Megfelelő eszköz, hibrid Microsoft Entra csatlakoztatott eszköz vagy többtényezős hitelesítés megkövetelése minden felhasználó számára

A Microsoft Intune-t üzembe helyező szervezetek az eszközeikről visszaadott információkat felhasználhatják a megfelelőségi követelményeknek megfelelő eszközök azonosítására, például:

• PIN-kód megkövetelése a zárolás feloldásához
• Eszköztitkosítás megkövetelése
• Az operációs rendszer minimális vagy maximális verziójának megkövetelése
• Az eszköz megkövetelése nem feltört vagy gyökerezett

A szabályzatmegfelelőségi információkat a rendszer elküldi a Microsoft Entra-azonosítónak, ahol a feltételes hozzáférés úgy dönt, hogy hozzáférést ad vagy letilt az erőforrásokhoz. Az eszközmegfelelési szabályzatokról további információt az Eszközökre vonatkozó szabályok beállítása az Intune használatával a szervezet erőforrásaihoz való hozzáférés engedélyezéséhez című cikkben talál.

A Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése attól függ, hogy az eszközei már hibriden csatlakoznak-e a Microsoft Entra-hoz. További információt a Microsoft Entra hibrid csatlakozásának konfigurálása című cikkben talál.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

• Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
  • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely többtényezős hitelesítést igényel, az erőforrásokat elérő eszközöket a szervezet Intune megfelelőségi szabályzatainak megfelelőként kell megjelölni, vagy hibrid Microsoft Entra-csatlakozással kell rendelkezniük.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
2. Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
6. A Célerőforrások erőforrások (korábbi nevén felhőalkalmazások)> területen válassza a Minden erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.>
   1. Ha bizonyos alkalmazásokat ki kell zárnia a szabályzatból, a Kizárt felhőalkalmazások kiválasztása lap Kizárás lapján választhatja ki őket, és válassza a Kiválasztás lehetőséget.
7. A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
   1. Válassza a Többtényezős hitelesítés megkövetelése, az eszköz megfelelőként való megjelölésének megkövetelése, valamint a Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése lehetőséget
   2. Több vezérlő esetén válassza a Kijelölt vezérlők egyikének megkövetelése lehetőséget.
   3. Válassza a lehetőséget.
8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Feljegyzés

Az új eszközöket akkor is regisztrálhatja az Intune-ban, ha az előző lépések végrehajtásával az Összes felhasználó és minden erőforrás (korábban "Minden felhőalkalmazás") számára megfelelőként kell megjelölni az eszközt. Az eszköz megfelelő vezérlőként való megjelölésének megkövetelése nem blokkolja az Intune-regisztrációt és a Microsoft Intune Web Céges portál alkalmazáshoz való hozzáférést.

Ismert viselkedés

Windows 7, iOS, Android, macOS és néhány nem Microsoft-webböngésző esetén a Microsoft Entra ID azonosítja az eszközt egy ügyféltanúsítvány használatával, amely akkor van kiépítve, amikor az eszköz regisztrálva van a Microsoft Entra-azonosítóval. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer kéri a tanúsítvány kiválasztását. A végfelhasználónak ki kell választania ezt a tanúsítványt, mielőtt tovább használhatja a böngészőt.

Előfizetés aktiválása

Azok a szervezetek, amelyek az Előfizetés-aktiválás funkciót használják, lehetővé teszik a felhasználók számára, hogy a Windows egyik verziójáról a másikra "lépjenek fel", és feltételes hozzáférési szabályzatokkal szabályozhassák a hozzáférést, ki kell zárniuk az alábbi felhőalkalmazások egyikét a feltételes hozzáférési szabályzataikból a Kizárt felhőalkalmazások kiválasztása funkcióval:

• Universal Store Service API-k és webalkalmazás, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Vállalati Windows Áruház, AppID 45a330b1-b1ec-4cc1-9161-9f03992aaa49f.

Bár az alkalmazásazonosító mindkét példányban ugyanaz, a felhőalkalmazás neve a bérlőtől függ.

Ha egy eszköz hosszabb ideig offline állapotban van, előfordulhat, hogy az eszköz nem aktiválódik automatikusan, ha a feltételes hozzáférés kizárása nincs érvényben. A feltételes hozzáférés kizárásának beállítása biztosítja, hogy az előfizetés aktiválása továbbra is zökkenőmentesen működjön.

A Windows 11 23H2 KB5034848 vagy újabb verziójától kezdve a rendszer bejelentési értesítéssel kéri a felhasználók hitelesítését, amikor az előfizetés aktiválásának újra kell aktiválnia. A bejelentési értesítés a következő üzenetet jeleníti meg:

A fiók hitelesítést igényel

Jelentkezzen be munkahelyi vagy iskolai fiókjába az adatai ellenőrzéséhez.

Emellett az Aktiválás panelen a következő üzenet jelenhet meg:

Jelentkezzen be munkahelyi vagy iskolai fiókjába az adatai ellenőrzéséhez.

A hitelesítés kérése általában akkor fordul elő, ha egy eszköz hosszabb ideig offline állapotban van. Ez a módosítás szükségtelenné teszi a kizárást a Windows 11 23H2-es és KB5034848 vagy újabb verziójának feltételes hozzáférési szabályzatában. A feltételes hozzáférési szabályzat továbbra is használható a Windows 11 23H2-es verziójával KB5034848 vagy újabb verzióval, ha a felhasználói hitelesítés bejelentési értesítésen keresztüli kérése nem kívánatos.

Következő lépések

Feltételes hozzáférési sablonok

Az effektus meghatározása csak feltételes hozzáférési móddal

A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.

Az eszközmegfelelőségi szabályzatok a Microsoft Entra-azonosítóval működnek