Akses Bersyarat: Pemberian

  • Artikel

Dalam kebijakan Akses Bersyarat, administrator dapat menggunakan kontrol akses untuk memberikan atau memblokir akses ke sumber daya.

Cuplikan layar kebijakan Akses Bersyarat dengan pemberian kontrol yang memerlukan autentikasi multifaktor.

Akses blok

Kontrol untuk memblokir akses mempertimbangkan penugasan apa pun dan mencegah akses berdasarkan konfigurasi kebijakan Akses Bersyarah.

Blokir akses adalah kontrol kuat yang harus diterapkan dengan pengetahuan yang sesuai. Kebijakan dengan pernyataan blok dapat memiliki efek samping yang tidak diinginkan. Pengujian dan validasi yang tepat sangat penting sebelum Anda mengaktifkan kontrol dalam skala besar. Administrator harus menggunakan alat seperti mode khusus laporan Akses Bersyarat dan saat membuat perubahan alat yang bagaimana digunakan pada Akses Bersyarat.

Memberikan akses

Administrator dapat memilih untuk memberlakukan satu atau beberapa kontrol saat memberikan akses. Kontrol ini mencakup opsi berikut:

Ketika administrator memilih untuk menggabungkan opsi ini, mereka dapat memilih metode berikut:

  • Mewajibkan semua kontrol yang dipilih (kontrol dan kontrol)
  • Mewajjibkan salah satu kontrol yang dipilih (kontrol atau kontrol)

Secara default Akses Bersyarat memerlukan semua kontrol yang dipilih.

Memerlukan autentikasi multifaktor

Dengan mencentang kotak ini, pengguna wajib melakukan autentikasi multifaktor Microsoft Entra. Anda dapat menemukan informasi selengkapnya tentang menyebarkan autentikasi multifaktor Microsoft Entra dalam Merencanakan penyebaran autentikasi multifaktor Microsoft Entra berbasis cloud.

Windows Hello untuk Business memenuhi persyaratan untuk autentikasi multifaktor dalam kebijakan Akses Bersyarat.

Memerlukan kekuatan autentikasi

Administrator dapat memilih untuk memerlukan kekuatan autentikasi tertentu dalam kebijakan Akses Bersyarat mereka. Kekuatan autentikasi ini didefinisikan dalam kekuatan Autentikasi metode Autentikasi perlindungan>pusat>>admin Microsoft Entra. Administrator dapat memilih untuk membuat sendiri atau menggunakan versi bawaan.

Memerlukan perangkat ditandai sebagai sesuai

Organisasi yang menyebarkan Intune dapat menggunakan informasi yang dikembalikan dari perangkat mereka untuk mengidentifikasi perangkat yang memenuhi persyaratan kepatuhan kebijakan tertentu. Intune mengirim informasi kepatuhan ke ID Microsoft Entra sehingga Akses Bersyar dapat memutuskan untuk memberikan atau memblokir akses ke sumber daya. Untuk mengetahui informasi selengkapnya tentang kebijakan kepatuhan, lihat Menetapkan aturan di perangkat untuk mengizinkan akses ke sumber daya di organisasi Anda menggunakan Intune.

Perangkat dapat ditandai sebagai sesuai dengan Intune untuk sistem operasi perangkat apa pun atau oleh sistem manajemen perangkat seluler pihak ketiga untuk perangkat Windows. Anda dapat menemukan daftar sistem manajemen perangkat bergerak pihak ketiga yang didukung di Mendukung mitra kepatuhan perangkat pihak ketiga di Intune.

Perangkat harus terdaftar di Microsoft Entra ID sebelum dapat ditandai sebagai sesuai. Anda dapat menemukan informasi selengkapnya tentang pendaftaran perangkat di Apa itu identitas perangkat?.

Persyaratan kontrol Memerlukan perangkat untuk ditandai sebagai patuh:

  • Hanya mendukung perangkat Windows 10+, iOS, Android, dan macOS yang terdaftar di MICROSOFT Entra ID dan terdaftar di Intune.
  • Microsoft Edge dalam mode InPrivate di Windows dianggap sebagai perangkat yang tidak patuh.

Catatan

Di Windows, iOS, Android, macOS, dan beberapa browser web pihak ketiga, MICROSOFT Entra ID mengidentifikasi perangkat dengan menggunakan sertifikat klien yang disediakan saat perangkat terdaftar dengan ID Microsoft Entra. Saat pengguna pertama kali masuk melalui browser, pengguna akan diminta untuk memilih sertifikat. Pengguna akhir harus memilih sertifikat ini sebelum mereka bisa melanjutkan menggunakan browser.

Anda dapat menggunakan aplikasi Pertahanan Microsoft untuk Titik Akhir bersama dengan kebijakan aplikasi klien yang disetujui di Intune untuk mengatur kebijakan Akses Bersyarat terhadap kebijakan kepatuhan perangkat. Tidak ada pengecualian yang diperlukan untuk aplikasi Pertahanan Microsoft untuk Titik Akhir saat menyiapkan Akses Bersyarat. Meskipun Pertahanan Microsoft untuk Titik Akhir di Android dan iOS (ID Aplikasi - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) bukan merupakan aplikasi yang disetujui, aplikasi ini memiliki izin untuk melaporkan postur keamanan perangkat. Izin ini memungkinkan alur informasi kepatuhan ke Akses Bersyarat.

Memerlukan perangkat gabungan hibrid Microsoft Entra

Organisasi dapat memilih untuk menggunakan identitas perangkat sebagai bagian dari kebijakan Akses Bersyarat mereka. Organisasi dapat mengharuskan perangkat bergabung dengan hibrid Microsoft Entra dengan menggunakan kotak centang ini. Untuk mengetahui informasi selengkapnya tentang identitas perangkat, lihat Apa yang dimaksud dengan identitas perangkat?.

Saat Anda menggunakan alur OAuth kode perangkat, kontrol pemberian yang diperlukan untuk perangkat terkelola atau kondisi status perangkat tidak didukung. Ini karena perangkat yang melakukan autentikasi tidak dapat memberikan status perangkatnya ke perangkat yang menyediakan kode. Selain itu, status perangkat dalam token dikunci ke perangkat yang melakukan autentikasi. Gunakan kontrol Memerlukan autentikasi multifaktor sebagai gantinya.

Memerlukan kontrol perangkat gabungan hibrid Microsoft Entra:

  • Hanya mendukung perangkat tingkat bawah Windows yang bergabung dengan domain (sebelum Windows 10) dan Windows saat ini (Windows 10+).
  • Tidak mempertimbangkan Microsoft Edge dalam mode InPrivate sebagai perangkat gabungan hibrid Microsoft Entra.

Memerlukan aplikasi klien yang disetujui

Organisasi dapat mengharuskan aplikasi klien yang disetujui digunakan untuk mengakses aplikasi cloud yang dipilih. Aplikasi klien yang disetujui ini mendukung kebijakan perlindungan aplikasi Intune yang independen dari solusi manajemen perangkat seluler (MDM) apa pun.

Peringatan

Pemberian aplikasi klien yang disetujui akan dihentikan pada awal Maret 2026. Organisasi harus mengalihkan semua kebijakan Akses Bersyarat saat ini yang hanya menggunakan pemberian Memerlukan Aplikasi Klien yang Disetujui untuk Mewajibkan Aplikasi Klien yang Disetujui atau Kebijakan Perlindungan Aplikasi pada Maret 2026. Selain itu, untuk kebijakan Akses Bersyarat baru, hanya terapkan pemberian kebijakan Memerlukan perlindungan aplikasi. Untuk inforamtion selengkapnya, lihat artikel Memigrasikan aplikasi klien yang disetujui ke kebijakan perlindungan aplikasi di Akses Bersyar.

Untuk menerapkan kontrol hibah ini, perangkat harus terdaftar di ID Microsoft Entra, yang memerlukan penggunaan aplikasi broker. Aplikasi broker dapat menjadi Microsoft Authenticator untuk iOS, atau portal Microsoft Authenticator atau Microsoft Company Portal untuk perangkat Android. Jika aplikasi broker tidak dipasang pada perangkat ketika pengguna mencoba mengautentikasi, pengguna akan diarahkan ke app store yang sesuai untuk memasang aplikasi broker yang diperlukan.

Aplikasi klien berikut mendukung pengaturan ini. Daftar ini tidak lengkap dan dapat berubah:

  • Microsoft Azure Information Protection
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Faktur Microsoft
  • Microsoft Kaizala
  • Microsoft Launcher
  • Microsoft Lists
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype for Business Server 2019
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Microsoft 365 Admin

Keterangan

  • Aplikasi klien yang disetujui mendukung fitur manajemen aplikasi seluler Intune.
  • Persyaratan Memerlukan aplikasi klien yang disetujui:
    • Hanya mendukung iOS dan Android untuk kondisi platform perangkat.
    • Memerlukan aplikasi broker untuk mendaftarkan perangkat. Aplikasi broker dapat menjadi Microsoft Authenticator untuk iOS, atau portal Microsoft Authenticator atau Microsoft Company Portal untuk perangkat Android.
  • Akses Bersyarat tidak dapat mempertimbangkan Microsoft Edge dalam mode InPrivate sebagai aplikasi klien yang disetujui.
  • Kebijakan Akses Bersyarat yang mengharuskan Microsoft Power BI sebagai aplikasi klien yang disetujui tidak mendukung penggunaan proksi aplikasi Microsoft Entra untuk menyambungkan aplikasi seluler Power BI ke Server Laporan Power BI lokal.
  • WebView yang dihosting di luar Microsoft Edge tidak memenuhi kebijakan aplikasi klien yang disetujui. Misalnya: Jika aplikasi mencoba memuat SharePoint dalam tampilan web, kebijakan perlindungan aplikasi gagal.

Lihat Memerlukan aplikasi klien yang disetujui untuk akses aplikasi cloud dengan Akses Bersyarat untuk contoh konfigurasi.

Memerlukan kebijakan perlindungan aplikasi

Dalam kebijakan Akses Bersyarat, Anda dapat mengharuskan kebijakan perlindungan aplikasi Intune ada di aplikasi klien sebelum akses tersedia untuk aplikasi yang dipilih. Kebijakan perlindungan aplikasi manajemen aplikasi seluler (MAM) ini memungkinkan Anda mengelola dan melindungi data organisasi Anda dalam aplikasi tertentu.

Untuk menerapkan kontrol pemberian ini, Akses Bersyarat mengharuskan perangkat terdaftar di ID Microsoft Entra, yang memerlukan penggunaan aplikasi broker. Aplikasi broker dapat berupa Microsoft Authenticator untuk iOS, atau portal Microsoft Company Portal untuk perangkat Android. Jika aplikasi broker tidak dipasang pada perangkat ketika pengguna mencoba untuk mengautentikasi, pengguna akan diarahkan ke app store untuk memasang aplikasi broker. Aplikasi Microsoft Authenticator dapat digunakan sebagai aplikasi broker tetapi tidak mendukung penargetan sebagai aplikasi klien yang disetujui. Perlindungan aplikasi kebijakan umumnya tersedia untuk iOS dan Android, dan dalam pratinjau publik untuk Microsoft Edge di Windows. Perangkat Windows mendukung tidak lebih dari tiga akun pengguna Microsoft Entra dalam sesi yang sama. Untuk informasi selengkapnya tentang cara menerapkan kebijakan ke perangkat Windows, lihat artikel Memerlukan kebijakan perlindungan aplikasi di perangkat Windows (pratinjau).

Aplikasi harus memenuhi persyaratan tertentu untuk mendukung kebijakan perlindungan aplikasi. Pengembang dapat menemukan informasi selengkapnya tentang persyaratan ini di bagian Aplikasi yang dapat Anda kelola dengan kebijakan perlindungan aplikasi.

Aplikasi klien berikut mendukung pengaturan ini. Daftar ini tidak lengkap dan dapat berubah. Jika aplikasi Anda tidak ada dalam daftar, tanyakan kepada vendor aplikasi untuk mengonfirmasi dukungan:

  • Aplikasi seluler Adobe Acrobat Reader
  • iAnnotate untuk Office 365
  • Microsoft Cortana
  • Microsoft Dynamics 365 untuk Telepon
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Launcher
  • Microsoft Lists
  • Perulangan Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream Mobile Native 2.0
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • Layanan Microsoft Whiteboard
  • Microsoft Intune untuk Intune
  • Nine Mail - Email dan Kalender
  • Notasi untuk Intune
  • Provectus - Kontak Aman
  • Viva Engage (Android, iOS, dan iPadOS)

Catatan

Kaizala, Skype for Business, dan Visio tidak mendukung pemberian Memerlukan kebijakan perlindungan aplikasi. Jika Anda mengharuskan aplikasi ini berfungsi, silakan gunakan pemberian Memerliukan Aplikasi yang disetujui secara eksklusif. Penggunaan “atau” klausul antara kedua pemberi tidak akan berfungsi untuk ketiga aplikasi ini.

Lihat Memerlukan kebijakan perlindungan aplikasi dan aplikasi klien yang disetujui untuk akses aplikasi cloud dengan Akses Bersyarat untuk contoh konfigurasi.

Perlu perubahan kata sandi

Ketika risiko pengguna terdeteksi, administrator dapat menggunakan kondisi kebijakan risiko pengguna agar pengguna mengubah kata sandi dengan aman menggunakan pengaturan ulang kata sandi mandiri Microsoft Entra. Pengguna dapat melakukan reset kata sandi mandiri untuk memulihkan diri. Proses ini menutup peristiwa risiko pengguna untuk mencegah pemberitahuan yang tidak perlu bagi administrator.

Ketika pengguna diminta untuk mengubah kata sandi, mereka terlebih dahulu diperlukan untuk menyelesaikan autentikasi multifaktor. Pastikan semua pengguna mendaftar untuk autentikasi multifaktor, sehingga mereka siap jika risiko terdeteksi untuk akun mereka.

Peringatan

Pengguna sebelumnya harus mendaftar untuk autentikasi multifaktor sebelum memicu kebijakan risiko pengguna.

Pembatasan berikut berlaku saat Anda mengonfigurasi kebijakan dengan menggunakan kontrol perubahan kata sandi:

  • Kebijakan harus ditetapkan ke "semua aplikasi cloud." Persyaratan ini mencegah penyerang menggunakan aplikasi yang berbeda untuk mengubah kata sandi pengguna dan mengatur ulang risiko akun mereka dengan masuk ke aplikasi lain.
  • Memerlukan perubahan kata sandi tidak dapat digunakan dengan kontrol lain, seperti memerlukan perangkat yang sesuai.
  • Kontrol perubahan kata sandi hanya dapat digunakan dengan kondisi penetapan pengguna dan grup, kondisi penetapan aplikasi cloud (yang harus diatur ke semua) dan kondisi risiko pengguna.

Ketentuan penggunaan

Jika organisasi Anda membuat ketentuan penggunaan, opsi lain mungkin terlihat di bawah kontrol pemberian. Opsi ini memungkinkan administrator untuk memerlukan pengakuan ketentuan penggunaan sebagai syarat untuk mengakses sumber daya yang dilindungi oleh kebijakan. Anda dapat menemukan informasi selengkapnya tentang ketentuan penggunaan dalam ketentuan penggunaan Microsoft Entra.

Kontrol kustom (pratinjau)

Kontrol kustom adalah kemampuan pratinjau ID Microsoft Entra. Saat Anda menggunakan kontrol kustom, pengguna Anda dialihkan ke layanan yang kompatibel untuk memenuhi persyaratan autentikasi yang terpisah dari ID Microsoft Entra. Untuk informasi selengkapnya, lihat artikel Kontrol kustom.

Langkah berikutnya