Bagikan melalui

Akses Bersyarat: Filter untuk perangkat

Saat administrator membuat kebijakan Akses Bersyarat, kemampuan untuk menargetkan atau mengecualikan perangkat tertentu di lingkungan mereka adalah tugas yang umum. Filter kondisi untuk perangkat memberi administrator kemampuan untuk menargetkan perangkat tertentu. Administrator dapat menggunakan operator dan properti yang didukung untuk filter perangkat di samping kondisi penugasan lain yang tersedia dalam kebijakan Akses Bersyarat Anda.

Membuat filter untuk perangkat dalam kondisi kebijakan Akses Bersyarat

Skenario umum

Ada beberapa skenario yang sekarang dapat diaktifkan oleh organisasi menggunakan filter untuk kondisi perangkat. Skenario berikut memberikan contoh cara menggunakan kondisi baru ini.

  • Batasi akses ke sumber daya istimewa. Untuk contoh ini, katakanlah Anda ingin mengizinkan akses ke Windows Azure Service Management API dari pengguna yang:
    • Diberi peran istimewa.
    • Menyelesaikan autentikasi multifaktor.
    • Berada di perangkat yang memiliki hak istimewa atau stasiun kerja admin yang aman dan dinyatakan sesuai.
    • Untuk skenario ini, organisasi akan membuat dua kebijakan Akses Bersyarat.
      • Kebijakan 1: Semua pengguna dengan peran administrator yang mengakses aplikasi cloud Windows Azure Service Management API, dan untuk kontrol akses, memberikan akses, tetapi memerlukan autentikasi multifaktor dan memerlukan perangkat yang ditandai sesuai.
      • Kebijakan 2: Semua pengguna dengan peran administrator, mengakses aplikasi cloud Windows Azure Service Management API, dengan pengecualian filter untuk perangkat yang menggunakan ekspresi aturan di mana device.extensionAttribute1 sama dengan SAW, dan untuk kontrol akses, Blokir. Pelajari cara memperbarui extensionAttributes pada objek perangkat Microsoft Entra.
  • Blokir akses ke sumber daya organisasi dari perangkat yang menjalankan Sistem Operasi yang tidak didukung. Untuk contoh ini, katakanlah Anda ingin memblokir akses ke sumber daya dari versi OS Windows yang lebih lama dari Windows 10. Untuk skenario ini, organisasi akan membuat kebijakan Akses Bersyarat berikut:
    • Semua pengguna yang mengakses semua sumber daya, kecuali yang memiliki perangkat di mana ekspresi aturan device.operatingSystem == 'Windows' dan device.operatingSystemVersion startsWith '10.0' berlaku, harus diblokir oleh Access control.
  • Tidak memerlukan autentikasi multifaktor untuk akun tertentu pada perangkat tertentu. Untuk contoh ini, katakanlah Anda ingin tidak memerlukan autentikasi multifaktor saat menggunakan akun layanan pada perangkat tertentu seperti Perangkat Teams Phones atau Surface Hub. Untuk skenario ini, organisasi akan membuat dua kebijakan Akses Bersyarat berikut:
    • Kebijakan 1: Semua pengguna kecuali akun layanan, yang mengakses semua sumber daya, dan untuk kontrol akses, berikan akses, tetapi memerlukan autentikasi multifaktor.
    • Kebijakan 2: Pilih pengguna dan grup dan sertakan grup yang hanya berisi akun layanan yang mengakses semua sumber daya, dengan pengecualian untuk filter perangkat yang menggunakan ekspresi aturan device.extensionAttribute2 tidak sama dengan TeamsPhoneDevice dan untuk kendali akses, blokir.

Catatan

ID Microsoft Entra menggunakan autentikasi perangkat untuk mengevaluasi aturan filter perangkat. Untuk perangkat yang tidak terdaftar dengan ID Microsoft Entra, semua properti perangkat dianggap sebagai nilai null dan atribut perangkat tidak dapat ditentukan karena perangkat tidak ada di direktori. Cara terbaik untuk menargetkan kebijakan untuk perangkat yang tidak terdaftar adalah dengan menggunakan operator negatif karena aturan filter yang dikonfigurasi akan berlaku. Jika Anda menggunakan operator positif, aturan filter hanya akan berlaku ketika perangkat ada di direktori dan aturan yang dikonfigurasi cocok dengan atribut pada perangkat.

Membuat kebijakan Akses Bersyarat

Filter untuk perangkat adalah kontrol opsional saat membuat kebijakan Akses Bersyarat.

Langkah-langkah berikut ini membantu membuat dua kebijakan Akses Kondisional untuk mendukung skenario pertama di bawah Skenario Umum.

Kebijakan 1: Semua pengguna dengan peran administrator yang mengakses aplikasi cloud Windows Azure Service Management API, dan untuk kontrol akses, memberikan akses, tetapi memerlukan autentikasi multifaktor dan memerlukan perangkat yang ditandai sesuai.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri ke Entra ID>Akses Bersyarat>Kebijakan.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.

    1. Di bawah Termasuk, pilih Peran direktori, lalu semua peran yang mengandung kata administrator dalam namanya.

      Peringatan

      Kebijakan Akses Bersyarat mendukung peran bawaan. Kebijakan Akses Bersyarat tidak diberlakukan untuk jenis peran lain termasuk peran cakupan unit administratif atau peran kustom.

    2. Di bagian Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat sementara organisasi Anda.

    3. Pilih Selesai.

  6. Di bawah Sumber Daya Target>Sumber Daya (sebelumnya aplikasi cloud)>Masukkan>Pilih Sumber Daya, pilih Windows Azure Service Management API, dan pilih Pilih.
  7. Di bawah Kontrol Akses: Pemberian>, pilih Berikan akses, Wajibkan autentikasi multifaktor, dan Wajibkan perangkat ditandai sebagai sesuai, lalu pilih Gunakan.
  8. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Aktif.
  9. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Kebijakan 2: Semua pengguna dengan peran administrator yang mengakses aplikasi cloud Windows Azure Service Management API, mengecualikan filter untuk perangkat yang menggunakan ekspresi aturan device.extensionAttribute1 yang sama dengan SAW, dan untuk kontrol akses, Blokir.

  1. Pilih Kebijakan baru.
  2. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  3. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.

    1. Di bawah Sertakan, pilih Peran Direktori, lalu semua peran yang memiliki kata administrator di dalam nama

      Peringatan

      Kebijakan Akses Bersyarat mendukung peran bawaan. Kebijakan Akses Bersyarat tidak diberlakukan untuk jenis peran lain termasuk peran cakupan unit administratif atau peran kustom.

    2. Di bagian Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat sementara organisasi Anda.

    3. Pilih Selesai.

  4. Di bawah Sumber Daya Target>Sumber Daya (sebelumnya aplikasi cloud)>Masukkan>Pilih Sumber Daya, pilih Windows Azure Service Management API, dan pilih Pilih.
  5. Pada bagian Kondisi, Filter untuk perangkat.
    1. Alihkan Konfigurasi ke Ya.
    2. Atur Perangkat yang cocok dengan aturan ke Kecualikan perangkat yang difilter dari kebijakan.
    3. Atur properti ke ExtensionAttribute1, operator ke Equals, dan nilai ke SAW.
    4. Pilih Selesai.
  6. Di bawah Kontrol Akses>Izinkan, pilih Blokir akses, lalu pilih Pilih.
  7. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Aktif.
  8. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Peringatan

Kebijakan yang memerlukan perangkat yang sesuai dapat meminta pengguna di Mac, iOS, dan Android untuk memilih sertifikat perangkat selama evaluasi kebijakan, meskipun kepatuhan perangkat tidak diberlakukan. Perintah ini dapat diulangi hingga perangkat dibuat sesuai.

Mengatur nilai atribut

Mengatur atribut ekstensi dimungkinkan melalui Microsoft Graph API. Untuk informasi selengkapnya tentang mengatur atribut perangkat, lihat artikel Memperbarui perangkat.

Filter untuk API Graph perangkat

Filter untuk API perangkat tersedia di titik akhir Microsoft Graph v1.0 dan dapat diakses menggunakan titik akhir https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Anda dapat mengonfigurasi filter perangkat saat membuat kebijakan Akses Bersyarat baru atau Anda dapat memperbarui kebijakan yang sudah ada untuk mengonfigurasi filter kondisi perangkat. Untuk memperbarui kebijakan yang ada, Anda dapat melakukan panggilan patch di titik akhir Microsoft Graph v1.0 dengan menambahkan ID kebijakan dari kebijakan yang ada dan menjalankan isi permintaan berikut. Contoh di sini menunjukkan konfigurasi filter untuk kondisi perangkat, dengan mengecualikan perangkat yang tidak ditandai sebagai perangkat SAW. Sintaksis aturan dapat terdiri dari lebih dari satu ekspresi tunggal. Untuk mempelajari selengkapnya tentang sintaks, lihat aturan untuk grup keanggotaan dinamis untuk grup di ID Microsoft Entra.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Operator serta properti perangkat yang didukung untuk filter

Atribut perangkat berikut ini dapat digunakan dengan filter kondisi perangkat di Akses Bersyarat.

Penting

Microsoft merekomendasikan penggunaan setidaknya satu properti perangkat yang telah ditentukan oleh sistem atau yang dapat dikonfigurasi admin saat menggunakan filter kondisi perangkat di akses bersyarat.

Catatan

ID Microsoft Entra menggunakan autentikasi perangkat untuk mengevaluasi aturan filter perangkat. Untuk perangkat yang tidak terdaftar dengan ID Microsoft Entra, semua properti perangkat dianggap sebagai nilai null dan atribut perangkat tidak dapat ditentukan karena perangkat tidak ada di direktori. Cara terbaik untuk menargetkan kebijakan untuk perangkat yang tidak terdaftar adalah dengan menggunakan operator negatif karena aturan filter yang dikonfigurasi akan berlaku. Jika Anda menggunakan operator positif, aturan filter hanya akan berlaku ketika perangkat ada di direktori dan aturan yang dikonfigurasi cocok dengan atribut pada perangkat.

Atribut perangkat yang didukung Sistem yang didefinisikan atau dikonfigurasi oleh admin Operator yang didukung Nilai yang Didukung Contoh
ID perangkat Ya Sama dengan, Tidak Sama dengan, Dalam, Tidak Dalam deviceId yang valid yang merupakan Global Unique Identifier (GUID) (device.deviceid -eq "aaaaaaaaaa-0000-1111-2222-bbbbbbbbbb")
nama tampilan Tidak SamaDengan, TidakSamaDengan, DimulaiDengan, TidakDimulaiDengan, DiakhiriDengan, TidakDiakhiriDengan, Mengandung, TidakMengandung, DiDalam, TidakDiDalam String apa saja (device.displayName -mengandung "ABC")
Kepemilikan perangkat Ya Sama Dengan, Tidak Sama Dengan Nilai yang didukung adalah "Pribadi" untuk membawa perangkat Anda sendiri dan "Perusahaan" untuk perangkat milik perusahaan (device.deviceOwnership -eq "Perusahaan")
namaProfilPendaftaran Ya SamaDengan, TidakSamaDengan, DimulaiDengan, TidakDimulaiDengan, DiakhiriDengan, TidakDiakhiriDengan, Mengandung, TidakMengandung, DiDalam, TidakDiDalam Ini ditetapkan oleh Microsoft Intune berdasarkan profil tempat perangkat terdaftar pada saat pendaftaran. Ini adalah nilai string yang dibuat oleh admin Microsoft Intune, yang sesuai dengan profil pendaftaran Windows Autopilot, Apple Automated Device Enrollment (ADE), atau profil pendaftaran Google yang diterapkan ke perangkat. (device.enrollmentProfileName -startsWith "Profil AutoPilot")
Mematuhi Ya Sama Dengan, Tidak Sama Dengan Nilai yang didukung adalah "True" untuk perangkat yang sesuai dan "False" untuk perangkat yang tidak sesuai (device.isCompliant -eq "Benar")
produsen Tidak SamaDengan, TidakSamaDengan, DimulaiDengan, TidakDimulaiDengan, DiakhiriDengan, TidakDiakhiriDengan, Mengandung, TidakMengandung, DiDalam, TidakDiDalam String apa saja (device.manufacturer -dimulai dengan "Microsoft")
mdmAppId Ya Sama dengan, Tidak Sama dengan, Dalam, Tidak Dalam ID aplikasi MDM yang valid (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"])
model Tidak SamaDengan, TidakSamaDengan, DimulaiDengan, TidakDimulaiDengan, DiakhiriDengan, TidakDiakhiriDengan, Mengandung, TidakMengandung, DiDalam, TidakDiDalam String apa saja (device.model -tidak mengandung "Surface")
sistem operasi Ya SamaDengan, TidakSamaDengan, DimulaiDengan, TidakDimulaiDengan, DiakhiriDengan, TidakDiakhiriDengan, Mengandung, TidakMengandung, DiDalam, TidakDiDalam Sistem operasi yang valid (seperti Windows, iOS, atau Android) (device.operatingSystem -eq "Windows")
versiSistemOperasi Ya SamaDengan, TidakSamaDengan, DimulaiDengan, TidakDimulaiDengan, DiakhiriDengan, TidakDiakhiriDengan, Mengandung, TidakMengandung, DiDalam, TidakDiDalam Versi sistem operasi yang valid (seperti 6.1 untuk Windows 7, 6.2 untuk Windows 8, atau 10.0 untuk Windows 10 dan Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
ID fisik Ya Mengandung, Tidak Mengandung Sebagai contoh semua perangkat Windows Autopilot menyimpan ZTDId (nilai unik yang ditetapkan untuk semua perangkat Windows Autopilot yang diimpor) di properti physicalIds perangkat. (device.physicalIds -contains "[ZTDId]:value")
tipeProfil Ya Sama Dengan, Tidak Sama Dengan Jenis profil valid yang ditetapkan untuk perangkat. Nilai yang didukung adalah: RegisteredDevice (bawaan), SecureVM (digunakan untuk VM Windows di Azure dengan fitur masuk Microsoft Entra diaktifkan), Printer (digunakan untuk printer), Dipakai Bersama (digunakan untuk perangkat yang dipakai bersama), IoT (digunakan untuk perangkat IoT) (device.profileType -eq "Printer")
systemLabels Ya Mengandung, Tidak Mengandung Daftar label yang diterapkan ke perangkat oleh sistem. Beberapa nilai yang didukung adalah: AzureResource (digunakan untuk VM Windows di Azure diaktifkan dengan masuk Microsoft Entra), M365Managed (digunakan untuk perangkat yang dikelola menggunakan Microsoft Managed Desktop), MultiUser (digunakan untuk perangkat bersama) (device.systemLabels -contains "M365Managed")
tipe kepercayaan Ya Sama Dengan, Tidak Sama Dengan Suatu status terdaftar yang valid untuk perangkat. Nilai yang didukung adalah: AzureAD (digunakan untuk perangkat gabungan Microsoft Entra), ServerAD (digunakan untuk perangkat gabungan hibrid Microsoft Entra), Tempat kerja (digunakan untuk perangkat terdaftar Microsoft Entra) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Ya SamaDengan, TidakSamaDengan, DimulaiDengan, TidakDimulaiDengan, DiakhiriDengan, TidakDiakhiriDengan, Mengandung, TidakMengandung, DiDalam, TidakDiDalam extensionAttributes1-15 adalah atribut yang dapat digunakan pelanggan untuk objek perangkat. Pelanggan dapat memperbarui salah satu dari extensionAttributes1 sampai 15 dengan nilai kustom dan menggunakannya dalam filter kondisi perangkat di Akses Bersyarat. Nilai string apa pun dapat digunakan. (device.extensionAttribute1 -eq "SAW")

Peringatan

Perangkat harus dikelola oleh Microsoft Intune, mematuhi, atau bergabung secara hybrid Microsoft Entra agar sebuah nilai tersedia di extensionAttributes1-15 pada saat evaluasi kebijakan Akses Bersyarat.

Catatan

Saat membangun aturan kompleks atau menggunakan terlalu banyak pengidentifikasi individu seperti deviceid untuk identitas perangkat, perlu diingat "Panjang maksimum untuk aturan filter adalah 3072 karakter".

Catatan

Contains dan NotContains operator bekerja secara berbeda tergantung pada tipe atribut. Untuk atribut string seperti operatingSystem dan model, operator Contains menentukan apakah substring tertentu muncul di dalam atribut. Untuk atribut koleksi untai (karakter) seperti physicalIds dan systemLabels, Contains operator menunjukkan apakah untai (karakter) yang ditentukan cocok dengan salah satu dari seluruh untai (karakter) dalam koleksi.

Perilaku kebijakan dengan filter untuk perangkat

Filter untuk kondisi perangkat dalam Akses Bersyarat mengevaluasi kebijakan berdasarkan atribut perangkat yang terdaftar di ID Microsoft Entra, dan penting untuk memahami kapan kebijakan diterapkan atau tidak diterapkan. Tabel berikut mengilustrasikan perilaku saat filter untuk kondisi perangkat dikonfigurasi.

Pemfilteran berdasarkan kondisi perangkat Status pendaftaran perangkat Filter perangkat Diterapkan
Sertakan/kecualikan mode dengan operator yang bersifat positif (Equals, StartsWith, EndsWith, Contains, In) dan penggunaan semua atribut Perangkat tidak terdaftar Tidak
Mode inklusi/eksklusi dengan operator positif (Equals, StartsWith, EndsWith, Contains, In) dan penggunaan atribut yang mengecualikan extensionAttributes1-15 Perangkat terdaftar Ya, jika kriteria terpenuhi
Sertakan/kecualikan mode dengan operator positif *Equals*, *StartsWith*, *EndsWith*, *Contains*, *In* dan penggunaan atribut termasuk extensionAttributes1-15 Perangkat terdaftar yang dikelola oleh Intune Ya, jika kriteria terpenuhi
Sertakan/kecualikan mode dengan operator positif *Equals*, *StartsWith*, *EndsWith*, *Contains*, *In* dan penggunaan atribut termasuk extensionAttributes1-15 Perangkat terdaftar yang tidak dikelola oleh Intune Ya, jika kriteria terpenuhi. Saat extensionAttributes1-15 digunakan, kebijakan berlaku jika perangkat patuh atau bergabung secara hybrid dengan Microsoft Entra.
Sertakan/kecualikan modus dengan operator negatif (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dan penggunaan atribut apapun Perangkat tidak terdaftar Ya
Sertakan/kecualikan mode dengan operator negatif (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dan penggunaan atribut apa pun selain extensionAttributes1-15. Perangkat terdaftar Ya, jika kriteria terpenuhi
Sertakan/kecualikan mode dengan operator negatif (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dan penggunaan atribut apa saja, termasuk extensionAttributes1-15. Perangkat terdaftar yang dikelola oleh Intune Ya, jika kriteria terpenuhi
Sertakan/kecualikan mode dengan operator negatif (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) dan penggunaan atribut apa saja, termasuk extensionAttributes1-15. Perangkat terdaftar yang tidak dikelola oleh Intune Ya, jika kriteria terpenuhi. Saat extensionAttributes1-15 digunakan, kebijakan berlaku jika perangkat patuh atau bergabung secara hybrid dengan Microsoft Entra.

Konten terkait

  • Last updated on