Kondisi Akses: Kondisi
Dalam kebijakan Akses Bersyarat, administrator dapat menggunakan satu atau beberapa sinyal untuk meningkatkan keputusan kebijakan mereka.
Beberapa ketentuan dapat digabungkan untuk membuat kebijakan Akses Bersyarat yang terperinci dan spesifik.
Saat pengguna mengakses aplikasi sensitif, administrator mungkin memperhitungkan beberapa kondisi ke dalam keputusan akses mereka seperti:
- Informasi risiko masuk dari Perlindungan ID
- Lokasi jaringan
- Informasi perangkat
Risiko pengguna
Administrator dengan akses ke Perlindungan ID, dapat mengevaluasi risiko pengguna sebagai bagian dari kebijakan Akses Bersyar. Risiko pengguna menunjukkan peluang identitas atau akun tertentu disusupi. Informasi selengkapnya tentang risiko pengguna dapat ditemukan di artikel Apa itu risiko dan Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
Risiko masuk
Administrator dengan akses ke Id Protection, dapat mengevaluasi risiko masuk sebagai bagian dari kebijakan Akses Bersyarat. Risiko masuk mewakili probabilitas bahwa permintaan autentikasi tertentu tidak dibuat oleh pemilik identitas. Informasi selengkapnya tentang risiko masuk dapat ditemukan di artikel Apa itu risiko dan Cara: Mengonfigurasi dan mengaktifkan kebijakan risiko.
Risiko dari dalam
Administrator dengan akses ke perlindungan adaptif Microsoft Purview dapat menggabungkan sinyal risiko dari Microsoft Purview ke dalam keputusan kebijakan Akses Bersyarat. Risiko orang dalam memperhitungkan tata kelola data, keamanan data, dan konfigurasi risiko dan kepatuhan Anda dari Microsoft Purview. Sinyal ini didasarkan pada faktor kontekstual seperti:
- Perilaku pengguna
- Pola historis
- Deteksi anomali
Kondisi ini memungkinkan administrator untuk menggunakan kebijakan Akses Bersyarat untuk mengambil tindakan seperti memblokir akses, memerlukan metode autentikasi yang lebih kuat, atau memerlukan penerimaan ketentuan penggunaan.
Fungsionalitas ini melibatkan penggabungan parameter yang secara khusus mengatasi potensi risiko yang timbul dari dalam organisasi. Dengan mengonfigurasi Akses Bersyarah untuk mempertimbangkan Insider Risk, administrator dapat menyesuaikan izin akses berdasarkan faktor kontekstual seperti perilaku pengguna, pola historis, dan deteksi anomali.
Untuk informasi selengkapnya, lihat artikel Mengonfigurasi dan mengaktifkan kebijakan berbasis risiko orang dalam.
Platform perangkat
Akses Bersyarkat mengidentifikasi platform perangkat dengan menggunakan informasi yang disediakan oleh perangkat, seperti string agen pengguna. Karena string agen pengguna dapat dimodifikasi, informasi ini tidak terverifikasi. Platform perangkat harus digunakan bersamaan dengan Kebijakan kepatuhan perangkat Microsoft Intune atau sebagai bagian dari pernyataan blok. Tindakan defaultnya adalah dengan menerapkan ke semua platform perangkat.
Akses Bersyarah mendukung platform perangkat berikut:
- Android
- iOS
- Windows
- macOS
- Linux
Jika Anda memblokir autentikasi warisan menggunakan ketentuan Klien lain, Anda juga dapat mengatur ketentuan platform perangkat.
Kami tidak mendukung pemilihan platform perangkat macOS atau Linux saat memilih Memerlukan aplikasi klien yang disetujui atau Memerlukan kebijakan perlindungan aplikasi sebagai satu-satunya kontrol pemberian atau saat Anda memilih Memerlukan semua kontrol yang dipilih.
Penting
Microsoft menyarankan agar Anda memiliki kebijakan Akses Bersyarat untuk platform perangkat yang tidak didukung. Misalnya, jika Anda ingin memblokir akses ke sumber daya perusahaan dari Chrome OS atau klien yang tidak didukung lainnya, Anda harus mengonfigurasi kebijakan dengan syarat platform Perangkat yang mencakup perangkat apa pun dan mengecualikan platform perangkat yang didukung dan Berikan kontrol yang diatur untuk Memblokir akses.
Lokasi
Aplikasi klien
Secara default, semua kebijakan Akses Bersyarkat yang baru dibuat berlaku untuk semua jenis aplikasi klien meskipun kondisi aplikasi klien tidak dikonfigurasi.
Catatan
Perilaku ketentuan aplikasi klien diperbarui pada bulan Agustus 2020. Jika Anda telah memiliki kebijakan Akses Bersyarat, kebijakan ini tidak akan berubah. Namun, jika Anda mengklik kebijakan yang ada, tombol Konfigurasikan telah dihapus dan aplikasi klien yang diterapkan kebijakan dipilih.
Penting
Rincian masuk dari klien autentikasi lama tidak mendukung autentikasi multifaktor (MFA) dan tidak meneruskan informasi status perangkat, sehingga mereka diblokir oleh kontrol pemberian Akses Bersyarat, seperti memerlukan MFA atau perangkat yang sesuai. Jika Anda memiliki akun yang harus menggunakan autentikasi warisan, Anda harus mengecualikan akun tersebut dari kebijakan, atau mengonfigurasi kebijakan agar hanya berlaku untuk klien autentikasi modern.
Tombol dwiarah Konfigurasikan ketika diatur ke Ya berlaku untuk item yang dicentang, ketika diatur ke Tidak, tombol berlaku untuk semua aplikasi klien, termasuk klien autentikasi modern dan warisan. Tombol dwiarah ini tidak muncul dalam kebijakan yang dibuat sebelum bulan Agustus 2020.
- Klien autentikasi modern
- Peramban
- Hal ini mencakup aplikasi berbasis web yang menggunakan protokol seperti SAML, WS-Federation, OpenID Connect, atau layanan yang didaftarkan sebagai klien rahasia OAuth.
- Aplikasi seluler dan klien desktop
- Opsi ini mencakup aplikasi seperti aplikasi telepon dan komputer desktop Office.
- Peramban
- Klien autentikasi warisan
- Klien Exchange ActiveSync
- Hal ini mencakup semua penggunaan protokol Exchange ActiveSync (EAS).
- Ketika kebijakan memblokir penggunaan Exchange ActiveSync, pengguna yang terpengaruh menerima satu email karantina. Email ini dilengkapi dengan informasi alasan pengguna diblokir dan mencakup instruksi perbaikan jika mampu.
- Administrator hanya dapat menerapkan kebijakan pada platform yang didukung (seperti iOS, Android, dan Windows) melalui Microsoft Graph API Akses Bersyarat.
- Klien lain
- Opsi ini mencakup klien yang menggunakan protokol autentikasi dasar/warisan yang tidak mendukung autentikasi modern.
- SMTP - Digunakan oleh klien POP dan IMAP untuk mengirim pesan email.
- Autodiscover - Digunakan oleh klien Outlook dan EAS untuk menemukan dan menyambungkan ke kotak pesan di Exchange Online.
- Exchange Online PowerShell - Digunakan untuk menyambungkan ke Exchange Online dengan PowerShell jarak jauh. Jika Anda memblokir autentikasi Dasar untuk Exchange Online PowerShell, Anda perlu menggunakan Modul Exchange Online PowerShell untuk menyambungkan. Untuk petunjuknya, lihat Menyambungkan ke Exchange Online PowerShell menggunakan autentikasi multifaktor.
- Exchange Web Services (EWS) - Antarmuka pemrograman yang digunakan oleh Outlook, Outlook untuk Mac, dan aplikasi pihak ketiga.
- IMAP4 - Digunakan oleh klien email IMAP.
- MAPI di HTTP (MAPI/HTTP) - Digunakan oleh Outlook 2010 dan versi yang lebih baru.
- Offline Address Book (OAB) - Salinan kumpulan daftar alamat yang diunduh dan digunakan oleh Outlook.
- Outlook Anywhere (RPC di HTTP) - Digunakan oleh Outlook 2016 dan versi yang lebih lama.
- Layanan Outlook - Digunakan oleh aplikasi Email dan Kalender untuk Windows 10.
- POP3 - Digunakan oleh klien email POP.
- Layanan Web Pelaporan - Digunakan untuk mengambil data laporan di Exchange Online.
- Opsi ini mencakup klien yang menggunakan protokol autentikasi dasar/warisan yang tidak mendukung autentikasi modern.
- Klien Exchange ActiveSync
Kondisi ini umumnya digunakan untuk:
- Memerlukan perangkat terkelola
- Memblokir autentikasi warisan
- Memblokir aplikasi web tetapi mengizinkan aplikasi seluler atau desktop
Browser yang didukung
Pengaturan ini berfungsi dengan semua browser. Namun, untuk memenuhi kebijakan perangkat, seperti persyaratan perangkat yang sesuai, sistem operasi dan browser berikut didukung. Sistem Operasi dan browser di luar dukungan mainstream tidak ditampilkan dalam daftar ini:
Sistem Operasi | Browser |
---|---|
Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
Windows Server 2022 | Microsoft Edge, Chrome |
Server Windows 2019 | Microsoft Edge, Chrome |
iOS | Microsoft Edge, Safari (lihat catatan) |
Android | Microsoft Edge, Chrome |
macOS | Microsoft Edge, Chrome, Safari |
Linux Desktop | Microsoft Edge |
Browser ini mendukung autentikasi perangkat, yang memungkinkan perangkat diidentifikasi dan divalidasi terhadap kebijakan. Pemeriksaan perangkat gagal jika browser berjalan dalam mode privat atau jika cookie dinonaktifkan.
Catatan
Edge 85+ mengharuskan pengguna untuk masuk ke browser untuk meneruskan identitas perangkat dengan benar. Jika tidak, ini berulah seperti Chrome tanpa ekstensi Microsoft Akses Menyeluruh. Rincian masuk ini mungkin tidak terjadi secara otomatis dalam skenario gabungan perangkat hibrid.
Safari didukung untuk Akses Bersyarat berbasis perangkat pada perangkat terkelola, tetapi tidak dapat memenuhi persyaratan aplikasi klien yang disetujui atau Memerlukan kondisi kebijakan perlindungan aplikasi. Browser terkelola seperti Microsoft Edge akan memenuhi persyaratan kebijakan perlindungan aplikasi dan aplikasi klien yang disetujui. Pada iOS dengan solusi MDM pihak ke-3, hanya browser web Microsoft Edge yang mendukung kebijakan perangkat.
Firefox 91+ didukung untuk Akses Bersyarat berbasis perangkat, tetapi "Izinkan akses menyeluruh Windows untuk akun Microsoft, kerja, dan sekolah" harus diaktifkan.
Chrome 111+ didukung untuk Akses Bersyarkat berbasis perangkat, tetapi "CloudApAuthEnabled" perlu diaktifkan.
Perangkat macOS yang menggunakan plugin SSO Enterprise memerlukan ekstensi Microsoft Akses Menyeluruh untuk mendukung Akses Bersyarat berbasis SSO dan perangkat di Google Chrome.
Mengapa saya melihat permintaan sertifikat di browser
Di perangkat Windows 7, iOS, Android, dan macOS diidentifikasi menggunakan sertifikat klien. Sertifikat ini disediakan ketika perangkat terdaftar. Ketika masuk pertama kali melalui browser, pengguna diminta untuk memilih sertifikat. Pengguna harus memilih sertifikat ini sebelum menggunakan browser.
Dukungan Chrome
Windows
Untuk dukungan Chrome di Windows 10 Creators Update (versi 1703) atau yang lebih baru, instal ekstensi Microsoft Akses Menyeluruh atau aktifkan CloudAPAuthEnabled Chrome. Konfigurasi ini diperlukan ketika kebijakan Akses Bersyarat memerlukan detail khusus perangkat untuk platform Windows secara khusus.
Untuk mengaktifkan kebijakan CloudAPAuthEnabled secara otomatis di Chrome, buat kunci registri berikut:
- Jalur:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome
- Nama:
CloudAPAuthEnabled
- Nilai:
0x00000001
- PropertyType:
DWORD
Untuk menyebarkan ekstensi Microsoft Akses Menyeluruh secara otomatis ke browser Chrome, buat kunci registri berikut menggunakan kebijakan ExtensionInstallForcelist di Chrome:
- Jalur:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
- Nama:
1
- Jenis:
REG_SZ (String)
- Data:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Untuk dukungan Chrome di Windows 8.1 dan 7, buat kunci registri berikut:
- Jalur:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
- Nama:
1
- Jenis:
REG_SZ (String)
- Data:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Perangkat macOS yang menggunakan plugin SSO Enterprise memerlukan ekstensi Microsoft Akses Menyeluruh untuk mendukung Akses Bersyarat berbasis SSO dan perangkat di Google Chrome.
Untuk penyebaran berbasis MDM google Chrome dan manajemen ekstensi, lihat Menyiapkan browser Chrome di Mac dan ExtensionInstallForcelist.
Aplikasi seluler dan klien desktop yang didukung
Administrator dapat memilih Aplikasi seluler dan klien desktop sebagai aplikasi klien.
Pengaturan ini berpengaruh pada upaya akses yang dilakukan dari aplikasi seluler dan klien desktop berikut:
Aplikasi klien | Layanan Target | Platform |
---|---|---|
Aplikasi Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS, dan Android |
Aplikasi Email/Kalender/Sosial, Outlook 2016, Outlook 2013 (dengan autentikasi modern) | Exchange Online | Windows 10 |
MFA dan kebijakan lokasi untuk aplikasi. Kebijakan berbasis perangkat tidak didukung. | Layanan aplikasi Aplikasi Saya | Android dan iOS |
Layanan Microsoft Teams - aplikasi klien ini mengontrol semua layanan yang mendukung Microsoft Teams dan semua Aplikasi Kliennya - Windows Desktop, iOS, Android, WP, dan klien web | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android, dan macOS |
Aplikasi Office 2016, Office 2013 (dengan autentikasi modern), Klien sinkronisasi OneDrive | SharePoint | Windows 8.1, Windows 7 |
Aplikasi Office 2016, aplikasi Universal Office, Office 2013 (dengan autentikasi modern), Klien sinkronisasi OneDrive | SharePoint Online | Windows 10 |
Office 2016 (hanya Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
Office 2019 | SharePoint | Windows 10, macOS |
Aplikasi seluler Office | SharePoint | Android, iOS |
Aplikasi Office Yammer | Yammer | Windows 10, iOS, Android |
Outlook 2019 | SharePoint | Windows 10, macOS |
Outlook 2016 (Office untuk macOS) | Exchange Online | macOS |
Outlook 2016, Outlook 2013 (dengan autentikasi modern), Skype for Business (dengan autentikasi modern) | Exchange Online | Windows 8.1, Windows 7 |
Aplikasi seluler Outlook | Exchange Online | Android, iOS |
Aplikasi Power BI | Layanan Power BI | Windows 10, Windows 8.1, Windows 7, Android, dan iOS |
Skype for Business | Exchange Online | Android, iOS |
Aplikasi Azure DevOps Services (sebelumnya Visual Studio Team Services, atau VSTS) | Layanan Azure DevOps (sebelumnya Visual Studio Team Services, atau VSTS) | Windows 10, Windows 8.1, Windows 7, iOS, dan Android |
Klien Exchange ActiveSync
- Administrator hanya dapat memilih klien Exchange ActiveSync saat menetapkan kebijakan kepada pengguna atau grup. Memilih Semua pengguna, Semua pengguna tamu dan eksternal, atau peran Direktori menyebabkan semua pengguna tunduk pada kebijakan.
- Saat administrator membuat kebijakan yang ditetapkan untuk klien Exchange ActiveSync, Exchange Online harus menjadi satu-satunya aplikasi cloud yang ditetapkan ke kebijakan.
- Administrator dapat mempersempit cakupan kebijakan ini ke platform tertentu menggunakan kondisi platform Perangkat.
Jika kontrol akses yang ditetapkan pada kebijakan menggunakan Memerlukan aplikasi klien yang disetujui, pengguna diarahkan untuk menginstal dan menggunakan klien seluler Outlook. Jika autentikasi Multifaktor, Ketentuan penggunaan, atau kontrol kustom diperlukan, pengguna yang terpengaruh diblokir, karena autentikasi dasar tidak mendukung kontrol ini.
Untuk informasi lebih lanjut, baca artikel berikut:
- Memblokir autentikasi warisan dengan Akses Bersyarat
- Memerlukan aplikasi klien yang disetujui dengan Akses Bersyarat
Klien lain
Dengan memilih Klien lain, Anda dapat menetapkan ketentuan yang memengaruhi aplikasi yang menggunakan autentikasi dasar dengan protokol mail seperti IMAP, MAPI, POP, SMTP, dan aplikasi Office yang lebih lama yang tidak menggunakan autentikasi modern.
Status perangkat (tidak digunakan lagi)
Kondisi ini tidak digunakan lagi. Pelanggan harus menggunakan kondisi Filter untuk perangkat dalam kebijakan Akses Bersyariah, untuk memenuhi skenario yang sebelumnya dicapai menggunakan kondisi status perangkat.
Penting
Status perangkat dan filter untuk perangkat tidak dapat digunakan bersama dalam kebijakan Akses Bersyarat. Filter untuk perangkat menyediakan penargetan yang lebih terperinci termasuk dukungan untuk menargetkan informasi status perangkat melalui properti trustType
dan isCompliant
.
Filter untuk perangkat
Saat administrator mengonfigurasi filter untuk perangkat sebagai kondisi, mereka dapat memilih untuk menyertakan atau mengecualikan perangkat berdasarkan filter menggunakan ekspresi aturan pada properti perangkat. Ekspresi aturan untuk filter untuk perangkat dapat ditulis menggunakan pembuat aturan atau sintaks aturan. Pengalaman ini mirip dengan yang digunakan untuk aturan untuk grup keanggotaan dinamis untuk grup. Untuk informasi selengkapnya, lihat artikel Akses Bersyar: Filter untuk perangkat.
Alur autentikasi (pratinjau)
Alur autentikasi mengontrol bagaimana organisasi Anda menggunakan protokol dan pemberian autentikasi dan otorisasi tertentu. Alur ini mungkin memberikan pengalaman yang mulus ke perangkat yang mungkin tidak memiliki perangkat input lokal seperti perangkat bersama atau signage digital. Gunakan kontrol ini untuk mengonfigurasi metode transfer seperti alur kode perangkat atau transfer autentikasi.