, přihlaste se do Centra pro správu Microsoft Intune a přejděte na Zásady> dodržování předpisů zařízením>. Vyberte Vytvořit zásadu.
Podrobné pokyny k vytváření zásad dodržování předpisů v Intune najdete v tématu Vytvoření zásad dodržování předpisů v Microsoft Intune.
Nastavení registrace a dodržování předpisů pro iOS/iPadOS
iOS/iPadOS podporuje několik scénářů registrace, z nichž dvě jsou součástí této architektury:
- Registrace zařízení pro zařízení v osobním vlastnictví – tato zařízení jsou v osobním vlastnictví a používají se pro pracovní i osobní použití.
- Automatizovaná registrace zařízení pro zařízení vlastněná společností – tato zařízení jsou vlastněná společností, přidružená k jednomu uživateli a používají se výhradně pro práci a ne pro osobní použití.
Použití principů popsaných v konfiguracích identit nulová důvěra (Zero Trust) a přístupu k zařízením:
- Výchozí bod a úrovně podnikové ochrany se úzce mapuje s nastavením rozšířeného zabezpečení úrovně 2.
- Specializovaná úroveň ochrany zabezpečení se úzce mapuje na nastavení vysoké úrovně zabezpečení úrovně 3.
Nastavení dodržování předpisů pro osobně zaregistrovaná zařízení
- Osobní základní zabezpečení (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro osobní zařízení, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace se provádí vynucením zásad hesel, charakteristik zámku zařízení a zakázáním určitých funkcí zařízení, jako jsou nedůvěryhodné certifikáty.
- Osobní rozšířené zabezpečení (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace zavedla ovládací prvky sdílení dat. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří na zařízení přistupují k pracovním nebo školním datům.
- Osobní vysoké zabezpečení (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce ohroženi (uživatelé, kteří zpracovávají vysoce citlivá data, pokud neoprávněné zpřístupnění způsobí značné ztráty materiálu pro organizaci). Tato konfigurace přijme silnější zásady hesel, zakáže určité funkce zařízení a vynucuje další omezení přenosu dat.
Nastavení dodržování předpisů pro automatickou registraci zařízení
- Základní zabezpečení pod dohledem (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro zařízení pod dohledem, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace se provádí vynucením zásad hesel, charakteristik zámku zařízení a zakázáním určitých funkcí zařízení, jako jsou nedůvěryhodné certifikáty.
- Rozšířené zabezpečení pod dohledem (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace řídí sdílení dat a blokuje přístup k zařízením USB. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří na zařízení přistupují k pracovním nebo školním datům.
- Vysoké zabezpečení pod dohledem (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce ohroženi (uživatelé, kteří zpracovávají vysoce citlivá data, pokud neoprávněné zpřístupnění způsobí značné ztráty materiálu pro organizaci). Tato konfigurace zavedla silnější zásady hesel, zakazuje určité funkce zařízení, vynucuje další omezení přenosu dat a vyžaduje instalaci aplikací prostřednictvím programu apple pro multilicenční program.
Nastavení registrace a dodržování předpisů pro Android
Android Enterprise podporuje několik scénářů registrace, z nichž dvě jsou součástí této architektury:
- Pracovní profil Androidu Enterprise – tento model registrace se obvykle používá pro zařízení v osobním vlastnictví, kde IT chce poskytnout jasnou hranici oddělení mezi pracovními a osobními údaji. Zásady řízené IT zajišťují, že pracovní data nelze přenést do osobního profilu.
- Plně spravovaná zařízení s Androidem Enterprise – tato zařízení jsou vlastněná společností, přidružená k jednomu uživateli a používají se výhradně pro práci a ne pro osobní použití.
Architektura konfigurace zabezpečení Pro Android Enterprise je uspořádaná do několika různých scénářů konfigurace, které poskytují pokyny pro pracovní profil a plně spravované scénáře.
Použití principů popsaných v konfiguracích identit nulová důvěra (Zero Trust) a přístupu k zařízením:
- Výchozí bod a úrovně podnikové ochrany se úzce mapuje s nastavením rozšířeného zabezpečení úrovně 2.
- Specializovaná úroveň ochrany zabezpečení se úzce mapuje na nastavení vysoké úrovně zabezpečení úrovně 3.
Nastavení dodržování předpisů pro zařízení s pracovním profilem Androidu Enterprise
- Z důvodu nastavení dostupných pro zařízení s pracovním profilem v osobním vlastnictví neexistuje žádná nabídka základního zabezpečení (úroveň 1). Dostupná nastavení neodůvodňují rozdíl mezi úrovní 1 a úrovní 2.
- Rozšířené zabezpečení pracovního profilu (úroveň 2)– Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro osobní zařízení, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace zavádí požadavky na heslo, odděluje pracovní a osobní údaje a ověřuje ověření identity zařízení s Androidem.
- Vysoký zabezpečení pracovního profilu (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně ohroženi (uživatelé, kteří zpracovávají vysoce citlivá data, pokud neoprávněné zpřístupnění způsobí značné ztráty materiálu pro organizaci). Tato konfigurace představuje ochranu před mobilními hrozbami nebo Microsoft Defender for Endpoint, nastaví minimální verzi Androidu, zavádí silnější zásady hesel a dále omezuje pracovní a osobní oddělení.
Nastavení dodržování předpisů pro plně spravovaná zařízení s Androidem Enterprise
- Plně spravované základní zabezpečení (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro podnikové zařízení. Tato konfigurace se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Tato konfigurace zavádí požadavky na heslo, nastavuje minimální verzi Androidu a zavádí určitá omezení zařízení.
- Plně spravované rozšířené zabezpečení (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace zavedla silnější zásady hesel a zakazuje možnosti uživatelů a účtů.
- Plně spravovaná vysoká úroveň zabezpečení (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, které jsou jedinečně vysoce rizikové. Tito uživatelé můžou zpracovávat vysoce citlivá data, pokud může neoprávněné zveřejnění způsobit značnou ztrátu materiálu pro organizaci. Tato konfigurace zvyšuje minimální verzi Androidu, zavádí ochranu před mobilními hrozbami nebo Microsoft Defender for Endpoint a vynucuje další omezení zařízení.
Doporučené nastavení dodržování předpisů pro Windows 10 a novější
V kroku 2 jsou nakonfigurována následující nastavení: Nastavení dodržování předpisů, procesu vytváření zásad dodržování předpisů pro zařízení s Windows 10 a novějšími zařízeními. Tato nastavení odpovídají principům popsaným v konfiguraci identit nulová důvěra (Zero Trust) a přístupu k zařízením.
Informace o pravidlech vyhodnocení služby Ověření stavu zařízení > ve Windows health najdete v této tabulce.
| Vlastnost | Hodnota |
|---|---|
| Vyžadování nástroje BitLocker | Požadovat |
| Vyžadování povolení zabezpečeného spouštění na zařízení | Požadovat |
| Vyžadovat integritu kódu | Požadovat |
U vlastností zařízení zadejte odpovídající hodnoty pro verze operačního systému na základě vašich zásad IT a zabezpečení.
Pokud se nacházíte ve spoluspravovaném prostředí s nástrojem Configuration Manager, vyberte Vyžadovat jinak vyberte Nekonfigurováno.
Informace o zabezpečení systému najdete v této tabulce.
| Vlastnost | Hodnota |
|---|---|
| Vyžadovat heslo k odemknutí mobilních zařízení | Požadovat |
| Jednoduchá hesla | Blok |
| Typ hesla | Výchozí nastavení zařízení |
| Minimální délka hesla | 6 |
| Maximální počet minut nečinnosti před vyžadování hesla | 15 minut |
| Omezená platnost hesla (ve dnech) | 41 |
| Počet předchozích hesel, aby se zabránilo opakovanému použití | 5 |
| Vyžadovat heslo, když se zařízení vrátí ze stavu nečinnosti (Mobilní a Holographic) | Požadovat |
| Vyžadování šifrování úložiště dat na zařízení | Požadovat |
| Brána firewall | Požadovat |
| Antivirus | Požadovat |
| Antispyware | Požadovat |
| Microsoft Defender Antimalware | Požadovat |
| Minimální verze Antimalwaru v programu Microsoft Defender | Společnost Microsoft doporučuje, aby verze z nejnovější verze nebyly delší než pět za sebou. |
| Aktuální antimalwarový podpis v programu Microsoft Defender | Požadovat |
| Ochrana v reálném čase | Požadovat |
Pro Microsoft Defender for Endpoint
| Vlastnost | Hodnota |
|---|---|
| Vyžadovat, aby zařízení bylo v rizikovém skóre počítače nebo pod jeho skóre | Střední |
Zásady podmíněného přístupu
Po vytvoření ochrany aplikací a zásad dodržování předpisů zařízením v Intune můžete povolit vynucení pomocí zásad podmíněného přístupu.
Vyžadování vícefaktorového ověřování na základě rizika přihlašování
Postupujte podle pokynů v článku Běžné zásady podmíněného přístupu: Vícefaktorové ověřování založené na přihlášení a vytvořte zásadu, která bude vyžadovat vícefaktorové ověřování na základě rizika přihlašování.
Při konfiguraci zásad použijte následující úrovně rizik.
| Úroveň ochrany | Potřebné hodnoty na úrovni rizika | Akce |
|---|---|---|
| Výchozí bod | Vysoká, střední | Zkontrolujte obojí. |
| Enterprise | Vysoká, střední, nízká | Zkontrolujte všechny tři. |
Blokování klientů, kteří nepodporují vícefaktorové ověřování
Postupujte podle pokynů v článku Běžné zásady podmíněného přístupu: Blokování starší verze ověřování za účelem blokování starší verze ověřování.
Uživatelé s vysokým rizikem musí změnit heslo
Postupujte podle pokynů v článku Běžné zásady podmíněného přístupu: Změna hesla založená na riziku uživatele, která vyžaduje, aby uživatelé s ohroženými přihlašovacími údaji změnili heslo.
Tuto zásadu použijte společně s ochranou hesel Microsoft Entra, která kromě termínů specifických pro vaši organizaci detekuje a blokuje známá slabá hesla a jejich varianty. Použití ochrany heslem Microsoft Entra zajišťuje, že změněná hesla jsou silnější.
Vyžadování schválených aplikací a zásad ochrany aplikací
Pokud chcete vynutit zásady ochrany aplikací vytvořené v Intune, musíte vytvořit zásady podmíněného přístupu. Vynucení zásad ochrany aplikací vyžaduje zásady podmíněného přístupu a odpovídající zásady ochrany aplikací.
Pokud chcete vytvořit zásady podmíněného přístupu, které vyžadují schválené aplikace a ochranu aplikací, postupujte podle pokynů v části Vyžadovat schválené klientské aplikace nebo zásady ochrany aplikací u mobilních zařízení. Tato zásada povoluje přístup ke koncovým bodům Microsoftu 365 jenom v rámci mobilních aplikací chráněných zásadami ochrany aplikací.
Blokování starší verze ověřování pro jiné klientské aplikace na zařízeních s iOSem a Androidem zajišťuje, že tito klienti nemůžou obejít zásady podmíněného přístupu. Pokud sledujete pokyny v tomto článku, už jste nakonfigurovali blokované klienty, kteří nepodporují moderní ověřování.
Vyžadování kompatibilních počítačů a mobilních zařízení
Následující kroky vám pomůžou vytvořit zásadu podmíněného přístupu, která vyžaduje, aby zařízení, která přistupují k prostředkům, byla označena jako kompatibilní se zásadami dodržování předpisů intune vaší organizace.
Upozornění
Před povolením této zásady se ujistěte, že vaše zařízení dodržuje předpisy. Jinak můžete tuto zásadu uzamknout a nebudete moct tuto zásadu změnit, dokud nebude váš uživatelský účet přidán do skupiny vyloučení podmíněného přístupu.
- Přihlaste se k portálu Azure.
- Přejděte k podmíněnému přístupu zabezpečení> Microsoft Entra ID.>
- Vyberte Možnost Nová zásada.
- Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
- V části Zahrnout vyberte Možnost Všichni uživatelé.
- V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
- V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny cloudové aplikace.
- Pokud z zásad musíte vyloučit konkrétní aplikace, můžete je vybrat na kartě Vyloučit v části Vybrat vyloučené cloudové aplikace a zvolit Vybrat.
- V části Řízení>přístupu Udělení.
- Vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující.
- Zvolte Zvolit.
- Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
- Pokud chcete zásadu povolit, vyberte Vytvořit .
Poznámka:
Nová zařízení můžete zaregistrovat do Intune, i když v zásadách vyberete Možnost Vyžadovat, aby zařízení bylo označené jako vyhovující všem uživatelům a všem cloudovým aplikacím . Vyžadovat, aby zařízení bylo označené jako vyhovující řízení, neblokuje registraci Intune a přístup k aplikaci Microsoft Intune Web Portál společnosti.
Aktivace předplatného
Organizace používající funkci Aktivace předplatného umožňují uživatelům "krokovat" z jedné verze Windows do jiné, mohou chtít vyloučit rozhraní API služby Universal Store a webovou aplikaci, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f ze zásad dodržování předpisů zařízením.
Vždy vyžadovat vícefaktorové ověřování
Postupujte podle pokynů v článku Běžné zásady podmíněného přístupu: Vyžadovat vícefaktorové ověřování pro všechny uživatele vyžadující, aby vaši specializovaní uživatelé na úrovni zabezpečení vždy prováděli vícefaktorové ověřování.
Upozorňující
Při konfiguraci zásad vyberte skupinu, která vyžaduje specializované zabezpečení, a použijte ji místo výběru Všichni uživatelé.
Další kroky
Informace o doporučeních zásad pro hosta a externí uživatele