Eszközmegfelelés megkövetelése feltételes hozzáféréssel

Áttekintés

Microsoft Intune és Microsoft Entra együttműködve biztosítják a szervezet védelmét device megfelelőségi szabályzatokkal és feltételes hozzáféréssel. Az eszközmegfelelési szabályzatok biztosítják, hogy a felhasználói eszközök megfeleljenek a minimális konfigurációs követelményeknek. A követelmények kikényszeríthetők, ha a felhasználók feltételes hozzáférési szabályzatokkal védett szolgáltatásokat érnek el.

Előfordulhat, hogy egyes szervezetek nem állnak készen az eszközmegfelelés megkövetelésére az összes felhasználó számára. Ezek a szervezetek ehelyett a következő szabályzatok üzembe helyezését választhatják:

• Követelmény, hogy a rendszergazdák megfeleljenek egy szabványnak vagy legyen Microsoft Entra hibrid csatlakozású eszközük
• Jogszabályoknak megfelelő eszköz szükséges, Microsoft Entra hibrid csatlakoztatott eszköz, vagy többtényezős hitelesítés minden felhasználó számára
• Ismeretlen vagy nem támogatott eszközplatformok letiltása
• Böngészőőrzítés letiltása

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök. Javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

• Vészelérési vagy vészhelyzeti fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, amikor az összes rendszergazda ki van zárva, a segélyhívási hozzáférés felügyeleti fiókja használható a bejelentkezéshez és a hozzáférés helyreállításához.
  • További információt a A segélyhívási fiókok kezelése Microsoft Entra ID című cikkben talál.
• Service-fiókok és Szolgáltatásfőnevek, például a Microsoft Entra Connect Szinkronizálási Fiók. A szolgáltatásfiókok neminteraktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában a háttérszolgáltatások használják az alkalmazások programozott hozzáférésének engedélyezésére, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezésre. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférést használjon a munkaterhelés-identitásokhoz, hogy szabályokat határozzon meg a szolgáltatásfőbb komponensekre.
  • Ha a szervezet szkriptekben vagy kódban használja ezeket a fiókokat, cserélje le őket felügyelt identitásokra.

Template deployment

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával helyezhetik üzembe ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy az erőforrásokhoz hozzáférő eszközök megfeleljenek a szervezet Intune megfelelőségi szabályzatainak.

Figyelmeztetés

A Microsoft Intune létrehozott megfelelőségi szabályzat nélkül ez a feltételes hozzáférési szabályzat nem a kívánt módon fog működni. Először hozzon létre egy megfelelőségi szabályzatot, és a folytatás előtt győződjön meg arról, hogy rendelkezik legalább egy megfelelő eszközzel.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább Feltételes hozzáférés rendszergazdaként.
2. Keresse meg az Entra ID>feltételes hozzáférési>szabályzatokat.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a házirendnek. Hozzon létre egy értelmes szabványt a szabályzatok nevéhez.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget
   2. A Kizárás csoportban:
      1. Felhasználók és csoportok kiválasztása
         1. Válassza ki a szervezet vészhelyzeti hozzáférési vagy úgynevezett "break-glass" fiókjait.
         2. Ha olyan hibrid identitáskezelési megoldásokat használ, mint a Microsoft Entra Connect vagy a Microsoft Entra Connect Cloud Sync, válassza a Könyvtár szerepköröket, majd válassza a Könyvtárszinkronizációs fiókok
6. A Célerőforrások>erőforrások (korábbi nevén felhőalkalmazások)>területen válassza a Minden erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
7. Hozzáférés-vezérlés a jogosultságot.
   1. Válassza az Eszköz megfelelőként való megjelölésének megkövetelése lehetőséget.
   2. Válassza a Kiválasztás lehetőséget.
8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a szabályzat hatása vagy a csak jelentés mód használatával, kapcsolja át a Szabályzat engedélyezése kapcsolót a Csak jelentés funkcióról Be.

Feljegyzés

Az új eszközöket akkor is regisztrálhatja az Intune-ban, ha az előző lépések végrehajtásával az Összes felhasználó és minden erőforrás (korábban "Minden felhőalkalmazás") számára megfelelőként kell megjelölni az eszközt. Az eszköz megfelelő vezérlőként való megjelölésének megkövetelése nem blokkolja az Intune-regisztrációt.

Hasonlóképpen, a megfelelőként megjelölt Require eszköz nem blokkolja Microsoft Authenticator alkalmazás hozzáférését a UserAuthenticationMethod.Read hatókörhöz. A hitelesítőnek hozzá kell férnie a UserAuthenticationMethod.Read hatókörhöz az Authenticator regisztrációja során annak meghatározásához, hogy a felhasználó mely hitelesítő adatokat konfigurálhatja. A hitelesítő adatok regisztrálásához az authenticatornak hozzá kell férnie a UserAuthenticationMethod.ReadWrite fájlhoz, amely nem kerüli el a megfelelő ellenőrzésként megjelölt eszköz megkövetelését .

Ismert viselkedés

iOS, Android, macOS és néhány nem Microsoft-webböngésző esetén Microsoft Entra ID azonosítja az eszközt egy ügyféltanúsítvány használatával, amely akkor van kiépítve, amikor az eszköz regisztrálva van a Microsoft Entra ID. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer kéri a tanúsítvány kiválasztását. A végfelhasználónak ki kell választania ezt a tanúsítványt, mielőtt tovább használhatja a böngészőt.

B2B-forgatókönyvek

Az olyan szervezetek esetében, amelyekhez kapcsolatban áll és megbíznak, megbízhat az eszközmegfelelési jogcímeikben. A beállítás konfigurálásához tekintse meg a B2B-együttműködés bérlők közötti hozzáférési beállításainak kezelése című cikket.

Előfizetés aktiválása

A Subscription Activation funkciót használó szervezetek, amelyek lehetővé teszik, hogy a felhasználók az Windows egyik verziójáról a másikra "lépjenek fel", előfordulhat, hogy ki szeretné zárni a Windows Store vállalati verziós AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f azonosítót az eszközmegfelelési szabályzatából.

Kapcsolódó tartalom

• Megtudhatja, hogyan hozhat létre megfelelőségi szabályzatot Microsoft Intune.
• További információ a feltételes hozzáférés engedélyezési vezérlőiről.
• Megtudhatja, hogyan konfigurálhatja a bérlők közötti hozzáférési beállításokat.