Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A feltételes hozzáférési szabályzatokban a rendszergazdák egy vagy több jelzést használnak a szabályzattal kapcsolatos döntések javításához.
A rendszergazdák több feltételt egyesítenek konkrét, részletes feltételes hozzáférési szabályzatok létrehozásához.
Amikor a felhasználók hozzáférnek egy bizalmas alkalmazáshoz, a rendszergazdák több feltételt is figyelembe vehetnek a hozzáférési döntéseikben, például:
- A Microsoft Entra ID Protection kockázati adatai
- Hálózati hely
- Eszközadatok
Ügynökkockázat (előzetes verzió)
Az ID Protection-hozzáféréssel rendelkező rendszergazdák egy feltételes hozzáférési szabályzat részeként értékelhetik ki az ügynök kockázatát. Az ügynökkockázat annak a valószínűségét mutatja, hogy egy ügynök megsérül.
Felhasználói kockázat
Az ID Protection-hozzáféréssel rendelkező rendszergazdák a feltételes hozzáférési szabályzat részeként értékelhetik ki a felhasználói kockázatokat. A felhasználói kockázat azt mutatja, hogy fennáll annak a valószínűsége, hogy egy identitás vagy fiók biztonsága sérül. További információ a felhasználói kockázatról a Mi a kockázat , és hogyan konfigurálhatja és engedélyezheti a kockázati szabályzatokat.
Bejelentkezési kockázat
Az ID Protection-hozzáféréssel rendelkező rendszergazdák a feltételes hozzáférési szabályzat részeként kiértékelhetik a bejelentkezési kockázatot. A bejelentkezési kockázat annak a valószínűségét mutatja, hogy a hitelesítési kérelmet nem az identitástulajdonos kéri. További információt a bejelentkezési kockázatról a cikkekben talál: Mi a kockázat és Hogyan konfigurálható és engedélyezhető a kockázati szabályzat.
Belső kockázat
A Microsoft Purview adaptív védelemhez való hozzáféréssel rendelkező rendszergazdák a Microsoft Purview kockázati jelzéseit beépíthetik a feltételes hozzáférési szabályzatok döntéseibe. Az insider-kockázat figyelembe veszi a Microsoft Purview adatszabályozási, adatbiztonsági és kockázati és megfelelőségi konfigurációit. Ezek a jelek olyan környezeti tényezőkön alapulnak, mint például:
- Felhasználói viselkedés
- Előzményminták
- Anomáliadetektálások
Ez a feltétel lehetővé teszi, hogy a rendszergazdák feltételes hozzáférési szabályzatokkal olyan műveleteket hajtsanak végre, mint a hozzáférés letiltása, erősebb hitelesítési módszerek megkövetelése vagy használati feltételek elfogadása.
Ez a funkció olyan paramétereket tartalmaz, amelyek kifejezetten a szervezeten belül felmerülő lehetséges kockázatokat kezelik. A feltételes hozzáférés úgy konfigurálható, hogy figyelembe vegye a belső kockázatot, lehetővé téve a rendszergazdáknak, hogy a hozzáférési engedélyeket a környezeti tényezők, például a felhasználói viselkedés, a történelmi minták és az anomáliadetektálás alapján szabják testre.
További információkért tekintse meg egy belső kockázatalapú szabályzat konfigurálását és engedélyezését.
Eszközplatformok
A feltételes hozzáférés az eszközplatformot az eszköz által megadott információk, például a felhasználói ügynök sztringjei alapján azonosítja. Mivel a felhasználói ügynök sztringjei módosíthatók, ezek az információk nem ellenőrzöttek. Eszközplatform használata a Microsoft Intune eszközmegfelelési szabályzataival vagy egy blokkutasítás részeként. Alapértelmezés szerint az összes eszközplatformra vonatkozik.
A feltételes hozzáférés az alábbi eszközplatformokat támogatja:
- Android
- iOS
- Windows
- macOS
- Linux
Ha letiltja az örökölt hitelesítést az Egyéb ügyfelek feltétellel, beállíthatja az eszközplatform-feltételt is.
A macOS- vagy Linux-eszközplatformok kiválasztása nem támogatott, ha csak a Jóváhagyott ügyfélalkalmazás megkövetelése vagy az Alkalmazásvédelmi szabályzat megkövetelése lehetőséget választja, vagy ha az Összes kiválasztott vezérlő megkövetelése lehetőséget választja.
Fontos
A Microsoft feltételes hozzáférési szabályzat létrehozását javasolja a nem támogatott eszközplatformokhoz. Ha például letiltja a Chrome OS-ből vagy más nem támogatott ügyfelekről származó vállalati erőforrásokhoz való hozzáférést, konfiguráljon egy olyan házirendet az eszközplatformok feltételével, amely bármilyen eszközt tartalmaz, kizárja a támogatott eszközplatformokat, és beállítja a hozzáférés letiltására szolgáló vezérlőelem megadását.
Helyek
A helyek feltétele át lett helyezve.
Ügyfélalkalmazások
Alapértelmezés szerint az újonnan létrehozott feltételes hozzáférési szabályzatok minden ügyfélalkalmazás-típusra érvényesek akkor is, ha az ügyfélalkalmazások feltétele nincs konfigurálva.
Feljegyzés
Az ügyfélalkalmazások viselkedése 2020 augusztusában frissült. Ha meglévő feltételes hozzáférési szabályzatokkal rendelkezik, azok változatlanok maradnak. Ha azonban kiválaszt egy meglévő szabályzatot, a Configure kapcsoló el lesz távolítva, és a szabályzat hatálya alá tartozó ügyfélalkalmazások lesznek kiválasztva.
Fontos
Az örökölt hitelesítési ügyfelek bejelentkezései nem támogatják a többtényezős hitelesítést (MFA), és nem adják át az eszközállapot-információkat, ezért feltételes hozzáférés-engedélyezési vezérlők blokkolják őket, például MFA-t vagy megfelelő eszközöket igényelnek. Ha régebbi hitelesítést használó fiókokkal rendelkezik, akkor vagy ki kell zárnia ezeket a fiókokat a szabályzatból, vagy úgy kell konfigurálnia a házirendet, hogy csak a modern hitelesítési ügyfelekre vonatkozzanak.
Ha a Konfigurálás beállítása Igen, akkor az a megjelölt elemekre vonatkozik. Ha a beállítása Nem, az összes ügyfélalkalmazásra vonatkozik, a modern és a régi hitelesítésű ügyfeleket is beleértve. Ez a beállítás a 2020 augusztusa előtt létrehozott szabályzatokban nem jelenik meg.
- Modern hitelesítési kliensek
- Böngésző
- Ezek az ügyfelek olyan webalapú alkalmazásokat tartalmaznak, amelyek olyan protokollokat használnak, mint az SAML, a WS-Federation, az OpenID Connect vagy az OAuth bizalmas ügyfélként regisztrált szolgáltatások.
- Mobilalkalmazások és asztali ügyfelek
- Ez a beállítás olyan alkalmazásokat is tartalmaz, mint az asztali Office és a telefonos alkalmazások.
- Böngésző
- Örökölt hitelesítési ügyfelek
- Exchange ActiveSync kliensek
- Ez a kijelölés magában foglalja a Exchange ActiveSync protokoll (EAS) protokoll összes használatát. Ha a szabályzat letiltja az Exchange ActiveSync használatát, az érintett felhasználó egyetlen karantén e-mailt kap. Ez az e-mail tájékoztatást nyújt arról, hogy miért vannak letiltva, és ha lehetséges, szervizelési utasításokat is tartalmaz.
- A rendszergazdák csak támogatott platformokra (például iOS, Android és Windows) alkalmazhatnak szabályzatot a Feltételes hozzáférés Microsoft Graph API-n keresztül.
- Egyéb ügyfelek
- Ez a beállítás olyan ügyfeleket is tartalmaz, amelyek alapszintű/örökölt hitelesítési protokollokat használnak, amelyek nem támogatják a modern hitelesítést.
- SMTP – A POP- és IMAP-ügyfél által e-mailek küldésére használt.
- Automatikus észlelés – Az Outlook és az EAS-ügyfelek az Exchange Online-ban található postaládák megkeresésére és az azokhoz való csatlakozásra használják.
- Exchange Online PowerShell – Az Exchange Online-hoz való csatlakozáshoz használható távoli PowerShell-lel. Ha letiltja az Exchange Online PowerShell alapszintű hitelesítését, a csatlakozáshoz az Exchange Online PowerShell-modult kell használnia. Útmutatásért lásd: Csatlakozás az Exchange Online PowerShell-hez többtényezős hitelesítéssel.
- Exchange Web Services (EWS) – Az Outlook, a Mac Outlook és a nem Microsoft-alkalmazások által használt programozási felület.
- IMAP4 – Az IMAP e-mail-ügyfelek használják.
- MAPI HTTP-n keresztül (MAPI/HTTP) – Az Outlook 2010 és újabb verziói használják.
- Offline címjegyzék (OAB) – Az Outlook által letöltött és használt címlistagyűjtemények másolata.
- Outlook Bárhol (RPC HTTP-n keresztül) – Az Outlook 2016 és korábbi verziói használják.
- Outlook Service – A Windows 10 Posta és Naptár alkalmazás használja.
- POP3 – A POP e-mail-ügyfelek használják.
- Jelentéskészítési webszolgáltatások – Jelentésadatok lekérésére szolgál az Exchange Online-ban.
- Ez a beállítás olyan ügyfeleket is tartalmaz, amelyek alapszintű/örökölt hitelesítési protokollokat használnak, amelyek nem támogatják a modern hitelesítést.
- Exchange ActiveSync kliensek
Ezeket a feltételeket gyakran használják a következőkre:
- Az eszköznek felügyeltnek kell lennie
- Régi hitelesítési folyamat letiltása
- Webalkalmazások letiltása, de mobil- vagy asztali alkalmazások engedélyezése
Támogatott böngészők
Ez a beállítás minden böngészővel működik. Az eszközszabályzatok , például a megfelelő eszközkövetelmények kielégítése érdekében azonban az alábbi operációs rendszerek és böngészők támogatottak. Az általános támogatáson kívüli operációs rendszerek és böngészők nem jelennek meg ezen a listán:
| Operációs rendszerek | Böngészők |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2025 | Microsoft Edge, Chrome |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (lásd a jegyzeteket) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Firefox 133+, Safari |
| Linux asztali környezet | Microsoft Edge |
Ezek a böngészők támogatják az eszközhitelesítést, így az eszköz azonosítható és érvényesíthető egy szabályzattal. Az eszköz ellenőrzése sikertelen, ha a böngésző privát módban fut, vagy ha a cookie-k le vannak tiltva.
Feljegyzés
A Microsoft Edge 85+ használatához a felhasználónak be kell jelentkeznie a böngészőbe az eszköz identitásának megfelelő átadásához. Ellenkező esetben úgy viselkedik, mint a Chrome a Microsoft Egyszeri bejelentkezés bővítmény nélkül. Előfordulhat, hogy ez a bejelentkezés nem történik meg automatikusan egy hibrid eszközcsatlakozásos forgatókönyvben.
A Safari támogatott az eszközalapú feltételes hozzáféréshez egy felügyelt eszközön, de nem felel meg a jóváhagyott ügyfélalkalmazás megkövetelése vagy az alkalmazásvédelmi szabályzat feltételeinek. A Microsoft Edge-hez hasonló felügyelt böngésző megfelel a jóváhagyott ügyfélalkalmazási és alkalmazásvédelmi szabályzat követelményeinek. Nem Microsoft MDM-megoldásokkal rendelkező iOS rendszeren csak a Microsoft Edge böngésző támogatja az eszközszabályzatot.
A Firefox 91+ támogatott az eszközalapú feltételes hozzáféréshez, de engedélyezni kell a Windows egyszeri bejelentkezését a Microsoft, a munkahelyi és az iskolai fiókok számára.
A Chrome 111+ eszközalapú feltételes hozzáférés esetén támogatott, de a "CloudApAuthEnabled" használatát engedélyezni kell.
Az Enterprise SSO beépülő modult használó macOS-eszközök esetében a Microsoft Egyszeri bejelentkezés bővítményre van szükség az egyszeri bejelentkezés és az eszközalapú feltételes hozzáférés támogatásához a Google Chrome-ban.
A Firefox böngészőt használó macOS-eszközöknek macOS 10.15-ös vagy újabb verziót kell futtatniuk, a Microsoft Enterprise SSO plugin pedig telepítve és megfelelően konfigurálva kell legyen.
Miért jelenik meg egy tanúsítványkérés a böngészőben?
Windows 7 rendszeren az iOS, Android és macOS rendszerű eszközök ügyféltanúsítvány használatával vannak azonosítva. Ez a tanúsítvány az eszköz regisztrálásakor kerül kiállításra. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer kéri a tanúsítvány kiválasztását. A felhasználónak a böngésző használata előtt ki kell választania ezt a tanúsítványt.
Chrome-támogatás
Windows
A Windows 10 alkotói frissítés (1703-as verzió) vagy újabb verziók Chrome-támogatásához telepítse a Microsoft Single Sign On bővítményt, vagy engedélyezze a Chrome CloudAPAuthEnabled beállítását. Ezekre a konfigurációkra akkor van szükség, ha a feltételes hozzáférési szabályzat kifejezetten a Windows-platformok eszközspecifikus adatait igényli.
A CloudAPAuthEnabled szabályzat automatikus engedélyezéséhez hozza létre a következő beállításkulcsot a Chrome-ban:
- Elérési út:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Név:
CloudAPAuthEnabled - Érték:
0x00000001 - Tulajdonságtípus:
DWORD
A Microsoft Egyszeri bejelentkezés bővítmény Chrome böngészőkben való automatikus üzembe helyezéséhez hozza létre a következő beállításkulcsot a Chrome ExtensionInstallForcelist szabályzatával:
- Elérési út:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Név:
1 - Típus:
REG_SZ (String) - Adatok:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
A Windows 8.1 és 7 Chrome-támogatásához hozza létre a következő beállításkulcsot:
- Elérési út:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Név:
1 - Típus:
REG_SZ (String) - Adatok:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Az Enterprise SSO beépülő modult használó macOS-eszközök esetében a Microsoft Egyszeri bejelentkezés bővítményre van szükség az egyszeri bejelentkezés és az eszközalapú feltételes hozzáférés támogatásához a Google Chrome-ban.
A Google Chrome MDM-alapú üzembe helyezéséről és a bővítmények kezeléséről a Chrome böngésző beállítása Macen és ExtensionInstallForcelisten című témakörben tájékozódhat.
Támogatott mobilalkalmazások és asztali ügyfelek
A rendszergazdák kiválaszthatják a mobilalkalmazásokat és az asztali ügyfeleket ügyfélalkalmazásként.
Ez a beállítás hatással van a következő mobilalkalmazásokból és asztali ügyfelekről végrehajtott hozzáférési kísérletekre:
| Ügyfélalkalmazások | Célszolgáltatás | Felület |
|---|---|---|
| Dynamics CRM-alkalmazás | Dynamics CRM | Windows 10, Windows 8.1, iOS és Android |
| Posta/Naptár/Személyek alkalmazás, Outlook 2016, Outlook 2013 (modern hitelesítéssel) | Exchange Online | Windows 10 |
| MFA és helyszabályzat alkalmazásokhoz. Az eszközalapú szabályzatok nem támogatottak. | Bármely Saját alkalmazások szolgáltatás | Android és iOS |
| Microsoft Teams Services – ez az ügyfélalkalmazás szabályozza a Microsoft Teamst és annak összes ügyfélalkalmazását támogató összes szolgáltatást – Windows Desktop, iOS, Android, WP és webügyfél | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android és macOS |
| Office 2016-alkalmazások, Office 2013 (modern hitelesítéssel), OneDrive szinkronizálási app ügyfél | SharePoint | Windows 8.1, Windows 7 |
| Office 2016-alkalmazások, Univerzális Office-app, Office 2013 (modern hitelesítéssel), OneDrive szinkronizálási app ügyfél | SharePoint Online | Windows 10 |
| Office 2016 (csak Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Office mobil alkalmazások | SharePoint | Android, iOS |
| Office Yammer-alkalmazás | Nyafog | Windows 10, iOS, Android |
| Kilátások 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (macOS Office) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (modern hitelesítéssel), Skype Vállalati verzió (modern hitelesítéssel) | Exchange Online | Windows 8.1, Windows 7 |
| Outlook mobilalkalmazás | Exchange Online | Android, iOS |
| Power BI-alkalmazások | Power BI szolgáltatás | Windows 10, Windows 8.1, Windows 7, Android és iOS |
| Skype Vállalati verzió | Exchange Online | Android, iOS |
| Azure DevOps Services (korábbi nevén Visual Studio Team Services vagy VSTS) alkalmazás | Azure DevOps Services (korábbi nevén Visual Studio Team Services vagy VSTS) | Windows 10, Windows 8.1, Windows 7, iOS és Android |
Exchange ActiveSync kliensek
- A rendszergazdák csak akkor választhatják ki az Exchange ActiveSync-ügyfeleket, ha házirendet rendelnek felhasználókhoz vagy csoportokhoz. Ha a Minden felhasználó, a Minden vendég- és külső felhasználó vagy a Címtár szerepkört választja, az összes felhasználóra vonatkozik a szabályzat.
- Amikor a rendszergazdák olyan szabályzatot hoznak létre, amely Exchange ActiveSync-ügyfelekhez van rendelve, a szabályzathoz csak az Exchange Online alkalmazást szabad hozzárendelni.
- A rendszergazdák az Eszközplatformok feltétel használatával bizonyos platformokra szűkíthetik a szabályzat hatókörét.
Ha a szabályzathoz rendelt hozzáférés-vezérlés jóváhagyott ügyfélalkalmazást használ, a rendszer arra utasítja a felhasználót, hogy telepítse és használja az Outlook mobilügyfélt. Ha többtényezős hitelesítésre, használati feltételekre vagy egyéni vezérlőkre van szükség, az érintett felhasználók le lesznek tiltva, mert az alapszintű hitelesítés nem támogatja ezeket a vezérlőket.
További információért tekintse át az alábbi cikkeket:
- Korábbi hitelesítés letiltása feltételes hozzáféréssel
- Jóváhagyott ügyfélalkalmazások megkövetelése feltételes hozzáféréssel
Más ügyfelek
Az Egyéb ügyfelek lehetőség kiválasztásával megadhatja azt a feltételt, amely az alapszintű hitelesítést használó alkalmazásokat érinti olyan levelezési protokollokkal, mint az IMAP, a MAPI, a POP, az SMTP és a régebbi, nem modern hitelesítést használó Office-app.
Eszköz állapota (elavult)
Ez a feltétel elavult. Az ügyfeleknek a Feltételes hozzáférési szabályzatban az eszközök szűrési feltételét kell használniuk az eszközállapot-feltétellel korábban elért forgatókönyvek teljesítéséhez.
Fontos
Az eszközállapot és az eszközök szűrői nem használhatók együtt a feltételes hozzáférési szabályzatban. Az eszközök szűrői részletesebb célzási lehetőségeket biztosítanak, beleértve az eszközállapot-információk célzásának támogatását a trustType és a isCompliant tulajdonságokon keresztül.
Szűrő eszközökhöz
Ha a rendszergazdák feltételként konfigurálják az eszközök szűrését, az eszköztulajdonságok szabálykifejezését használó szűrő alapján tartalmazhatnak vagy zárhatnak ki eszközöket. A szabálykifejezést az eszközök szűréséhez a szabályszerkesztővel vagy a szabályszintaxissal hozhatja létre. Ez a folyamat hasonló a dinamikus tagsági csoportok szabályaihoz használt folyamathoz. További információ: Feltételes hozzáférés: Eszközök szűrése.
Hitelesítési folyamatok (előzetes verzió)
A hitelesítési folyamatok szabályozzák, hogy a szervezet hogyan használ bizonyos hitelesítési és engedélyezési protokollokat és támogatásokat. Ezek a folyamatok zökkenőmentes felületet biztosíthatnak az olyan eszközök számára, amelyek nem rendelkeznek helyi bemenettel, például megosztott eszközökkel vagy digitális aláírásokkal. Ezzel a vezérlőelemel konfigurálhatja az átviteli módszereket, például az eszközkód-folyamatot vagy a hitelesítési átvitelt.