Akses Bersyarat: Filter untuk perangkat

Saat membuat kebijakan Akses Bersyarat, administrator telah meminta kemampuan untuk menargetkan atau mengecualikan perangkat tertentu di lingkungan mereka. Ketentuan filter untuk perangkat membuat administrator memiliki kemampuan ini. Sekarang Anda dapat menargetkan perangkat tertentu dengan menggunakan operator dan properti perangkat yang didukung untuk filter perangkat dan ketentuan penetapan lain yang tersedia dalam kebijakan Akses Bersyarat Anda.

Skenario umum

Ada beberapa skenario yang sekarang dapat diaktifkan oleh organisasi dengan menggunakan ketentuan filter perangkat. Skenario berikut memberikan contoh cara menggunakan kondisi baru ini.

• Batasi akses ke sumber daya istimewa. Untuk contoh ini, katakanlah Anda ingin mengizinkan akses ke Windows Azure Service Management API dari pengguna yang diberi peran istimewa, telah memenuhi autentikasi multifaktor dan mengakses dari perangkat yang istimewa atau mengamankan stasiun kerja admin dan diuji sesuai. Untuk skenario ini, organisasi akan membuat dua kebijakan Akses Bersyariah:
  • Kebijakan 1: Semua pengguna dengan peran administrator, mengakses aplikasi cloud WINDOWS Azure Service Management API, dan untuk kontrol Akses, Memberikan akses, tetapi memerlukan autentikasi multifaktor dan mengharuskan perangkat ditandai sebagai sesuai.
  • Kebijakan 2: Semua pengguna dengan administrator, mengakses aplikasi cloud WINDOWS Azure Service Management API, tidak termasuk filter untuk perangkat yang menggunakan ekspresi aturan device.extensionAttribute1 sama dengan SAW dan untuk Kontrol akses, Blokir. Pelajari cara memperbarui extensionAttributes pada objek perangkat Microsoft Entra.
• Blokir akses ke sumber daya organisasi dari perangkat yang menjalankan Sistem Operasi yang tidak didukung. Untuk contoh ini, katakanlah Anda ingin memblokir akses ke sumber daya dari versi OS Windows yang lebih lama dari Windows 10. Untuk skenario ini, organisasi akan membuat kebijakan Akses Bersyariah berikut:
  • Semua pengguna, mengakses semua aplikasi cloud, tidak termasuk filter untuk perangkat yang menggunakan ekspresi aturan device.operatingSystem sama dengan Windows dan device.operatingSystemVersion startsWith "10.0" dan untuk Kontrol akses, Blokir.
• Tidak memerlukan autentikasi multifaktor untuk akun tertentu pada perangkat tertentu. Untuk contoh ini, katakanlah Anda ingin tidak memerlukan autentikasi multifaktor saat menggunakan akun layanan di perangkat tertentu seperti ponsel Teams atau perangkat Surface Hub. Untuk skenario ini, organisasi akan membuat dua kebijakan Akses Bersyariah berikut:
  • Kebijakan 1: Izinkan akses semua pengguna kecuali akun layanan yang mengakses semua aplikasi cloud, dan untuk Kontrol akses, tetapi memerlukan autentikasi multifaktor.
  • Kebijakan 2: Pilih pengguna dan grup dan sertakan grup yang hanya berisi akun layanan, yang mengakses semua aplikasi cloud, kecuali filter perangkat yang menggunakan ekspresi aturan device.extensionAttribute2 tidak sama dengan TeamsPhoneDevice dan untuk Kontrol akses, Blokir.

Catatan

ID Microsoft Entra menggunakan autentikasi perangkat untuk mengevaluasi aturan filter perangkat. Untuk perangkat yang tidak terdaftar dengan ID Microsoft Entra, semua properti perangkat dianggap sebagai nilai null dan atribut perangkat tidak dapat ditentukan karena perangkat tidak ada di direktori. Cara terbaik untuk menargetkan kebijakan untuk perangkat yang tidak terdaftar adalah dengan menggunakan operator negatif karena aturan filter yang dikonfigurasi akan berlaku. Jika Anda menggunakan operator positif, aturan filter hanya akan berlaku ketika perangkat ada di direktori dan aturan yang dikonfigurasi cocok dengan atribut pada perangkat.

Membuat kebijakan Akses Bersyarat

Filter untuk perangkat adalah kontrol opsional saat membuat kebijakan Akses Bersyar.

Langkah berikut akan membantu membuat dua kebijakan Akses Bersyarat untuk mendukung skenario pertama di bawah Skenario umum.

Kebijakan 1: Semua pengguna dengan peran administrator, mengakses aplikasi cloud WINDOWS Azure Service Management API, dan untuk kontrol Akses, Memberikan akses, tetapi memerlukan autentikasi multifaktor dan mengharuskan perangkat ditandai sebagai sesuai.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri Ke Akses Bersyar perlindungan>.
3. Pilih Buat kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.

   1. Di bawah Sertakan, pilih Peran direktori, lalu semua peran dengan administrator dalam nama.

      Peringatan

      Kebijakan Akses Bersyarat mendukung peran bawaan. Kebijakan Akses Bersyarat tidak diberlakukan untuk jenis peran lain termasuk peran administratif cakupan unit administratif atau peran kustom.

   2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.

   3. Pilih Selesai.

6. Di bawah Sumber daya>target Aplikasi>cloud Sertakan>Pilih aplikasi, pilih Windows Azure Service Management API, dan pilih Pilih.
7. Di bawah Hibah Kontrol akses>, pilih Berikan akses, Perlu autentikasi multifaktor, dan Wajibkan perangkat ditandai sebagai sesuai, lalu pilih Pilih.
8. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Aktif.
9. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Kebijakan 2: Semua pengguna dengan peran administrator, mengakses aplikasi cloud WINDOWS Azure Service Management API, tidak termasuk filter untuk perangkat yang menggunakan ekspresi aturan device.extensionAttribute1 sama dengan SAW dan untuk Kontrol akses, Blokir.

1. Pilih Buat kebijakan baru.
2. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
3. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.

   1. Di bawah Sertakan, pilih Peran direktori, lalu semua peran dengan administrator dalam nama

      Peringatan

      Kebijakan Akses Bersyarat mendukung peran bawaan. Kebijakan Akses Bersyarat tidak diberlakukan untuk jenis peran lain termasuk peran administratif cakupan unit administratif atau peran kustom.

   2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.

   3. Pilih Selesai.

4. Di bawah Sumber daya>target Aplikasi>cloud Sertakan>Pilih aplikasi, pilih Windows Azure Service Management API, dan pilih Pilih.
5. Di Kondisi, Filter perangkat.
   1. Alihkan Konfigurasikan ke Ya.
   2. Atur Perangkat yang cocok dengan aturan untuk Mengecualikan perangkat yang difilter dari kebijakan.
   3. Atur properti ke ExtensionAttribute1, operator ke Equals, dan nilai ke SAW.
   4. Pilih Selesai.
6. Di bawah Kontrol akses>Hibah, pilih Blokir akses, lalu pilih Pilih.
7. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Aktif.
8. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Peringatan

Kebijakan yang memerlukan perangkat yang sesuai dapat meminta pengguna di Mac, iOS, dan Android untuk memilih sertifikat perangkat selama evaluasi kebijakan, meskipun kepatuhan perangkat tidak diberlakukan. Perintah ini dapat diulangi hingga perangkat dibuat sesuai.

Mengatur nilai atribut

Pengaturan atribut ekstensi dimungkinkan melalui API Graph. Untuk informasi selengkapnya tentang pengaturan atribut perangkat, lihat artikel Perbarui perangkat.

Filter API Graph perangkat

Filter untuk API perangkat tersedia di titik akhir Microsoft Graph v1.0 dan dapat diakses menggunakan titik https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/akhir . Anda dapat mengonfigurasi filter perangkat saat membuat kebijakan Akses Bersyarat baru atau Anda dapat memperbarui kebijakan yang sudah ada untuk mengonfigurasi filter kondisi perangkat. Untuk memperbarui kebijakan yang ada, Anda dapat melakukan panggilan patch di titik akhir Microsoft Graph v1.0 dengan menambahkan ID kebijakan dari kebijakan yang ada dan menjalankan isi permintaan berikut. Contoh di sini menunjukkan konfigurasi filter untuk kondisi perangkat yang tidak termasuk perangkat yang tidak ditandai sebagai perangkat SAW. Sintaksis aturan dapat terdiri dari lebih dari satu ekspresi tunggal. Untuk mempelajari selengkapnya tentang sintaks, lihat aturan keanggotaan dinamis untuk grup di ID Microsoft Entra.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operator dan properti perangkat yang didukung untuk filter

Atribut perangkat berikut ini dapat digunakan dengan filter kondisi perangkat di Akses Bersyarat.

Catatan

ID Microsoft Entra menggunakan autentikasi perangkat untuk mengevaluasi aturan filter perangkat. Untuk perangkat yang tidak terdaftar dengan ID Microsoft Entra, semua properti perangkat dianggap sebagai nilai null dan atribut perangkat tidak dapat ditentukan karena perangkat tidak ada di direktori. Cara terbaik untuk menargetkan kebijakan untuk perangkat yang tidak terdaftar adalah dengan menggunakan operator negatif karena aturan filter yang dikonfigurasi akan berlaku. Jika Anda menggunakan operator positif, aturan filter hanya akan berlaku ketika perangkat ada di direktori dan aturan yang dikonfigurasi cocok dengan atribut pada perangkat.

Atribut perangkat yang didukung	Operator yang didukung	Nilai yang Didukung	Contoh
deviceId	Equals, NotEquals, In, NotIn	deviceId yang valid yang merupakan GUID	(device.deviceid -eq "498c4de7-1aee-4ded-8d5d-000000000000")
displayName	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	String apa pun	(device.displayName -contains "ABC")
deviceOwnership	Equals, NotEquals	Nilai yang didukung adalah "Pribadi" untuk membawa perangkat Anda sendiri dan "Perusahaan" untuk perangkat milik perusahaan	(device.deviceOwnership -eq "Company")
isCompliant	Equals, NotEquals	Nilai yang didukung adalah "True" untuk perangkat yang sesuai dan "False" untuk perangkat yang tidak sesuai	(device.isCompliant -eq "True")
produsen	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	String apa pun	(device.manufacturer -startsWith "Microsoft")
mdmAppId	Equals, NotEquals, In, NotIn	ID aplikasi MDM yang valid	(device.mdmAppId -in ["0000000a-0000-0000-c000-000000000000"]
model	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	String apa pun	(device.model -notContains "Surface")
sistemOperasi	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Sistem operasi yang valid (seperti Windows, iOS, atau Android)	(device.operatingSystem -eq "Windows")
operatingSystemVersion	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Versi sistem operasi yang valid (seperti 6.1 untuk Windows 7, 6.2 untuk Windows 8, atau 10.0 untuk Windows 10 dan Windows 11)	(device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds	Contains, NotContains	Sebagai contoh semua perangkat Windows Autopilot menyimpan ZTDId (nilai unik yang ditetapkan untuk semua perangkat Windows Autopilot yang diimpor) di properti physicalIds perangkat.	(device.physicalIds -contains "[ZTDId]:value")
profileType	Equals, NotEquals	Jenis profil yang valid ditetapkan untuk perangkat. Nilai yang didukung adalah: RegisteredDevice (default), SecureVM (digunakan untuk VM Windows di Azure diaktifkan dengan masuk Microsoft Entra), Printer (digunakan untuk printer), Bersama (digunakan untuk perangkat bersama), IoT (digunakan untuk perangkat IoT)	(device.profileType -eq "Printer")
systemLabels	Contains, NotContains	Daftar label yang diterapkan ke perangkat oleh sistem. Beberapa nilai yang didukung adalah: AzureResource (digunakan untuk VM Windows di Azure diaktifkan dengan masuk Microsoft Entra), M365Managed (digunakan untuk perangkat yang dikelola menggunakan Microsoft Managed Desktop), MultiUser (digunakan untuk perangkat bersama)	(device.systemLabels -contains "M365Managed")
trustType	Equals, NotEquals	Status terdaftar yang valid untuk perangkat. Nilai yang didukung adalah: AzureAD (digunakan untuk perangkat gabungan Microsoft Entra), ServerAD (digunakan untuk perangkat gabungan hibrid Microsoft Entra), Tempat kerja (digunakan untuk perangkat terdaftar Microsoft Entra)	(device.trustType -eq "ServerAD")
extensionAttribute1-15	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	extensionAttributes1-15 adalah atribut yang dapat digunakan pelanggan untuk objek perangkat. Pelanggan dapat memperbarui salah satu dari extensionAttributes1 sampai 15 dengan nilai kustom dan menggunakannya dalam filter kondisi perangkat di Akses Bersyarat. Nilai string apa pun dapat digunakan.	(device.extensionAttribute1 -eq "SAW")

Catatan

Saat membangun aturan kompleks atau menggunakan terlalu banyak pengidentifikasi individu seperti deviceid untuk identitas perangkat, perlu diingat "Panjang maksimum untuk aturan filter adalah 3072 karakter".

Catatan

Contains dan NotContains operator bekerja secara berbeda tergantung pada tipe atribut. Untuk atribut seperti untai (karakter) operatingSystem dan model, Contains operator menunjukkan apakah sub untai (karakter) tertentu muncul di dalam atribut. Untuk atribut koleksi untai (karakter) seperti physicalIds dan systemLabels, Contains operator menunjukkan apakah untai (karakter) yang ditentukan cocok dengan salah satu dari seluruh untai (karakter) dalam koleksi.

Peringatan

Perangkat harus microsoft Intune dikelola, patuh, atau microsoft Entra hibrid bergabung agar nilai tersedia di extensionAttributes1-15 pada saat evaluasi Kebijakan Akses Bersyar.

Perilaku kebijakan dengan filter perangkat

Filter untuk kondisi perangkat dalam Akses Bersyarah mengevaluasi kebijakan berdasarkan atribut perangkat perangkat yang terdaftar di ID Microsoft Entra dan karenanya penting untuk dipahami dalam keadaan apa kebijakan diterapkan atau tidak diterapkan. Tabel berikut mengilustrasikan perilaku saat filter untuk kondisi perangkat dikonfigurasi.

Filter untuk kondisi perangkat	Status pendaftaran perangkat	Filter perangkat Diterapkan
Sertakan/kecualikan mode dengan operator positif (Equals, StartsWith, EndsWith, Contains, In) dan penggunaan atribut apa pun	Perangkat tidak terdaftar	No
Sertakan/kecualikan mode dengan operator positif (Equals, StartsWith, EndsWith, Contains, In) dan penggunaan atribut tidak termasuk extensionAttributes1-15	Perangkat terdaftar	Ya, jika kriteria terpenuhi
Sertakan/kecualikan mode dengan operator positif (Equals, StartsWith, EndsWith, Contains, In) dan penggunaan atribut termasuk extensionAttributes1-15	Perangkat terdaftar yang dikelola oleh Intune	Ya, jika kriteria terpenuhi
Sertakan/kecualikan mode dengan operator positif (Equals, StartsWith, EndsWith, Contains, In) dan penggunaan atribut termasuk extensionAttributes1-15	Perangkat terdaftar yang tidak dikelola oleh Intune	Ya, jika kriteria terpenuhi. Saat extensionAttributes1-15 digunakan, kebijakan akan berlaku jika perangkat mematuhi atau microsoft Entra hybrid bergabung
Sertakan/kecualikan mode dengan operator negatif (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dan penggunaan atribut apa pun	Perangkat tidak terdaftar	Ya
Sertakan/kecualikan mode dengan operator negatif (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dan penggunaan atribut apa pun tidak termasuk extensionAttributes1-15	Perangkat terdaftar	Ya, jika kriteria terpenuhi
Sertakan/kecualikan mode dengan operator negatif (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dan penggunaan atribut apa pun termasuk extensionAttributes1-15	Perangkat terdaftar yang dikelola oleh Intune	Ya, jika kriteria terpenuhi
Sertakan/kecualikan mode dengan operator negatif (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dan penggunaan atribut apa pun termasuk extensionAttributes1-15	Perangkat terdaftar yang tidak dikelola oleh Intune	Ya, jika kriteria terpenuhi. Saat extensionAttributes1-15 digunakan, kebijakan akan berlaku jika perangkat mematuhi atau microsoft Entra hybrid bergabung

Langkah berikutnya

• Kembali ke sekolah – Menggunakan aljabar Boolean dengan benar dalam filter kompleks
• Memperbarui Graph API perangkat
• Kondisi Akses: Kondisi
• Kebijakan Akses Bersyarat Umum
• Mengamankan perangkat sebagai bagian dari kisah akses istimewa