Kebijakan Akses Bersyarat Umum: Memerlukan perangkat yang sesuai, perangkat gabungan hibrid Microsoft Entra, atau autentikasi multifaktor untuk semua pengguna

Organisasi yang telah menerapkan Microsoft Intune dapat menggunakan informasi yang dikembalikan dari perangkat mereka untuk mengidentifikasi perangkat yang memenuhi persyaratan kepatuhan, seperti:

• Membutuhkan PIN untuk membuka kunci
• Membutuhkan enkripsi perangkat
• Membutuhkan versi sistem operasi minimum atau maksimum
• Membutuhkan perangkat tidak di-jailbreak atau di-root

Informasi kepatuhan kebijakan dikirim ke ID Microsoft Entra di mana Akses Bersyar memutuskan untuk memberikan atau memblokir akses ke sumber daya. Informasi selengkapnya tentang kebijakan kepatuhan perangkat dapat ditemukan di artikel, Mengatur aturan di perangkat untuk mengizinkan akses ke sumber daya di organisasi Anda menggunakan Intune

Mengharuskan perangkat gabungan hibrid Microsoft Entra bergantung pada perangkat Anda yang sudah bergabung dengan microsoft Entra hybrid. Untuk informasi selengkapnya, lihat artikel Mengonfigurasi gabungan hibrid Microsoft Entra.

Pengecualian pengguna

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan perwakilan layanan, seperti Akun Microsoft Entra Koneksi Sync. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
  • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.

Penyebaran templat

Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.

Membuat Kebijakan Akses Bersyarat

Langkah-langkah berikut akan membantu membuat kebijakan Akses Bersyarat untuk mewajibkan autentikasi multifaktor, perangkat yang mengakses sumber daya ditandai sebagai sesuai dengan kebijakan kepatuhan Intune organisasi Anda, atau bergabung dengan hibrid Microsoft Entra.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri Ke Akses Bersyar perlindungan>.
3. Pilih Buat kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
6. Di bawah Sumber daya>target Yang disertakan aplikasi>Cloud, pilih Semua aplikasi cloud.
   1. Jika Anda harus mengecualikan aplikasi tertentu dari kebijakan Anda, Anda dapat memilihnya dari tab Kecualikan di bawah Pilih aplikasi cloud yang dikecualikan dan pilih Pilih.
7. Pada Kontrol akses>Pemberian Izin.
   1. Pilih Perlu autentikasi multifaktor, Wajibkan perangkat ditandai sebagai sesuai, dan Memerlukan perangkat gabungan hibrid Microsoft Entra
   2. Untuk multikontrol, pilih Wajibkan salah satu kontrol yang dipilih.
   3. Pilih Pilih.
8. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
9. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Catatan

Anda dapat mendaftarkan perangkat baru ke Intune meskipun Anda memilih Perangkat perlu ditandai sebagai sesuai untuk semua pengguna dan Semua aplikasi cloud menggunakan langkah-langkah di atas. Mengharuskan perangkat ditandai sebagai kontrol yang sesuai tidak memblokir pendaftaran Intune dan akses ke aplikasi Microsoft Intune Web Company Portal.

Perilaku yang diketahui

Di Windows 7, iOS, Android, macOS, dan beberapa browser web pihak ketiga, MICROSOFT Entra ID mengidentifikasi perangkat menggunakan sertifikat klien yang disediakan saat perangkat terdaftar dengan ID Microsoft Entra. Ketika masuk pertama kali melalui browser, pengguna diminta untuk memilih sertifikat. Pengguna akhir harus memilih sertifikat ini sebelum mereka bisa melanjutkan menggunakan browser.

Aktivasi langganan

Organisasi yang menggunakan fitur Aktivasi Langganan untuk memungkinkan pengguna "melangkah" dari satu versi Windows ke versi lainnya dan menggunakan kebijakan Akses Bersyar untuk mengontrol akses perlu mengecualikan salah satu aplikasi cloud berikut dari kebijakan Akses Bersyar mereka menggunakan Pilih Aplikasi Cloud yang Dikecualikan:

• UNIVERSAL Store Service API dan Aplikasi Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Windows Store untuk Bisnis, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Meskipun ID aplikasi sama di kedua instans, nama aplikasi cloud bergantung pada penyewa.

Untuk informasi selengkapnya tentang mengonfigurasi pengecualian dalam kebijakan Akses Bersyar, lihat Pengecualian aplikasi.

Ketika perangkat telah offline untuk jangka waktu yang lama, perangkat mungkin tidak diaktifkan kembali secara otomatis jika pengecualian Akses Bersyar ini tidak diberlakukan. Mengatur pengecualian Akses Bersyarat ini memastikan bahwa Aktivasi Langganan terus berfungsi dengan lancar.

Dimulai dengan Windows 11, versi 23H2 dengan KB5034848 atau yang lebih baru, pengguna diminta untuk autentikasi dengan pemberitahuan toast saat Aktivasi Langganan perlu diaktifkan kembali. Pemberitahuan toast akan menampilkan pesan berikut:

Akun Anda memerlukan autentikasi

Silakan masuk ke akun kerja atau sekolah Anda untuk memverifikasi informasi Anda.

Selain itu, di panel Aktivasi , pesan berikut mungkin muncul:

Silakan masuk ke akun kerja atau sekolah Anda untuk memverifikasi informasi Anda.

Permintaan autentikasi biasanya terjadi ketika perangkat telah offline untuk jangka waktu yang lama. Perubahan ini menghilangkan kebutuhan akan pengecualian dalam kebijakan Akses Bersyar untuk Windows 11, versi 23H2 dengan KB5034848 atau yang lebih baru. Kebijakan Akses Bersyarah masih dapat digunakan dengan Windows 11, versi 23H2 dengan KB5034848 atau yang lebih baru jika permintaan autentikasi pengguna melalui pemberitahuan toast tidak diinginkan.

Langkah berikutnya

Templat Akses Bersyarah

Menentukan efek menggunakan mode khusus laporan Akses Bersyar

Menggunakan mode khusus laporan untuk Akses Bersyarat guna menentukan dampak keputusan kebijakan baru.

Kebijakan kepatuhan perangkat berfungsi dengan ID Microsoft Entra