Megosztás a következőn keresztül:


Feltételes hozzáférés: Eszközök szűrője

Ha a rendszergazdák feltételes hozzáférési szabályzatokat hoznak létre, gyakori feladat, hogy bizonyos eszközöket célozhassanak meg vagy zárjanak ki a környezetükben. Az eszközök feltételszűrője lehetővé teszi a rendszergazdák számára, hogy meghatározott eszközöket céloznak meg. A rendszergazdák az eszközszűrőkhöz támogatott operátorokat és tulajdonságokat használhatnak a feltételes hozzáférési szabályzatok egyéb rendelkezésre álló hozzárendelési feltételei mellett.

Szűrő létrehozása az eszközhöz feltételes hozzáférési szabályzat feltételeiben

Gyakori forgatókönyvek

A szervezetek több forgatókönyvet is engedélyezhetnek az eszközökre vonatkozó szűrőfeltételek használatával. Az alábbi forgatókönyvek példákat mutatnak be az új feltétel használatára.

  • A kiemelt erőforrásokhoz való hozzáférés korlátozása. Ebben a példában tegyük fel, hogy engedélyezni szeretné a Windows Azure Service Management API elérését egy olyan felhasználótól, aki:
    • Kiemelt szerepkörhöz van rendelve.
    • Többtényezős hitelesítés befejeződött.
    • Olyan eszközön található, amely kiemelt vagy biztonságos rendszergazdai munkaállomás, és megfelelőnek minősül.
    • Ebben a forgatókönyvben a szervezetek két feltételes hozzáférési szabályzatot hoznak létre:
      • 1. szabályzat: Minden rendszergazdai szerepkörrel rendelkező felhasználó, aki hozzáfér a Windows Azure Service Management API felhőalkalmazáshoz, valamint a hozzáférés-vezérléshez hozzáférést biztosít, de többtényezős hitelesítést igényel, és megköveteli az eszköz megfelelőként való megjelölését.
      • 2. szabályzat: Minden rendszergazdai jogosultsággal rendelkező felhasználó, aki hozzáfér a Windows Azure Service Management API felhőalkalmazáshoz, kivéve a device.extensionAttribute1 szabálykifejezést használó eszközök szűrőit, a SAW és az Access-vezérlők esetében a Letiltás lehetőséget. Megtudhatja, hogyan frissítheti az extensionAttributes parancsokat egy Microsoft Entra-eszközobjektumon.
  • Letilthatja a szervezeti erőforrások elérését a nem támogatott operációs rendszert futtató eszközökről. Ebben a példában tegyük fel, hogy a Windows 10-nél régebbi Windows operációsrendszer-verzióból szeretné letiltani az erőforrásokhoz való hozzáférést. Ebben a forgatókönyvben a szervezetek a következő feltételes hozzáférési szabályzatot hozzák létre:
    • Minden felhasználó, aki hozzáfér az összes erőforráshoz, kivéve a device.operatingSystem szabálykifejezést használó eszközök szűrőit, a Windows és az device.operatingSystemVersion a következővel kezdődik: "10.0", hozzáférés-vezérlők esetén pedig a Letiltás.
  • Ne igényelje többtényezős hitelesítést adott eszközök adott fiókjaihoz. Ebben a példában tegyük fel, hogy nem szeretne többtényezős hitelesítést igényelni, ha szolgáltatásfiókokat használ adott eszközökön, például Teams Phone-telefonokon vagy Surface Hub-eszközökön. Ebben a forgatókönyvben a szervezetek a következő két feltételes hozzáférési szabályzatot hozzák létre:
    • 1. szabályzat: Minden felhasználó, kivéve a szolgáltatásfiókokat, az összes erőforrás elérését és a hozzáférés-vezérlést, hozzáférést biztosít, de többtényezős hitelesítést igényel.
    • 2. szabályzat: Válassza ki a felhasználókat és csoportokat, és foglalja magában a csak szolgáltatásfiókokat tartalmazó csoportot, az összes erőforrás elérését, kivéve az eszközkifejezést használó eszközök szűrőit.extensionAttribute2 nem egyenlő TeamsPhoneDevice és a Hozzáférés-vezérlők esetében a Letiltás lehetőséget.

Feljegyzés

A Microsoft Entra ID eszközhitelesítést használ az eszközszűrő szabályok kiértékeléséhez. A Microsoft Entra-azonosítóval nem regisztrált eszközök esetében minden eszköztulajdonság null értékűnek minősül, és az eszközattribútumok nem határozhatók meg, mivel az eszköz nem létezik a címtárban. A nem regisztrált eszközökre vonatkozó szabályzatok célba vételének legjobb módja a negatív operátor használata, mivel a konfigurált szűrőszabály érvényes lenne. Ha pozitív operátort használna, a szűrőszabály csak akkor érvényes, ha egy eszköz létezik a címtárban, és a konfigurált szabály megegyezik az eszközön lévő attribútummal.

Feltételes hozzáférési házirend létrehozása

Az eszközök szűrése feltételes hozzáférési szabályzat létrehozásakor választható vezérlő.

Az alábbi lépések segítségével két feltételes hozzáférési szabályzatot hozhat létre, amelyek támogatják az első forgatókönyvet a gyakori forgatókönyvekben.

1. szabályzat: Minden rendszergazdai szerepkörrel rendelkező felhasználó, aki hozzáfér a Windows Azure Service Management API felhőalkalmazáshoz, valamint a hozzáférés-vezérléshez hozzáférést biztosít, de többtényezős hitelesítést igényel, és megköveteli az eszköz megfelelőként való megjelölését.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás területen válassza a Címtárszerepkörök, majd a névben szereplő rendszergazdai szerepkörök lehetőséget.

      Figyelmeztetés

      A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokra, például felügyeleti egységekre vagy egyéni szerepkörökre.

    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.

    3. Válassza a Kész lehetőséget.

  6. A Célerőforrások erőforrások (korábbi nevén felhőalkalmazások)> területen adja meg>az erőforrások kiválasztását, a Windows Azure Service Management API-t, és válassza a Kiválasztás lehetőséget.>
  7. A Hozzáférés-vezérlési beállítások>megadása területen válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, az Eszköz megfelelőként való megjelölésének megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa be a Házirend engedélyezése beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

2. szabályzat: Minden rendszergazdai szerepkörrel rendelkező felhasználó, aki hozzáfér a Windows Azure Service Management API felhőalkalmazáshoz, kivéve a device.extensionAttribute1 szabálykifejezést használó eszközök szűrőit, a SAW és az Access-vezérlők esetében a Letiltás lehetőséget.

  1. Válassza az Új szabályzat lehetőséget.
  2. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  3. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Címtárszerepkörök lehetőséget, majd a névben szereplő összes rendszergazdai szerepkört

      Figyelmeztetés

      A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokra, például felügyeleti egységekre vagy egyéni szerepkörökre.

    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.

    3. Válassza a Kész lehetőséget.

  4. A Célerőforrások erőforrások (korábbi nevén felhőalkalmazások)> területen adja meg>az erőforrások kiválasztását, a Windows Azure Service Management API-t, és válassza a Kiválasztás lehetőséget.>
  5. Feltételek között szűrjön az eszközökre.
    1. Állítsa be a Konfigurálás igen beállítást.
    2. Állítsa be a szabálynak megfelelő eszközöket úgy, hogy kizárják a szűrt eszközöket a szabályzatból.
    3. Állítsa a tulajdonságot a következőre ExtensionAttribute1, az operátort Equals pedig a következőre SAW.
    4. Válassza a Kész lehetőséget.
  6. A Hozzáférés-vezérlések>megadása területen válassza a Hozzáférés letiltása, majd a Kiválasztás lehetőséget.
  7. Erősítse meg a beállításokat, és állítsa be a Házirend engedélyezése beállítást.
  8. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Figyelmeztetés

A megfelelő eszközöket igénylő szabályzatok arra kérhetik a Mac, iOS és Android rendszerű felhasználókat, hogy válasszanak ki egy eszköztanúsítványt a szabályzat kiértékelése során, annak ellenére, hogy az eszközmegfelelőség nincs kényszerítve. Ezek a kérések addig ismétlődhetnek, amíg az eszköz megfelelővé nem vált.

Attribútumértékek beállítása

A bővítményattribútumok beállítása a Microsoft Graph API-n keresztül lehetséges. Az eszközattribútumok beállításáról további információt az Eszköz frissítése című cikkben talál.

Eszközök szűrése Graph API

Az eszközszűrő API a Microsoft Graph 1.0-s verziójú végpontjában érhető el, és a végpont https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/használatával érhető el. Új feltételes hozzáférési szabályzat létrehozásakor konfigurálhat egy eszközszűrőt, vagy frissíthet egy meglévő szabályzatot az eszközök feltételéhez tartozó szűrő konfigurálásához. Meglévő szabályzat frissítéséhez javításhívást végezhet a Microsoft Graph 1.0-s végpontján egy meglévő szabályzat szabályzatazonosítójának hozzáfűzésével és a következő kérelemtörzs végrehajtásával. Az alábbi példa egy szűrő konfigurálását mutatja be az eszközök feltételéhez, kivéve azokat az eszközöket, amelyek nincsenek SAW-eszközként megjelölve. A szabály szintaxisa több kifejezésből is állhat. A szintaxisról további információt a Microsoft Entra ID-ban lévő csoportok dinamikus tagsági csoportjaira vonatkozó szabályokban talál.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Támogatott operátorok és eszköztulajdonságok szűrőkhöz

Az alábbi eszközattribútumok használhatók a feltételes hozzáférés eszközfeltételeinek szűrőjével.

Feljegyzés

A Microsoft Entra ID eszközhitelesítést használ az eszközszűrő szabályok kiértékeléséhez. A Microsoft Entra-azonosítóval nem regisztrált eszközök esetében minden eszköztulajdonság null értékűnek minősül, és az eszközattribútumok nem határozhatók meg, mivel az eszköz nem létezik a címtárban. A nem regisztrált eszközökre vonatkozó szabályzatok célba vételének legjobb módja a negatív operátor használata, mivel a konfigurált szűrőszabály érvényes lenne. Ha pozitív operátort használna, a szűrőszabály csak akkor érvényes, ha egy eszköz létezik a címtárban, és a konfigurált szabály megegyezik az eszközön lévő attribútummal.

Támogatott eszközattribútumok Támogatott operátorok Támogatott értékek Példa
deviceId Egyenlő, NotEquals, In, NotIn Érvényes deviceId, amely GUID (device.deviceid -eq "aaaaaa-0000-1111-2222-bbbbbbbbbb")
displayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Bármilyen sztring (device.displayName -contains "ABC")
deviceOwnership Egyenlő, NotEquals A támogatott értékek "Személyesek" a saját eszközök és a vállalati tulajdonban lévő eszközök "Vállalat" értékéhez (device.deviceOwnership -eq "Company")
isCompliant Egyenlő, NotEquals A támogatott értékek a megfelelő eszközök esetében "True" (Igaz) és "False" (Hamis) a nem megfelelő eszközök esetében (device.isCompliant -eq "True")
manufacturer Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Bármilyen sztring (device.manufacturer -startsWith "Microsoft")
mdmAppId Egyenlő, NotEquals, In, NotIn Érvényes MDM-alkalmazásazonosító (device.mdmAppId -in ["0000111-aaaa-2222-bbbb-3333cccc4444"])
modell Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Bármilyen sztring (device.model -notContains "Surface")
operatingSystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Érvényes operációs rendszer (például Windows, iOS vagy Android) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Érvényes operációsrendszer-verzió (például 6.1 a Windows 7-hez, 6.2 Windows 8-hoz vagy 10.0 Windows 10 és Windows 11 esetén) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Tartalmazza, NotContains Példaként minden Windows Autopilot-eszköz tárolja a ZTDId azonosítót (az összes importált Windows Autopilot-eszközhöz hozzárendelt egyedi értéket) az eszköz physicalIds tulajdonságában. (device.physicalIds -contains "[ZTDId]:value")
profileType Egyenlő, NotEquals Egy eszköz érvényes profiltípus-készlete. Támogatott értékek: RegisteredDevice (alapértelmezett), SecureVM (az Azure-ban engedélyezett Windows rendszerű virtuális gépekhez a Microsoft Entra bejelentkezésével), nyomtató (nyomtatókhoz használatos), Megosztott (megosztott eszközökhöz), IoT (IoT-eszközökhöz) (device.profileType -eq "Nyomtató")
systemLabels Tartalmazza, NotContains Az eszközre a rendszer által alkalmazott címkék listája. Néhány támogatott érték: AzureResource (a Microsoft Entra-bejelentkezéssel engedélyezett Azure-beli Windows rendszerű virtuális gépekhez), az M365Managed (a Microsoft Managed Desktop használatával felügyelt eszközökhöz), MultiUser (megosztott eszközökhöz) (device.systemLabels -contains "M365Managed")
trustType Egyenlő, NotEquals Érvényes regisztrált állapot az eszközökhöz. Támogatott értékek: AzureAD (a Microsoft Entra-hoz csatlakoztatott eszközökhöz használatos), ServerAD (a Microsoft Entra hibrid csatlakoztatott eszközeihez használatos), Munkahely (a Microsoft Entra által regisztrált eszközökhöz használatos) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Az extensionAttributes1-15 olyan attribútumok, amelyeket az ügyfelek az eszközobjektumokhoz használhatnak. Az ügyfelek az 1–15. bővítmények bármelyikét frissíthetik egyéni értékekkel, és használhatják őket a feltételes hozzáférés eszközfeltételeinek szűrőjében. Bármilyen sztringérték használható. (device.extensionAttribute1 -eq "SAW")

Feljegyzés

Ha összetett szabályokat hoz létre, vagy túl sok egyedi azonosítót használ, például eszközazonosítót az eszközidentitásokhoz, vegye figyelembe, hogy "A szűrőszabály maximális hossza 3072 karakter".

Feljegyzés

Az Contains operátorok az NotContains attribútumtípusoktól függően eltérően működnek. Az olyan sztringattribútumok esetében, mint az operatingSystem és model, az Contains operátor jelzi, hogy egy adott részsztring az attribútumon belül történik-e. Az olyan sztringgyűjteményi attribútumok esetében, mint az physicalIds és systemLabels, az Contains operátor azt jelzi, hogy egy adott sztring megfelel-e a gyűjtemény teljes sztringjeinek egyikének.

Figyelmeztetés

Az eszközöknek a Microsoft Intune-nak felügyeltnek, megfelelőnek vagy hibrid Microsoft Entra-nak kell lenniük ahhoz, hogy az érték elérhető legyen az 1–15. bővítményben a feltételes hozzáférési szabályzat kiértékelésének időpontjában.

Szabályzat viselkedése az eszközök szűrőjével

A feltételes hozzáférés eszközfeltételeinek szűrője egy regisztrált eszköz eszközattribútumai alapján értékeli ki a szabályzatot a Microsoft Entra ID-ban, ezért fontos tisztában lenni azzal, hogy milyen körülmények között alkalmazza vagy nem alkalmazza a szabályzatot. Az alábbi táblázat bemutatja, hogy milyen viselkedést mutat be, ha az eszközfeltételek szűrője konfigurálva van.

Eszközök szűrője feltétel Eszközregisztrációs állapot Alkalmazott eszközszűrő
Belefoglalási/kizárási mód pozitív operátorokkal (Equals, StartsWith, EndsWith, Contains, In) és bármely attribútum használatával Nem regisztrált eszköz Nem
Belefoglalási/kizárási mód pozitív operátorokkal (Equals, StartsWith, EndsWith, Contains, In) és az attribútumok használata az extensionAttributes1-15 kivételével Regisztrált eszköz Igen, ha teljesülnek a feltételek
Belefoglalási/kizárási mód pozitív operátorokkal (Equals, StartsWith, EndsWith, Contains, In) és attribútumok (például extensionAttributes1-15) használatával Az Intune által felügyelt regisztrált eszköz Igen, ha teljesülnek a feltételek
Belefoglalási/kizárási mód pozitív operátorokkal (Equals, StartsWith, EndsWith, Contains, In) és attribútumok (például extensionAttributes1-15) használatával Az Intune által nem felügyelt regisztrált eszköz Igen, ha teljesülnek a feltételek. Az extensionAttributes1-15 használata esetén a szabályzat akkor érvényes, ha az eszköz megfelelő, vagy a Microsoft Entra hibrid csatlakozik
Belefoglalási/kizárási mód negatív operátorokkal (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) és bármely attribútum használata Nem regisztrált eszköz Igen
Negatív operátorokkal (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) rendelkező mód belefoglalása és kizárása, valamint az extensionAttributes1-15 kivételével bármely attribútum használata Regisztrált eszköz Igen, ha teljesülnek a feltételek
Belefoglalás/kizárás mód negatív operátorokkal (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) és bármely attribútum használata, beleértve az extensionAttributes1-15 Az Intune által felügyelt regisztrált eszköz Igen, ha teljesülnek a feltételek
Belefoglalás/kizárás mód negatív operátorokkal (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) és bármely attribútum használata, beleértve az extensionAttributes1-15 Az Intune által nem felügyelt regisztrált eszköz Igen, ha teljesülnek a feltételek. Az extensionAttributes1-15 használata esetén a szabályzat akkor érvényes, ha az eszköz megfelelő, vagy a Microsoft Entra hibrid csatlakozik