Feltételes hozzáférés: Megadás

Áttekintés

A feltételes hozzáférési szabályzatokban a rendszergazda hozzáférési vezérlőkkel engedélyezheti vagy letilthatja az erőforrásokhoz való hozzáférést.

Képernyőkép egy feltételes hozzáférési szabályzatról, amely az adathalászatnak ellenálló többtényezős hitelesítést igénylő engedélyezési vezérlőt jeleníti meg.

Hozzáférés letiltása

A hozzáférés letiltásának vezérlője kiértékeli a hozzárendeléseket, és megakadályozza a hozzáférést a feltételes hozzáférési szabályzat konfigurációja alapján.

A blokkolási hozzáférés hatékony vezérlő, amely gondos alkalmazást igényel. A blokkolási utasításokkal rendelkező szabályzatok nem kívánt mellékhatásokat okozhatnak. A megfelelő tesztelés és ellenőrzés elengedhetetlen a nagy léptékű vezérlés engedélyezése előtt. A rendszergazdáknak olyan eszközöket kell használniuk, mint a feltételes hozzáférés jelentéskészítési módja és a What If eszköz a feltételes hozzáférésben a módosítások végrehajtásakor.

Hozzáférés megadása

A rendszergazdák dönthetnek úgy, hogy egy vagy több vezérlőt kényszerítenek ki a hozzáférés megadásakor. Ezek a vezérlők a következő lehetőségeket tartalmazzák:

Amikor a rendszergazdák úgy döntenek, hogy kombinálják ezeket a beállításokat, a következő módszereket használhatják:

  • Az összes kijelölt vezérlő megkövetelése (vezérlő és vezérlő)
  • A kijelölt vezérlők ( vezérlők vagy vezérlők) egyikének megkövetelése

Alapértelmezés szerint a feltételes hozzáféréshez minden kiválasztott vezérlő szükséges.

Vezérlők megadása ügynökfelhasználók számára (előzetes verzió)

Ha egy szabályzat felhasználókként működő ügynököket céloz meg, az elérhető támogatási viselkedés eltér a felhasználói és csoportforgatókönyvektől:

  • Hozzáférés letiltása
  • Hozzáférés engedélyezése az Eszköz megfelelőségének megkövetelése beállítással

Használja a Megköveteli, hogy az eszköz megfelelőnek legyen megjelölve beállítást, ha az ügynök felhasználói munkamenetei olyan felügyelt végpontokon futnak, amelyek eszközmegfelelőségi jelzéseket szolgáltatnak. Az ügynökökkel kapcsolatos további információkért lásd: Mi a Windows 365 for Agents?.

Az ügynökidentitások nem támogatják a vezérlőelemek megadását, és csak a hozzáférés blokkolását támogatják. A célzással és a feltételekre vonatkozó útmutatásért lásd a következőt: Ügynökidentitások célzása a Feltételes hozzáférési szabályzatokban.

Többtényezős hitelesítés megkövetelése

Ha bejelöli ezt a jelölőnégyzetet, a felhasználóknak Microsoft Entra többfaktoros hitelesítést kell végrehajtaniuk. A Microsoft Entra többtényezős hitelesítés üzembe helyezéséről további információt a felhőalapú Microsoft Entra többtényezős hitelesítés üzembe helyezésének tervezésében talál.

A Windows Hello vállalati verzió megfelel a feltételes hozzáférési szabályzatokban a többtényezős hitelesítés követelményének.

Hitelesítés erősségének megkövetelése

A rendszergazdák dönthetnek úgy, hogy speciális hitelesítési erősségeket igényelnek a feltételes hozzáférési szabályzataikban. Ezek a hitelesítési erősségek a Microsoft Entra felügyeleti központban>, azEntra ID>Hitelesítési módszerek>hitelesítési erősségeiben vannak definiálva. A rendszergazdák dönthetnek úgy, hogy saját verziót hoznak létre, vagy a beépített verziókat használják.

Eszköz megfelelőként való megjelölésének megkövetelése

Az Intune-t üzembe helyező szervezetek az eszközükről visszaadott információkat felhasználhatják az adott szabályzatmegfelelési követelményeknek megfelelő eszközök azonosítására. Az Intune megfelelőségi adatokat küld a Microsoft Entra-azonosítónak, így a feltételes hozzáférés dönthet úgy, hogy engedélyezi vagy letiltja az erőforrásokhoz való hozzáférést. A megfelelőségi szabályzatokkal kapcsolatos további információkért lásd: Eszközökre vonatkozó szabályok beállítása a szervezet erőforrásaihoz való hozzáférés engedélyezéséhez az Intune-nal.

Az eszközök bármely operációs rendszeren az Intune által megfelelőségiként jelölhetők meg, vagy Windows eszközök esetén nem-Microsoft mobileszköz-kezelési rendszer által. Az Intune nem Microsoft-eszközmegfelelési partnereinek támogatásával elérhető támogatott nem Microsoft mobileszköz-felügyeleti rendszerek listája.

Az eszközöket regisztrálni kell a Microsoft Entra ID-ban, mielőtt megfelelőnek jelölhetők lennének. Az eszközregisztrációról további információt a Mi az eszközidentitás? című témakörben talál.

Az eszköz megfelelő vezérlőként való megjelölésének megkövetelése :

  • Csak a Microsoft Entra ID azonosítóval regisztrált és az Intune-ban regisztrált Windows 10+, iOS, Android, macOS és Linux Ubuntu rendszerű eszközöket támogatja.
  • A Microsoft Edge InPrivate módban Windows rendszeren nem megfelelő eszköznek minősül.

Ügynökfelhasználói forgatókönyvek esetén ez a vezérlő csak akkor érvényes, ha az ügynök felhasználói munkamenete olyan végpontról fut, ahol elérhető az eszköz állapota. Előfordulhat, hogy a közvetlenül a felhőinfrastruktúra keretében futó ügynök felhasználói munkamenetek nem biztosítanak eszközmegfelelési jeleket.

Az ügynökfelhasználókat megcélozó szabályzatok esetében kombinálja ezt a vezérlőt a hatókörkezelési feltételekkel, így a szabályzat csak a végpontalapú munkamenetekre vonatkozik. További információt a Feltételes hozzáférési szabályzatok célügynöki identitásai című témakörben talál.

Megjegyzés

Windows, iOS, Android, macOS és néhány nem Microsoft-webböngésző esetén a Microsoft Entra ID egy ügyféltanúsítvány használatával azonosítja az eszközt, amely akkor van kiépítve, amikor az eszköz regisztrálva van a Microsoft Entra-azonosítóval. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer felkéri a felhasználót a tanúsítvány kiválasztására. A felhasználónak ki kell választania ezt a tanúsítványt, mielőtt tovább használhatja a böngészőt.

A Microsoft Defender végpontvédelmi alkalmazást használhatja az Intune-ban lévő jóváhagyott ügyfélalkalmazás-szabályzattal az eszközmegfelelési szabályzatok feltételes hozzáférési szabályzatokkal való összehangolására. A feltételes hozzáférés beállítása során nincs szükség kizárásra a végponthoz készült Microsoft Defender alkalmazás esetében. Bár a Microsoft Defender végponthoz Androidon és iOS rendszeren (alkalmazásazonosító: dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nem jóváhagyott alkalmazás, engedéllyel rendelkezik az eszköz biztonsági állapotának jelentésére. Ez az engedély lehetővé teszi a megfelelőségi információk feltételes hozzáférésre való áramlását.

Hasonlóképpen, az eszköz megfelelőként való megjelölésének megkövetelése nem blokkolja a Microsoft Authenticator alkalmazás hozzáférését a UserAuthenticationMethod.Read hatókörhöz. A hitelesítőnek hozzá kell férnie a hatókörhöz az UserAuthenticationMethod.Read Authenticator regisztrációja során annak meghatározásához, hogy a felhasználó mely hitelesítő adatokat konfigurálhatja. A Hitelesítő alkalmazásnak hozzáférésre van szüksége UserAuthenticationMethod.ReadWrite a hitelesítő adatok regisztrálásához, ami nem kerüli el az megfelelőségi követelménynek megfelelt eszköz ellenőrzését.

Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése

A szervezetek dönthetnek úgy, hogy az eszközidentitást a feltételes hozzáférési szabályzatuk részeként használják. A szervezetek követelhetik, hogy az eszközök Microsoft Entra hibrid csatlakozásúak legyenek ennek a jelölőnégyzetnek a használatával. Az eszközidentitásokról további információt a Mi az eszközidentitás? című témakörben talál.

Az eszközkódos OAuth-folyamat használatakor a felügyelt eszközhöz vagy eszközállapot-feltételhez szükséges engedélyezési vezérlő nem támogatott. Ennek az az oka, hogy a hitelesítést végző eszköz nem tudja megadni az eszköz állapotát a kódot biztosító eszköznek. Emellett a jogkivonat eszközállapota rögzítve van a hitelesítést végző eszközön. Használja inkább a Többtényezős hitelesítés megkövetelése vezérlőt.

A Microsoft Entra hibrid csatlakoztatott eszközvezérlőjének megkövetelése :

  • Csak a tartományhoz csatlakoztatott Windows alacsonyabb szintű (Windows 10 előtti) és a Windows aktuális (Windows 10+) rendszerű eszközöket támogatja.
  • A Microsoft Edge inPrivate módban nem tekinthető hibrid Microsoft Entra-eszköznek.

Jóváhagyott ügyfélalkalmazás megkövetelése

A szervezetek megkövetelhetik, hogy egy jóváhagyott ügyfélalkalmazást használjon a kiválasztott felhőalkalmazások eléréséhez. Ezek a jóváhagyott ügyfélalkalmazások minden mobileszköz-kezelési megoldástól függetlenül támogatják az Intune alkalmazásvédelmi szabályzatait .

Figyelmeztetés

A jóváhagyott ügyfélalkalmazás-támogatás 2026 márciusának elején megszűnik. A szervezeteknek 2026 márciusáig át kell váltaniuk az összes olyan jelenlegi feltételes hozzáférési szabályzatot, amely csak a jóváhagyott ügyfélalkalmazás támogatást használja, hogy jóváhagyott ügyfélalkalmazást vagy alkalmazásvédelmi szabályzatot igényeljenek. Emellett minden új feltételes hozzáférési szabályzat esetében csak az alkalmazásvédelmi szabályzat megadásának megkövetelése alkalmazható. További információért olvassa el a cikket: A jóváhagyott ügyfélalkalmazás áttelepítése alkalmazásvédelmi szabályzatba a feltételes hozzáférésen belül.

A támogatás-vezérlés alkalmazásához az eszközt regisztrálni kell a Microsoft Entra-azonosítóban, amelyhez közvetítőalkalmazást kell használni. A közvetítőalkalmazás lehet iOS-hez készült Microsoft Authenticator, androidos eszközökhöz készült Microsoft Authenticator vagy Microsoft Céges portál. Ha egy közvetítőalkalmazás nincs telepítve az eszközön, amikor a felhasználó megkísérli a hitelesítést, a rendszer átirányítja a felhasználót a megfelelő alkalmazástárba a szükséges közvetítőalkalmazás telepítéséhez.

A következő ügyfélalkalmazások támogatják ezt a beállítást. Ez a lista nem teljes, és változhat:

  • Microsoft Azure Information Protection
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Számlázás
  • Microsoft Kaizala
  • Microsoft Launcher
  • Microsoft Listák
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Tervező
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype Vállalati verzió
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft Feladatok
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Microsoft 365 Rendszergazda

Megjegyzések

  • A jóváhagyott ügyfélalkalmazások támogatják az Intune mobilalkalmazás-kezelési funkciót.
  • A Jóváhagyott ügyfélalkalmazás megkövetelése követelmény:
    • Csak az iOS és androidos eszközök platformfeltételét támogatja.
    • Az eszköz regisztrálásához közvetítőalkalmazás szükséges. A közvetítőalkalmazás lehet iOS-hez készült Microsoft Authenticator, androidos eszközökhöz készült Microsoft Authenticator vagy Microsoft Céges portál.
  • A feltételes hozzáférés nem tekintheti a Microsoft Edge-et InPrivate módban jóváhagyott ügyfélalkalmazásnak.
  • A Microsoft Power BI-t jóváhagyott ügyfélalkalmazásként megkövetelő feltételes hozzáférési szabályzatok nem támogatják a Microsoft Entra alkalmazásproxy használatát a Power BI mobilalkalmazás helyszíni Power BI jelentéskészítő kiszolgáló való csatlakoztatásához.
  • A Microsoft Edge-en kívül üzemeltetett WebViews nem felel meg a jóváhagyott ügyfélalkalmazás-szabályzatnak. Például: Ha egy alkalmazás egy webnézetbe próbálja betölteni a SharePointot, az alkalmazásvédelmi szabályzatok meghiúsulnak.

Konfigurációs példákért lásd: Jóváhagyott ügyfélalkalmazások megkövetelése a felhőalkalmazások hozzáféréséhez feltételes hozzáféréssel .

Alkalmazásvédelmi szabályzat megkövetelése

A feltételes hozzáférési szabályzatban megkövetelheti, hogy egy Intune alkalmazásvédelmi szabályzat legyen jelen az ügyfélalkalmazásban, mielőtt a hozzáférés elérhető lenne a kiválasztott alkalmazások számára. Ezek a mobilalkalmazás-kezelési (MAM) alkalmazásvédelmi szabályzatok lehetővé teszik a szervezet adatainak adott alkalmazásokon belüli kezelését és védelmét.

A támogatás-vezérlés alkalmazásához a feltételes hozzáférés megköveteli, hogy az eszköz regisztrálva legyen a Microsoft Entra-azonosítóban, amelyhez közvetítőalkalmazást kell használnia. A közvetítőalkalmazás lehet iOS-hez készült Microsoft Authenticator vagy Android-eszközökhöz készült Microsoft Céges portál. Ha egy közvetítőalkalmazás nincs telepítve az eszközön, amikor a felhasználó megkísérli a hitelesítést, a rendszer átirányítja a felhasználót az app store-ba a közvetítőalkalmazás telepítéséhez. A Microsoft Authenticator alkalmazás használható közvetítőalkalmazásként, de nem támogatja, hogy jóváhagyott ügyfélalkalmazásként legyen megcélzva. Alkalmazásvédelem szabályzatok általánosan elérhetők iOS és Android rendszereken, és előzetes verzióban Microsoft Edge Windows rendszeren. A Windows-eszközök ugyanabban a munkamenetben legfeljebb három Microsoft Entra-felhasználói fiókot támogatnak. A szabályzat Windows-eszközökre való alkalmazásával kapcsolatos további információkért lásd: Alkalmazásvédelmi szabályzat megkövetelése Windows-eszközökön (előzetes verzió).

Az alkalmazásoknak meg kell felelniük bizonyos követelményeknek az alkalmazásvédelmi szabályzatok támogatásához. A fejlesztők ezekről a követelményekről az alkalmazásvédelmi szabályzatokkal kezelhető alkalmazások című szakaszban találnak további információt.

A következő ügyfélalkalmazások támogatják ezt a beállítást. Ez a lista nem teljes, és változhat. Ha az alkalmazás nem szerepel a listában, forduljon az alkalmazás gyártójához a támogatás megerősítéséhez:

  • Adobe Acrobat Reader mobilalkalmazás
  • iAnnotate Office 365-höz
  • Microsoft Cortana
  • Microsoft Dynamics 365 telefonokhoz
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Launcher
  • Microsoft Listák
  • Microsoft Loop
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Tervező
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream Mobile Native 2.0
  • Microsoft Teams
  • Microsoft Feladatok
  • Microsoft Word
  • Microsoft Whiteboard szolgáltatások
  • MultiLine az Intune számára
  • Nine Mail – E-mail és naptár
  • Intune-hoz jegyzetelés
  • Provectus – Biztonságos kapcsolatok
  • Viva Engage (Android, iOS és iPadOS)
  • Windows-alkalmazás (Android, iOS/iPadOS és Microsoft Edge Windows rendszeren)

Megjegyzés

A Kaizala, a Skype Vállalati verzió és a Visio nem támogatják az alkalmazásvédelmi szabályzat megkövetelését. Ha ezeknek az alkalmazásoknak a működésére van szüksége, használja kizárólag a Jóváhagyott alkalmazások megkövetelése engedélyt. A két támogatás közötti "vagy" záradék használata nem működik a három alkalmazás esetében.

Konfigurációs példákért lásd: Alkalmazásvédelmi szabályzat megkövetelése és jóváhagyott ügyfélalkalmazás a felhőalkalmazások hozzáféréséhez feltételes hozzáféréssel .

Jelszómódosítás megkövetelése

A felhasználói kockázat észlelésekor a rendszergazdák a felhasználói kockázati szabályzat feltételeit alkalmazhatják, hogy a felhasználó biztonságos jelszómódosítást hajtson végre a sikeres hitelesítés után. Ez a folyamat nem használja az önkiszolgáló jelszó-visszaállítási (SSPR) folyamatot. A felhasználónak többtényezős hitelesítést kell végeznie, majd módosítania kell a jelszavát a kockázat elhárításához. Ez a folyamat bezárja a felhasználói kockázati eseményt, hogy megakadályozza a szükségtelen riasztásokat a rendszergazdák számára. Ahhoz, hogy ez a folyamat működjön, minden felhasználónak regisztrálnia kell a többtényezős hitelesítésre, hogy felkészüljön arra az esetre, ha a fiók kockázatokat észlel.

Figyelmeztetés

A felhasználói kockázati szabályzat aktiválása előtt a felhasználóknak korábban regisztrálniuk kell a többtényezős hitelesítésre.

A következő korlátozások érvényesek, ha a jelszómódosítás-vezérlővel konfigurál egy szabályzatot:

  • A szabályzatot minden erőforráshoz hozzá kell rendelni. Ez a követelmény megakadályozza, hogy a támadó egy másik alkalmazást használjon a felhasználó jelszavának módosításához és a fiók kockázatának alaphelyzetbe állításához egy másik alkalmazásba való bejelentkezéssel.
  • A jelszómódosítás megkövetelése nem használható más vezérlőkkel, például megfelelő eszköz megkövetelése esetén.
  • A jelszómódosítás-vezérlés csak a felhasználó- és csoporthozzárendelési feltétellel, a felhőalkalmazás-hozzárendelési feltétellel (amelynek "mind" értékre kell állítania) és a felhasználói kockázati feltételekkel használható.

Kockázatkezelés megkövetelése

A felhasználói kockázat észlelésekor a felhasználók a megfelelő szervizelési folyamat elvégzésével önjavító megoldásokat végezhetnek, függetlenül a hitelesítési módszerüktől. A Microsoft által felügyelt szervizelési szabályzat a feltételes hozzáférésben minden hitelesítési módszert tartalmaz, beleértve a jelszóalapú és a jelszó nélküli hitelesítést is. További információ: Kockázatkezelés szabályozásának megkövetelése.

Amikor a Kockázatcsökkentés megkövetelése opciót választja vezérlőelemként, a rendszer automatikusan alkalmazza a következő beállításokat a szabályzatra:

  • Hitelesítés erősségének megkövetelése
  • Bejelentkezési gyakoriság – Minden alkalommal

Ha egy felhasználónak kezelnie kell a kockázatokat ezzel a vezérlővel, akkor a munkamenet visszavonása után a felhasználónak azonnal újra be kell jelentkeznie. Ha ezt a jogosultság-vezérlést választja, az azt jelenti, hogy ha a felhasználó éppen bejelentkezett, de veszélyben van, a rendszer kérni fogja, hogy jelentkezzen be újra. A kockázat akkor lesz orvosolva, ha a felhasználó sikeresen bejelentkezik a második alkalommal.

Használati feltételek

Ha a szervezet használati feltételeket hozott létre, más lehetőségek is megjelenhetnek a támogatási vezérlők alatt. Ezek a lehetőségek lehetővé teszik a rendszergazdák számára, hogy a szabályzat által védett erőforrásokhoz való hozzáférés feltételeként követeljék meg a használati feltételek elismerését. A használati feltételekről a Microsoft Entra használati feltételeiben talál további információt.

Több támogatáskezelési vezérlő

Ha egy felhasználóra több engedélyezési vezérlő is vonatkozik, ismerje meg, hogy a feltételes hozzáférési szabályzatok egy meghatározott érvényesítési sorrendet követnek. Ha például egy felhasználó két szabályzattal rendelkezik, amelyek többtényezős hitelesítést (MFA) és használati feltételeket (ToU) igényelnek, a feltételes hozzáférés először ellenőrzi a felhasználó MFA-jogcímét, majd a toU-t.

  • Ha egy érvényes MFA-jogcím nem szerepel a jogkivonatban, akkor a naplókban "megszakítási értesítést" (függőben lévő MFA) és ToU-hibát fog látni, még akkor is, ha a ToU-t egy korábbi bejelentkezés során már elfogadták.
  • A többtényezős hitelesítés befejezése után megjelenik egy második naplóbejegyzés, amely érvényesíti a toU-t. Ha a felhasználó már elfogadta a ToU-t, akkor mind az MFA, mind a ToU esetében sikeres lesz.
  • Ha egy érvényes MFA-igény szerepel a tokenben, egyetlen naplóbejegyzés mutatja az MFA és a ToU sikerességét.

Ha több szabályzatot alkalmaz egy MFA-t, eszközállapotot és toU-t igénylő felhasználóra, a folyamat hasonló. Az érvényesítési sorrend az MFA, az Eszköz állapota, majd a ToU.

Egyéni vezérlők (előzetes verzió)

Az egyéni vezérlők a Microsoft Entra ID előzetes verziójának funkciói. Az egyéni vezérlők használata átirányítja a felhasználókat egy kompatibilis szolgáltatásba, hogy megfeleljen a Microsoft Entra-azonosítótól eltérő hitelesítési követelményeknek. További információkért tekintse meg az Egyéni vezérlők című cikket.

Következő lépések

  • Last updated on