Bagikan melalui

Akses Bersyarat: Filter untuk perangkat

  • Artikel

Saat administrator membuat kebijakan Akses Bersyarat, kemampuan untuk menargetkan atau mengecualikan perangkat tertentu di lingkungan mereka adalah tugas yang umum. Filter kondisi untuk perangkat memberi administrator kemampuan untuk menargetkan perangkat tertentu. Administrators can use supported operators and properties for device filters along side the other available assignment conditions in your Conditional Access policies.

Membuat filter untuk perangkat dalam kondisi kebijakan Akses Bersyarat

Skenario umum

There are multiple scenarios that organizations can now enable using filter for devices condition. Skenario berikut memberikan contoh cara menggunakan kondisi baru ini.

  • Batasi akses ke sumber daya istimewa. Untuk contoh ini, katakanlah Anda ingin mengizinkan akses ke Windows Azure Service Management API dari pengguna yang:
    • Diberi peran istimewa.
    • Menyelesaikan autentikasi multifaktor.
    • Is on a device that is privileged or secure admin workstations and attested as compliant.
    • Untuk skenario ini, organisasi akan membuat dua kebijakan Akses Bersyarat.
      • Policy 1: All users with an administrator role, accessing the Windows Azure Service Management API cloud app, and for Access controls, Grant access, but require multifactor authentication and require device to be marked as compliant.
      • Policy 2: All users with an administrator, accessing the Windows Azure Service Management API cloud app, excluding a filter for devices using rule expression device.extensionAttribute1 equals SAW and for Access controls, Block. Pelajari cara memperbarui extensionAttributes pada objek perangkat Microsoft Entra.
  • Blokir akses ke sumber daya organisasi dari perangkat yang menjalankan Sistem Operasi yang tidak didukung. Untuk contoh ini, katakanlah Anda ingin memblokir akses ke sumber daya dari versi OS Windows yang lebih lama dari Windows 10. Untuk skenario ini, organisasi akan membuat kebijakan Akses Bersyarat berikut:
    • All users, accessing all resources, excluding a filter for devices using rule expression device.operatingSystem equals Windows and device.operatingSystemVersion startsWith "10.0" and for Access controls, Block.
  • Tidak memerlukan autentikasi multifaktor untuk akun tertentu pada perangkat tertentu. Untuk contoh ini, katakanlah Anda ingin tidak memerlukan autentikasi multifaktor saat menggunakan akun layanan pada perangkat tertentu seperti Perangkat Teams Phones atau Surface Hub. Untuk skenario ini, organisasi akan membuat dua kebijakan Akses Bersyarat berikut:
    • Policy 1: All users excluding service accounts, accessing all resources, and for Access controls, Grant access, but require multifactor authentication.
    • Policy 2: Select users and groups and include group that contains service accounts only, accessing all resources, excluding a filter for devices using rule expression device.extensionAttribute2 not equals TeamsPhoneDevice and for Access controls, Block.

Catatan

ID Microsoft Entra menggunakan autentikasi perangkat untuk mengevaluasi aturan filter perangkat. Untuk perangkat yang tidak terdaftar dengan ID Microsoft Entra, semua properti perangkat dianggap sebagai nilai null dan atribut perangkat tidak dapat ditentukan karena perangkat tidak ada di direktori. Cara terbaik untuk menargetkan kebijakan untuk perangkat yang tidak terdaftar adalah dengan menggunakan operator negatif karena aturan filter yang dikonfigurasi akan berlaku. Jika Anda menggunakan operator positif, aturan filter hanya akan berlaku ketika perangkat ada di direktori dan aturan yang dikonfigurasi cocok dengan atribut pada perangkat.

Membuat kebijakan Akses Bersyarat

Filter untuk perangkat adalah kontrol opsional saat membuat kebijakan Akses Bersyarat.

Langkah-langkah berikut membantu membuat dua kebijakan Akses Bersyarat untuk mendukung skenario pertama di bawah Skenario Umum.

Policy 1: All users with an administrator role, accessing the Windows Azure Service Management API cloud app, and for Access controls, Grant access, but require multifactor authentication and require device to be marked as compliant.

  1. Masuk ke Pusat Administrasi Microsoft Entra sebagai Administrator Akses Bersyarat setidaknya.
  2. Telusuri ke Perlindungan>Akses Bersyarat>Kebijakan.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.

    1. Di bawah Sertakan, pilih Peran Direktori, lalu semua peran yang memiliki "administrator" dalam namanya.

      Peringatan

      Kebijakan Akses Bersyarat mendukung peran bawaan. Conditional Access policies are not enforced for other role types including [administrative unit-scoped](../role-based-access-control/manage-roles-portal.md or custom roles.

    2. Under Exclude, select Users and groups and choose your organization's emergency access or break-glass accounts.

    3. Pilih Selesai.

  6. Under Target resources>Resources (formerly cloud apps)>Include>Select resources, choose Windows Azure Service Management API, and select Select.
  7. Di bawah Kendali Akses>Berikan, pilih Berikan akses, Wajibkan autentikasi multifaktor, dan Wajibkan perangkat ditandai sebagai patuh, lalu pilih Pilih.
  8. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Aktif.
  9. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Policy 2: All users with an administrator role, accessing the Windows Azure Service Management API cloud app, excluding a filter for devices using rule expression device.extensionAttribute1 equals SAW and for Access controls, Block.

  1. Pilih Kebijakan baru.
  2. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  3. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.

    1. Di bawah Sertakan, pilih Peran direktori, lalu semua peran dengan kata 'administrator' pada namanya

      Peringatan

      Kebijakan Akses Bersyarat mendukung peran bawaan. Kebijakan Akses Bersyarat tidak diberlakukan untuk jenis peran lain termasuk peran dengan cakupan unit administratif atau peran kustom.

    2. Under Exclude, select Users and groups and choose your organization's emergency access or break-glass accounts.

    3. Pilih Selesai.

  4. Under Target resources>Resources (formerly cloud apps)>Include>Select resources, choose Windows Azure Service Management API, and select Select.
  5. Under Conditions, Filter for devices.
    1. Alihkan Konfigurasikan ke Ya.
    2. Atur Perangkat yang cocok dengan aturan untuk Mengecualikan perangkat yang difilter dari kebijakan.
    3. Atur properti ke ExtensionAttribute1, operator ke Equals, dan nilai ke SAW.
    4. Pilih Selesai.
  6. Di bawah Kontrol akses>Berikan, pilih Blokir akses, lalu pilih Pilih.
  7. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Aktif.
  8. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Peringatan

Kebijakan yang memerlukan perangkat yang sesuai dapat meminta pengguna di Mac, iOS, dan Android untuk memilih sertifikat perangkat selama evaluasi kebijakan, meskipun kepatuhan perangkat tidak diberlakukan. Perintah ini dapat diulangi hingga perangkat dibuat sesuai.

Mengatur nilai atribut

Mengatur atribut ekstensi dimungkinkan melalui Microsoft Graph API. Untuk informasi selengkapnya tentang pengaturan atribut perangkat, lihat artikel Perbarui perangkat.

Filter for devices Graph API

Filter untuk API perangkat tersedia di titik akhir Microsoft Graph v1.0 dan dapat diakses menggunakan titik akhir https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Anda dapat mengonfigurasi filter perangkat saat membuat kebijakan Akses Bersyarat baru atau Anda dapat memperbarui kebijakan yang sudah ada untuk mengonfigurasi filter kondisi perangkat. Untuk memperbarui kebijakan yang ada, Anda dapat melakukan panggilan patch di titik akhir Microsoft Graph v1.0 dengan menambahkan ID kebijakan dari kebijakan yang ada dan menjalankan isi permintaan berikut. Contoh di sini menunjukkan konfigurasi filter untuk kondisi perangkat, dengan mengecualikan perangkat yang tidak ditandai sebagai perangkat SAW. Sintaksis aturan dapat terdiri dari lebih dari satu ekspresi tunggal. Untuk mempelajari selengkapnya tentang sintaks, lihat aturan untuk grup keanggotaan dinamis untuk grup di ID Microsoft Entra.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operator serta properti perangkat yang didukung untuk filter

Atribut perangkat berikut ini dapat digunakan dengan filter kondisi perangkat di Akses Bersyarat.

Catatan

ID Microsoft Entra menggunakan autentikasi perangkat untuk mengevaluasi aturan filter perangkat. Untuk perangkat yang tidak terdaftar dengan ID Microsoft Entra, semua properti perangkat dianggap sebagai nilai null dan atribut perangkat tidak dapat ditentukan karena perangkat tidak ada di direktori. Cara terbaik untuk menargetkan kebijakan untuk perangkat yang tidak terdaftar adalah dengan menggunakan operator negatif karena aturan filter yang dikonfigurasi akan berlaku. Jika Anda menggunakan operator positif, aturan filter hanya akan berlaku ketika perangkat ada di direktori dan aturan yang dikonfigurasi cocok dengan atribut pada perangkat.

Atribut perangkat yang didukung Operator yang didukung Nilai yang Didukung Contoh
deviceId Equals, NotEquals, In, NotIn A valid deviceId that is a GUID (device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb")
nama tampilan Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn String apa saja (device.displayName -contains "ABC")
deviceOwnership Equals, NotEquals Nilai yang didukung adalah "Pribadi" untuk membawa perangkat Anda sendiri dan "Perusahaan" untuk perangkat milik perusahaan (device.deviceOwnership -eq "Company")
namaProfilPendaftaran Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Ini ditetapkan oleh Microsoft Intune berdasarkan profil tempat perangkat terdaftar pada saat pendaftaran. Ini adalah nilai string yang dibuat oleh admin Microsoft Intune, yang sesuai dengan profil pendaftaran Windows Autopilot, Apple Automated Device Enrollment (ADE), atau profil pendaftaran Google yang diterapkan ke perangkat. (device.enrollmentProfileName -startsWith "Profil AutoPilot")
isCompliant Equals, NotEquals Nilai yang didukung adalah "True" untuk perangkat yang sesuai dan "False" untuk perangkat yang tidak sesuai (device.isCompliant -eq "True")
produsen Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Sembarang string (device.manufacturer -startsWith "Microsoft")
mdmAppId Equals, NotEquals, In, NotIn ID aplikasi MDM yang valid (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"])
model Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn String apa pun (device.model -notContains "Surface")
operatingSystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Sistem operasi yang valid (seperti Windows, iOS, atau Android) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Versi sistem operasi yang valid (seperti 6.1 untuk Windows 7, 6.2 untuk Windows 8, atau 10.0 untuk Windows 10 dan Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Contains, NotContains Sebagai contoh semua perangkat Windows Autopilot menyimpan ZTDId (nilai unik yang ditetapkan untuk semua perangkat Windows Autopilot yang diimpor) di properti physicalIds perangkat. (device.physicalIds -contains "[ZTDId]:value")
profileType Equals, NotEquals A valid profile type set for a device. Nilai yang didukung adalah: RegisteredDevice (bawaan), SecureVM (digunakan untuk VM Windows di Azure dengan fitur masuk Microsoft Entra diaktifkan), Printer (digunakan untuk printer), Dipakai Bersama (digunakan untuk perangkat yang dipakai bersama), IoT (digunakan untuk perangkat IoT) (device.profileType -eq "Printer")
systemLabels Contains, NotContains Daftar label yang diterapkan ke perangkat oleh sistem. Beberapa nilai yang didukung adalah: AzureResource (digunakan untuk VM Windows di Azure diaktifkan dengan masuk Microsoft Entra), M365Managed (digunakan untuk perangkat yang dikelola menggunakan Microsoft Managed Desktop), MultiUser (digunakan untuk perangkat bersama) (device.systemLabels -contains "M365Managed")
tipe kepercayaan Equals, NotEquals Suatu status terdaftar yang valid untuk perangkat. Nilai yang didukung adalah: AzureAD (digunakan untuk perangkat gabungan Microsoft Entra), ServerAD (digunakan untuk perangkat gabungan hibrid Microsoft Entra), Tempat kerja (digunakan untuk perangkat terdaftar Microsoft Entra) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn extensionAttributes1-15 adalah atribut yang dapat digunakan pelanggan untuk objek perangkat. Pelanggan dapat memperbarui salah satu dari extensionAttributes1 sampai 15 dengan nilai kustom dan menggunakannya dalam filter kondisi perangkat di Akses Bersyarat. Nilai string apa pun dapat digunakan. (device.extensionAttribute1 -eq "SAW")

Penting

Pelanggan harus menghindari penggunaan properti perangkat Entra (yang dapat dimodifikasi atau dimanipulasi oleh pengguna akhir) sendiri saat membuat aturan filter perangkat. Sebagai contoh, penggunaan displayName yang dapat dimodifikasi oleh pengguna akhir atau model, produsen, dll. bersumber dari entri registri yang dapat dimanipulasi oleh pengguna akhir. Microsoft merekomendasikan penggunaan properti ini bersamaan (penggunaan klausa AND) dengan beberapa properti lain pada perangkat yang tidak dapat dimodifikasi oleh pengguna akhir saat membuat aturan filter perangkat di Akses Bersyariah.

Peringatan

Devices must be Microsoft Intune managed, compliant, or Microsoft Entra hybrid joined for a value to be available in extensionAttributes1-15 at the time of the Conditional Access policy evaluation.

Catatan

Saat membangun aturan kompleks atau menggunakan terlalu banyak pengidentifikasi individu seperti deviceid untuk identitas perangkat, perlu diingat "Panjang maksimum untuk aturan filter adalah 3072 karakter".

Catatan

Contains dan NotContains operator bekerja secara berbeda tergantung pada tipe atribut. Untuk atribut string seperti operatingSystem dan model, operator Contains menentukan apakah substring tertentu muncul di dalam atribut. Untuk atribut koleksi untai (karakter) seperti physicalIds dan systemLabels, Contains operator menunjukkan apakah untai (karakter) yang ditentukan cocok dengan salah satu dari seluruh untai (karakter) dalam koleksi.

Policy behavior with filter for devices

Filter untuk kondisi perangkat dalam Akses Bersyarat mengevaluasi kebijakan berdasarkan atribut perangkat yang terdaftar di ID Microsoft Entra, dan penting untuk memahami kapan kebijakan diterapkan atau tidak diterapkan. Tabel berikut mengilustrasikan perilaku saat filter untuk kondisi perangkat dikonfigurasi.

Pemfilteran berdasarkan kondisi perangkat Status pendaftaran perangkat Filter perangkat Diterapkan
Include/exclude mode with positive operators (Equals, StartsWith, EndsWith, Contains, In) and use of any attributes Perangkat tidak terdaftar Tidak
Include/exclude mode with positive operators (Equals, StartsWith, EndsWith, Contains, In) and use of attributes excluding extensionAttributes1-15 Perangkat terdaftar Ya, jika kriteria terpenuhi
Include/exclude mode with positive operators (Equals, StartsWith, EndsWith, Contains, In) and use of attributes including extensionAttributes1-15 Perangkat terdaftar yang dikelola oleh Intune Ya, jika kriteria terpenuhi
Include/exclude mode with positive operators (Equals, StartsWith, EndsWith, Contains, In) and use of attributes including extensionAttributes1-15 Perangkat terdaftar yang tidak dikelola oleh Intune Ya, jika kriteria terpenuhi. When extensionAttributes1-15 are used, the policy applies if device is compliant or Microsoft Entra hybrid joined
Include/exclude mode with negative operators (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) and use of any attributes Perangkat tidak terdaftar Ya
Include/exclude mode with negative operators (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) and use of any attributes excluding extensionAttributes1-15 Perangkat terdaftar Ya, jika kriteria terpenuhi
Include/exclude mode with negative operators (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) and use of any attributes including extensionAttributes1-15 Perangkat terdaftar yang dikelola oleh Intune Ya, jika kriteria terpenuhi
Include/exclude mode with negative operators (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) and use of any attributes including extensionAttributes1-15 Perangkat terdaftar yang tidak dikelola oleh Intune Ya, jika kriteria terpenuhi. When extensionAttributes1-15 are used, the policy applies if device is compliant or Microsoft Entra hybrid joined

Konten terkait