Feltételes hozzáférés: Eszközök szűrője

  • Cikk

Feltételes hozzáférési szabályzatok létrehozásakor a rendszergazdák azt kérték, hogy a környezetük bizonyos eszközeit célozhassák meg vagy zárhassák ki. Az eszközök feltételszűrője pontosan ezt a képességet biztosítja a rendszergazdáknak. Mostantól a feltételes hozzáférési szabályzatokban támogatott operátorok és tulajdonságok használatával megcélzhatja az adott eszközöket, valamint az eszközszűrők és az egyéb rendelkezésre álló hozzárendelési feltételek használatát.

Szűrő létrehozása az eszközhöz feltételes hozzáférési szabályzat feltételeiben

Gyakori forgatókönyvek

A szervezetek több forgatókönyvet is engedélyezhetnek az eszközökre vonatkozó szűrőfeltételek használatával. Az alábbi forgatókönyvek példákat mutatnak be az új feltétel használatára.

  • A kiemelt erőforrásokhoz való hozzáférés korlátozása. Ebben a példában tegyük fel, hogy engedélyezni szeretné a Windows Azure Service Management API elérését egy kiemelt szerepkörrel rendelkező felhasználótól, többtényezős hitelesítéssel rendelkezik, és olyan eszközről szeretne hozzáférni, amely kiemelt vagy biztonságos rendszergazdai munkaállomás, és megfelelőnek minősül. Ebben a forgatókönyvben a szervezetek két feltételes hozzáférési szabályzatot hoznak létre:
    • 1. szabályzat: Minden rendszergazdai szerepkörrel rendelkező felhasználó, aki hozzáfér a Windows Azure Service Management API felhőalkalmazáshoz, valamint a hozzáférés-vezérléshez hozzáférést biztosít, de többtényezős hitelesítést igényel, és megköveteli az eszköz megfelelőként való megjelölését.
    • 2. szabályzat: Minden rendszergazdai jogosultsággal rendelkező felhasználó, aki hozzáfér a Windows Azure Service Management API felhőalkalmazáshoz, kivéve a device.extensionAttribute1 szabálykifejezést használó eszközök szűrőit, a SAW és az Access-vezérlők esetében a Letiltás lehetőséget. Megtudhatja, hogyan frissítheti az extensionAttributes parancsokat egy Microsoft Entra-eszközobjektumon.
  • Letilthatja a szervezeti erőforrások elérését a nem támogatott operációs rendszert futtató eszközökről. Ebben a példában tegyük fel, hogy a Windows 10-nél régebbi Windows operációsrendszer-verzióból szeretné letiltani az erőforrásokhoz való hozzáférést. Ebben a forgatókönyvben a szervezetek a következő feltételes hozzáférési szabályzatot hozzák létre:
    • Minden felhasználó, aki hozzáfér az összes felhőalkalmazáshoz, kivéve a device.operatingSystem szabálykifejezést használó eszközök szűrőit, a Windows és az device.operatingSystemVersion a következővel kezdődik: "10.0", hozzáférés-vezérlők esetén pedig a Letiltás.
  • Ne igényelje többtényezős hitelesítést adott eszközök adott fiókjaihoz. Ebben a példában tegyük fel, hogy nem szeretne többtényezős hitelesítést igényelni, amikor szolgáltatásfiókokat használ adott eszközökön, például Teams-telefonokon vagy Surface Hub-eszközökön. Ebben a forgatókönyvben a szervezetek a következő két feltételes hozzáférési szabályzatot hozzák létre:
    • 1. szabályzat: Minden felhasználó, kivéve a szolgáltatásfiókokat, az összes felhőalkalmazás elérését és a hozzáférés-vezérlést, hozzáférést biztosít, de többtényezős hitelesítést igényel.
    • 2. szabályzat: Válassza ki a felhasználókat és csoportokat, és foglalja magában a csak szolgáltatásfiókokat tartalmazó csoportot, az összes felhőalkalmazáshoz való hozzáférést, kivéve a device.extensionAttribute2 szabálykifejezést használó eszközök szűrőit, amelyek nem egyenlők a Teams Telefon Device és a Hozzáférés-vezérlők esetében, Letiltás.

Feljegyzés

A Microsoft Entra ID eszközhitelesítést használ az eszközszűrő szabályok kiértékeléséhez. A Microsoft Entra-azonosítóval nem regisztrált eszközök esetében minden eszköztulajdonság null értékűnek minősül, és az eszközattribútumok nem határozhatók meg, mivel az eszköz nem létezik a címtárban. A nem regisztrált eszközökre vonatkozó szabályzatok célba vételének legjobb módja a negatív operátor használata, mivel a konfigurált szűrőszabály érvényes lenne. Ha pozitív operátort használna, a szűrőszabály csak akkor érvényes, ha egy eszköz létezik a címtárban, és a konfigurált szabály megegyezik az eszközön lévő attribútummal.

Feltételes hozzáférési házirend létrehozása

Az eszközök szűrése feltételes hozzáférési szabályzat létrehozásakor választható vezérlő.

Az alábbi lépések segítenek létrehozni két feltételes hozzáférési szabályzatot, amelyek támogatják az első forgatókönyvet a gyakori forgatókönyvekben.

1. szabályzat: Minden rendszergazdai szerepkörrel rendelkező felhasználó, aki hozzáfér a Windows Azure Service Management API felhőalkalmazáshoz, valamint a hozzáférés-vezérléshez hozzáférést biztosít, de többtényezős hitelesítést igényel, és megköveteli az eszköz megfelelőként való megjelölését.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.

    1. A Belefoglalás területen válassza a Címtárszerepkörök, majd a névben szereplő rendszergazdai szerepkörök lehetőséget.

      Figyelmeztetés

      A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokra, például felügyeleti egységekre vagyegyéni szerepkörökre.

    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.

    3. Válassza a Kész lehetőséget.

  6. A Célerőforrások területen a Felhőalkalmazások>– Alkalmazások kiválasztása>lehetőség mellett válassza a Windows Azure Service Management API lehetőséget, majd válassza a Kiválasztás lehetőséget.>
  7. A Hozzáférés-vezérlési beállítások>megadása területen válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, az Eszköz megfelelőként való megjelölésének megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa be a Házirend engedélyezése beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

2. szabályzat: Minden rendszergazdai szerepkörrel rendelkező felhasználó, aki hozzáfér a Windows Azure Service Management API felhőalkalmazáshoz, kivéve a device.extensionAttribute1 szabálykifejezést használó eszközök szűrőit, a SAW és az Access-vezérlők esetében a Letiltás lehetőséget.

  1. Válassza az Új szabályzat létrehozása lehetőséget.
  2. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  3. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.

    1. A Belefoglalás csoportban válassza a Címtárszerepkörök lehetőséget, majd a névben szereplő összes rendszergazdai szerepkört

      Figyelmeztetés

      A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokra, például felügyeleti egységekre vagyegyéni szerepkörökre.

    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.

    3. Válassza a Kész lehetőséget.

  4. A Célerőforrások területen a Felhőalkalmazások>– Alkalmazások kiválasztása>lehetőség mellett válassza a Windows Azure Service Management API lehetőséget, majd válassza a Kiválasztás lehetőséget.>
  5. Feltételek között szűrjön az eszközökre.
    1. Állítsa be a Konfigurálás igen beállítást.
    2. Állítsa be a szabálynak megfelelő eszközöket úgy, hogy kizárják a szűrt eszközöket a szabályzatból.
    3. Állítsa a tulajdonságot a következőre ExtensionAttribute1, az operátort Equals pedig a következőre SAW.
    4. Válassza a Kész lehetőséget.
  6. A Hozzáférés-vezérlések>megadása területen válassza a Hozzáférés letiltása, majd a Kiválasztás lehetőséget.
  7. Erősítse meg a beállításokat, és állítsa be a Házirend engedélyezése beállítást.
  8. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Figyelmeztetés

A megfelelő eszközöket igénylő szabályzatok arra kérhetik a Mac, iOS és Android rendszerű felhasználókat, hogy válasszanak ki egy eszköztanúsítványt a szabályzat kiértékelése során, annak ellenére, hogy az eszközmegfelelőség nincs kényszerítve. Ezek a kérések addig ismétlődhetnek, amíg az eszköz megfelelővé nem vált.

Attribútumértékek beállítása

A bővítményattribútumok beállítása a Graph API-n keresztül lehetséges. Az eszközattribútumok beállításáról további információt az Eszköz frissítése című cikkben talál.

Eszközök szűrése Graph API

Az eszközszűrő API a Microsoft Graph 1.0-s verziójú végpontjában érhető el, és a végpont https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/használatával érhető el. Új feltételes hozzáférési szabályzat létrehozásakor konfigurálhat egy eszközszűrőt, vagy frissíthet egy meglévő szabályzatot az eszközök feltételéhez tartozó szűrő konfigurálásához. Meglévő szabályzat frissítéséhez javításhívást végezhet a Microsoft Graph 1.0-s végpontján egy meglévő szabályzat szabályzatazonosítójának hozzáfűzésével és a következő kérelemtörzs végrehajtásával. Az alábbi példa egy szűrő konfigurálását mutatja be az eszközök feltételéhez, kivéve azokat az eszközöket, amelyek nincsenek SAW-eszközként megjelölve. A szabály szintaxisa több kifejezésből is állhat. A szintaxisról további információt a Microsoft Entra ID-ban lévő csoportok dinamikus tagsági szabályaiban talál.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Támogatott operátorok és eszköztulajdonságok szűrőkhöz

Az alábbi eszközattribútumok használhatók a feltételes hozzáférés eszközfeltételeinek szűrőjével.

Feljegyzés

A Microsoft Entra ID eszközhitelesítést használ az eszközszűrő szabályok kiértékeléséhez. A Microsoft Entra-azonosítóval nem regisztrált eszközök esetében minden eszköztulajdonság null értékűnek minősül, és az eszközattribútumok nem határozhatók meg, mivel az eszköz nem létezik a címtárban. A nem regisztrált eszközökre vonatkozó szabályzatok célba vételének legjobb módja a negatív operátor használata, mivel a konfigurált szűrőszabály érvényes lenne. Ha pozitív operátort használna, a szűrőszabály csak akkor érvényes, ha egy eszköz létezik a címtárban, és a konfigurált szabály megegyezik az eszközön lévő attribútummal.

Támogatott eszközattribútumok Támogatott operátorok Támogatott értékek Példa
deviceId Egyenlő, NotEquals, In, NotIn Érvényes deviceId, amely GUID (device.deviceid -eq "498c4de7-1aee-4ded-8d5d-00000000000")
displayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Bármilyen sztring (device.displayName -contains "ABC")
deviceOwnership Egyenlő, NotEquals A támogatott értékek "Személyesek" a saját eszközök és a vállalati tulajdonban lévő eszközök "Vállalat" értékéhez (device.deviceOwnership -eq "Company")
isCompliant Egyenlő, NotEquals A támogatott értékek a megfelelő eszközök esetében "True" (Igaz) és "False" (Hamis) a nem megfelelő eszközök esetében (device.isCompliant -eq "True")
manufacturer Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Bármilyen sztring (device.manufacturer -startsWith "Microsoft")
mdmAppId Egyenlő, NotEquals, In, NotIn Érvényes MDM-alkalmazásazonosító (device.mdmAppId -in ["0000000a-0000-0000-c000-0000000000000"]
modell Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Bármilyen sztring (device.model -notContains "Surface")
operatingSystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Érvényes operációs rendszer (például Windows, iOS vagy Android) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Érvényes operációsrendszer-verzió (például 6.1 a Windows 7-hez, 6.2 Windows 8-hoz vagy 10.0 Windows 10 és Windows 11 esetén) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Tartalmazza, NotContains Példaként minden Windows Autopilot-eszköz tárolja a ZTDId azonosítót (az összes importált Windows Autopilot-eszközhöz hozzárendelt egyedi értéket) az eszköz physicalIds tulajdonságában. (device.physicalIds -contains "[ZTDId]:value")
profileType Egyenlő, NotEquals Egy eszköz érvényes profiltípus-készlete. Támogatott értékek: RegisteredDevice (alapértelmezett), SecureVM (az Azure-ban engedélyezett Windows rendszerű virtuális gépekhez a Microsoft Entra bejelentkezésével), nyomtató (nyomtatókhoz használatos), Megosztott (megosztott eszközökhöz), IoT (IoT-eszközökhöz) (device.profileType -eq "Nyomtató")
systemLabels Tartalmazza, NotContains Az eszközre a rendszer által alkalmazott címkék listája. Néhány támogatott érték: AzureResource (a Microsoft Entra-bejelentkezéssel engedélyezett Azure-beli Windows rendszerű virtuális gépekhez), az M365Managed (a Microsoft Managed Desktop használatával felügyelt eszközökhöz), MultiUser (megosztott eszközökhöz) (device.systemLabels -contains "M365Managed")
trustType Egyenlő, NotEquals Érvényes regisztrált állapot az eszközökhöz. Támogatott értékek: AzureAD (a Microsoft Entra-hoz csatlakoztatott eszközökhöz használatos), ServerAD (a Microsoft Entra hibrid csatlakoztatott eszközeihez használatos), Munkahely (a Microsoft Entra által regisztrált eszközökhöz használatos) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Az extensionAttributes1-15 olyan attribútumok, amelyeket az ügyfelek az eszközobjektumokhoz használhatnak. Az ügyfelek az 1–15. bővítmények bármelyikét frissíthetik egyéni értékekkel, és használhatják őket a feltételes hozzáférés eszközfeltételeinek szűrőjében. Bármilyen sztringérték használható. (device.extensionAttribute1 -eq "SAW")

Feljegyzés

Ha összetett szabályokat hoz létre, vagy túl sok egyedi azonosítót használ, például eszközazonosítót az eszközidentitásokhoz, vegye figyelembe, hogy "A szűrőszabály maximális hossza 3072 karakter".

Feljegyzés

Az Contains operátorok az NotContains attribútumtípusoktól függően eltérően működnek. Az olyan sztringattribútumok esetében, mint az operatingSystem és model, az Contains operátor jelzi, hogy egy adott részsztring az attribútumon belül történik-e. Az olyan sztringgyűjteményi attribútumok esetében, mint az physicalIds és systemLabels, az Contains operátor azt jelzi, hogy egy adott sztring megfelel-e a gyűjtemény teljes sztringjeinek egyikének.

Figyelmeztetés

Az eszközöknek a Microsoft Intune-nak felügyeltnek, megfelelőnek vagy hibrid Microsoft Entra-nak kell lenniük ahhoz, hogy az érték elérhető legyen az 1–15. bővítményben a feltételes hozzáférési szabályzat kiértékelésének időpontjában.

Szabályzat viselkedése az eszközök szűrőjével

A feltételes hozzáférés eszközfeltételeinek szűrője egy regisztrált eszköz eszközattribútumai alapján értékeli ki a szabályzatot a Microsoft Entra ID-ban, ezért fontos tisztában lenni azzal, hogy milyen körülmények között alkalmazza vagy nem alkalmazza a szabályzatot. Az alábbi táblázat bemutatja, hogy milyen viselkedést mutat be, ha az eszközfeltételek szűrője konfigurálva van.

Eszközök szűrője feltétel Eszközregisztrációs állapot Alkalmazott eszközszűrő
Belefoglalási/kizárási mód pozitív operátorokkal (Equals, StartsWith, EndsWith, Contains, In) és bármely attribútum használatával Nem regisztrált eszköz Nem
Belefoglalási/kizárási mód pozitív operátorokkal (Equals, StartsWith, EndsWith, Contains, In) és az attribútumok használata az extensionAttributes1-15 kivételével Regisztrált eszköz Igen, ha teljesülnek a feltételek
Belefoglalási/kizárási mód pozitív operátorokkal (Equals, StartsWith, EndsWith, Contains, In) és attribútumok (például extensionAttributes1-15) használatával Az Intune által felügyelt regisztrált eszköz Igen, ha teljesülnek a feltételek
Belefoglalási/kizárási mód pozitív operátorokkal (Equals, StartsWith, EndsWith, Contains, In) és attribútumok (például extensionAttributes1-15) használatával Az Intune által nem felügyelt regisztrált eszköz Igen, ha teljesülnek a feltételek. Az extensionAttributes1-15 használata esetén a szabályzat akkor lesz érvényben, ha az eszköz megfelelő, vagy a Microsoft Entra hibrid csatlakoztatása
Belefoglalási/kizárási mód negatív operátorokkal (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) és bármely attribútum használata Nem regisztrált eszköz Igen
Negatív operátorokkal (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) rendelkező mód belefoglalása és kizárása, valamint az extensionAttributes1-15 kivételével bármely attribútum használata Regisztrált eszköz Igen, ha teljesülnek a feltételek
Belefoglalás/kizárás mód negatív operátorokkal (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) és bármely attribútum használata, beleértve az extensionAttributes1-15 Az Intune által felügyelt regisztrált eszköz Igen, ha teljesülnek a feltételek
Belefoglalás/kizárás mód negatív operátorokkal (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) és bármely attribútum használata, beleértve az extensionAttributes1-15 Az Intune által nem felügyelt regisztrált eszköz Igen, ha teljesülnek a feltételek. Az extensionAttributes1-15 használata esetén a szabályzat akkor lesz érvényben, ha az eszköz megfelelő, vagy a Microsoft Entra hibrid csatlakoztatása

Következő lépések