Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dalam kebijakan Akses Bersyarat, admin menggunakan satu atau beberapa sinyal untuk meningkatkan keputusan kebijakan.
Administrator menggabungkan beberapa kondisi untuk membuat kebijakan Akses Bersyarat yang spesifik dan terperinci.
Saat pengguna mengakses aplikasi sensitif, admin mungkin mempertimbangkan beberapa kondisi dalam keputusan akses mereka, seperti:
- Informasi risiko dari Microsoft Entra ID Protection
- Lokasi jaringan
- Informasi perangkat
Risiko Agen (Pratinjau)
Admin dengan akses ke Perlindungan ID dapat mengevaluasi risiko agen sebagai bagian dari kebijakan Akses Bersyarat. Risiko agen menunjukkan kemungkinan agen dikompromikan.
Risiko pengguna
Administrator dengan akses ke Perlindungan ID dapat mengevaluasi risiko pengguna sebagai bagian dari kebijakan Akses Kondisional. Risiko pengguna menunjukkan kemungkinan identitas atau akun disusupi. Pelajari selengkapnya tentang risiko pengguna dalam Apa itu risiko dan Cara mengonfigurasi dan mengaktifkan kebijakan risiko.
Risiko masuk akun
Admin dengan akses ke Perlindungan ID dapat mengevaluasi risiko masuk sebagai bagian dari kebijakan Akses Bersyarat. Risiko masuk menunjukkan probabilitas bahwa permintaan autentikasi tidak dibuat oleh pemilik identitas. Pelajari selengkapnya tentang risiko masuk di artikel Apa itu risiko dan Cara mengonfigurasi dan mengaktifkan kebijakan risiko.
Risiko dari dalam
Admin dengan akses ke perlindungan adaptif Microsoft Purview dapat menggabungkan sinyal risiko dari Microsoft Purview ke dalam keputusan kebijakan Akses Bersyarat. Risiko orang dalam mempertimbangkan tata kelola data, keamanan data, serta setelan risiko dan kepatuhan Anda dari Microsoft Purview. Sinyal ini didasarkan pada faktor kontekstual seperti:
- Perilaku pengguna
- Pola sejarah
- Deteksi anomali
Kondisi ini memungkinkan admin menggunakan kebijakan Akses Bersyarat untuk mengambil tindakan seperti memblokir akses, memerlukan metode autentikasi yang lebih kuat, atau memerlukan penerimaan ketentuan penggunaan.
Fungsionalitas ini menggabungkan parameter yang secara khusus mengatasi potensi risiko yang timbul dari dalam organisasi. Mengonfigurasi Akses Bersyarah untuk mempertimbangkan risiko orang dalam memungkinkan admin menyesuaikan izin akses berdasarkan faktor kontekstual seperti perilaku pengguna, pola historis, dan deteksi anomali.
Untuk informasi selengkapnya, lihat mengonfigurasi dan mengaktifkan kebijakan berbasis risiko orang dalam.
Platform untuk perangkat
Akses Bersyarat mengidentifikasi platform perangkat menggunakan informasi yang disediakan oleh perangkat, seperti string agen pengguna. Karena string agen pengguna dapat dimodifikasi, informasi ini tidak diverifikasi. Gunakan platform perangkat dengan kebijakan kepatuhan perangkat Microsoft Intune atau sebagai bagian dari pernyataan pemblokiran. Secara default, ini berlaku untuk semua platform perangkat.
Akses Bersyarat mendukung platform perangkat ini:
- Android
- Ios
- Windows
- macOS
- Linux
Jika Anda memblokir autentikasi warisan menggunakan ketentuan Klien lain, Anda juga dapat mengatur ketentuan platform perangkat.
Memilih platform perangkat macOS atau Linux tidak didukung saat Anda memilih Memerlukan aplikasi klien yang disetujui atau Memerlukan kebijakan perlindungan aplikasi sebagai satu-satunya kontrol pemberian, atau saat Anda memilih Perlu semua kontrol yang dipilih.
Penting
Microsoft merekomendasikan pembuatan kebijakan Akses Bersyarat untuk platform perangkat yang tidak didukung. Misalnya, untuk memblokir akses ke sumber daya perusahaan dari Chrome OS atau klien lain yang tidak didukung, atur kebijakan dengan kondisi platform perangkat yang mencakup semua perangkat, mengecualikan platform perangkat yang didukung, dan mengatur kontrol izin menjadi blokir akses.
Lokasi
Kondisi terkait lokasi telah dipindahkan.
Aplikasi klien
Secara default, semua kebijakan Akses Bersyarkat yang baru dibuat berlaku untuk semua jenis aplikasi klien meskipun kondisi aplikasi klien tidak dikonfigurasi.
Catatan
Perilaku ketentuan aplikasi klien diperbarui pada bulan Agustus 2020. Jika Anda memiliki kebijakan Akses Bersyarat yang sudah ada, kebijakan tersebut tetap tidak berubah. Namun, jika Anda memilih kebijakan yang ada, tombol Konfigurasikan dihapus dan aplikasi klien yang diterapkan kebijakan dipilih.
Penting
Rincian masuk dari klien autentikasi lama tidak mendukung autentikasi multifaktor (MFA) dan tidak meneruskan informasi status perangkat, sehingga mereka diblokir oleh kontrol pemberian Akses Bersyarat, seperti memerlukan MFA atau perangkat yang sesuai. Jika Anda memiliki akun yang harus menggunakan autentikasi lama, Anda harus mengecualikan akun tersebut dari kebijakan, atau mengonfigurasi kebijakan untuk hanya berlaku untuk klien autentikasi modern.
Tombol Konfigurasikan ketika diatur ke Ya berlaku untuk item yang dicentang, dan ketika diatur ke Tidak berlaku untuk semua aplikasi klien, termasuk klien autentikasi modern dan klasik. Opsi ini tidak muncul pada kebijakan yang dibuat sebelum bulan Agustus 2020.
- Klien autentikasi modern
- Peramban
- Klien ini termasuk aplikasi berbasis web yang menggunakan protokol seperti SAML, WS-Federation, OpenID Connect, atau layanan yang terdaftar sebagai klien rahasia OAuth.
- Aplikasi seluler dan klien desktop
- Opsi ini mencakup aplikasi seperti aplikasi telepon dan komputer desktop Office.
- Peramban
- Klien autentikasi lawas
- Klien Exchange ActiveSync
- Hal ini mencakup semua penggunaan protokol Exchange ActiveSync (EAS). Saat kebijakan memblokir penggunaan Exchange ActiveSync, pengguna yang terpengaruh menerima satu email karantina. Email ini menyediakan informasi tentang mengapa mereka diblokir dan menyertakan instruksi remediasi jika dapat.
- Para admin dapat menerapkan kebijakan hanya ke platform yang didukung (seperti iOS, Android, dan Windows) melalui API Akses Bersyar Microsoft Graph.
- Klien lain
- Opsi ini mencakup klien yang menggunakan protokol autentikasi dasar/warisan yang tidak mendukung autentikasi modern.
- SMTP - Digunakan oleh klien POP dan IMAP untuk mengirim pesan email.
- Autodiscover - Digunakan oleh klien Outlook dan EAS untuk menemukan dan menyambungkan ke kotak pesan di Exchange Online.
- Exchange Online PowerShell - Digunakan untuk menyambungkan ke Exchange Online dengan PowerShell jarak jauh. Jika Anda memblokir autentikasi Dasar untuk Exchange Online PowerShell, Anda perlu menggunakan Modul Exchange Online PowerShell untuk menyambungkan. Untuk petunjuknya, lihat Menyambungkan ke Exchange Online PowerShell menggunakan autentikasi multifaktor.
- Exchange Web Services (EWS) - Antarmuka pemrograman yang digunakan oleh Outlook, Outlook untuk Mac, dan aplikasi non-Microsoft.
- IMAP4 - Digunakan oleh klien email IMAP.
- MAPI di HTTP (MAPI/HTTP) - Digunakan oleh Outlook 2010 dan versi yang lebih baru.
- Offline Address Book (OAB) - Salinan kumpulan daftar alamat yang diunduh dan digunakan oleh Outlook.
- Outlook Anywhere (RPC di HTTP) - Digunakan oleh Outlook 2016 dan versi yang lebih lama.
- Layanan Outlook - Digunakan oleh aplikasi Email dan Kalender untuk Windows 10.
- POP3 - Digunakan oleh klien email POP.
- Layanan Web Pelaporan - Digunakan untuk mengambil data laporan di Exchange Online.
- Opsi ini mencakup klien yang menggunakan protokol autentikasi dasar/warisan yang tidak mendukung autentikasi modern.
- Klien Exchange ActiveSync
Kondisi ini umumnya digunakan untuk:
- Memerlukan perangkat terkelola
- Memblokir autentikasi lama
- Memblokir aplikasi web tetapi mengizinkan aplikasi seluler atau desktop
Browser yang didukung
Pengaturan ini berfungsi dengan semua browser. Namun, untuk memenuhi kebijakan perangkat, seperti persyaratan perangkat yang sesuai, sistem operasi dan browser berikut didukung. Sistem Operasi dan browser di luar dukungan mainstream tidak ditampilkan dalam daftar ini:
| Sistem Operasi | Browser |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2025 | Microsoft Edge, Chrome |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| Ios | Microsoft Edge, Safari (lihat catatan) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Firefox 133+, Safari |
| Linux Desktop | Microsoft Edge |
Browser ini mendukung autentikasi perangkat, yang memungkinkan perangkat diidentifikasi dan divalidasi terhadap kebijakan. Pemeriksaan perangkat gagal jika browser berjalan dalam mode privat atau jika cookie dinonaktifkan.
Catatan
Microsoft Edge 85+ memerlukan pengguna untuk login ke browser agar dapat meneruskan identitas perangkat dengan benar. Jika tidak, ini berfungsi seperti Chrome tanpa ekstensi Microsoft Single Sign-On. Proses masuk ini mungkin tidak terjadi secara otomatis dalam skenario penyambungan perangkat hibrida.
Safari didukung untuk Akses Bersyarat berbasis perangkat pada perangkat terkelola, tetapi tidak dapat memenuhi persyaratan aplikasi klien yang disetujui atau Memerlukan kondisi kebijakan perlindungan aplikasi. Browser terkelola seperti Microsoft Edge memenuhi persyaratan kebijakan perlindungan aplikasi klien dan aplikasi yang disetujui. Di iOS dengan solusi MDM non-Microsoft, hanya browser Microsoft Edge yang mendukung kebijakan perangkat.
Firefox 91+ didukung untuk Akses Bersyarat berbasis perangkat, tetapi "Izinkan akses masuk tunggal Windows untuk akun Microsoft, kerja, dan sekolah" harus diaktifkan.
Chrome 111+ didukung untuk Akses Bersyarkat berbasis perangkat, tetapi "CloudApAuthEnabled" perlu diaktifkan.
Perangkat macOS yang menggunakan plugin SSO Enterprise memerlukan ekstensi Microsoft Single Sign On untuk mendukung SSO dan Akses Bersyarat berbasis perangkat di Google Chrome.
Perangkat macOS yang menggunakan browser Firefox harus menjalankan macOS versi 10.15 atau yang lebih baru dan menginstal plug-in SSO Microsoft Enterprise dan dikonfigurasi dengan tepat.
Mengapa saya melihat permintaan sertifikat di browser
Di perangkat Windows 7, iOS, Android, dan macOS diidentifikasi menggunakan sertifikat klien. Sertifikat ini disediakan ketika perangkat terdaftar. Ketika masuk pertama kali melalui browser, pengguna diminta untuk memilih sertifikat. Pengguna harus memilih sertifikat ini sebelum menggunakan browser.
Dukungan Chrome
Windows
Untuk dukungan Chrome di Windows 10 Creators Update (versi 1703) atau yang lebih baru, instal ekstensi Microsoft Single Sign On atau aktifkan CloudAPAuthEnabled Chrome. Konfigurasi ini diperlukan ketika kebijakan Akses Bersyarat memerlukan detail khusus perangkat untuk platform Windows secara khusus.
Untuk mengaktifkan kebijakan CloudAPAuthEnabled secara otomatis di Chrome, buat kunci registri berikut:
- Jalur:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Nama:
CloudAPAuthEnabled - Nilai:
0x00000001 - JenisProperti:
DWORD
Untuk menyebarkan secara otomatis ekstensi Microsoft Single Sign-On ke browser Chrome, buat kunci registri berikut menggunakan kebijakan ExtensionInstallForcelist di Chrome:
- Jalur:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Nama:
1 - Jenis:
REG_SZ (String) - Data:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Untuk dukungan Chrome di Windows 8.1 dan 7, buat kunci registri berikut:
- Jalur:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Nama:
1 - Jenis:
REG_SZ (String) - Data:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
Perangkat macOS yang menggunakan plugin SSO Enterprise memerlukan ekstensi Microsoft Single Sign On untuk mendukung SSO dan Akses Bersyarat berbasis perangkat di Google Chrome.
Untuk penyebaran berbasis MDM google Chrome dan manajemen ekstensi, lihat Menyiapkan browser Chrome di Mac dan ExtensionInstallForcelist.
Aplikasi seluler dan klien desktop yang didukung
Admin dapat memilih Aplikasi seluler dan klien desktop sebagai aplikasi klien.
Pengaturan ini berpengaruh pada upaya akses yang dilakukan dari aplikasi seluler dan klien desktop berikut:
| Aplikasi klien | Layanan Target | Plattform |
|---|---|---|
| Aplikasi Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS, dan Android |
| Aplikasi Email/Kalender/Sosial, Outlook 2016, Outlook 2013 (dengan autentikasi modern) | Exchange Online | Windows 10 |
| MFA dan kebijakan lokasi untuk aplikasi. Kebijakan berbasis perangkat tidak didukung. | Layanan aplikasi My Apps mana pun | Android dan iOS |
| Layanan Microsoft Teams - aplikasi klien ini mengontrol semua layanan yang mendukung Microsoft Teams dan semua Aplikasi Kliennya - Windows Desktop, iOS, Android, WP, dan klien web | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android, dan macOS |
| Aplikasi Office 2016, Office 2013 (dengan autentikasi modern), Klien sinkronisasi OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Aplikasi Office 2016, aplikasi Universal Office, Office 2013 (dengan autentikasi modern), Klien sinkronisasi OneDrive | SharePoint Online | Windows 10 |
| Office 2016 (hanya Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Kantor 2019 | SharePoint | Windows 10, macOS |
| Aplikasi seluler Office | SharePoint | Android, iOS |
| Aplikasi Office Yammer | Yammer | Windows 10, iOS, Android |
| Prospek 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office untuk macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (dengan autentikasi modern), Skype for Business (dengan autentikasi modern) | Exchange Online | Windows 8.1, Windows 7 |
| Aplikasi seluler Outlook | Exchange Online | Android, iOS |
| Aplikasi Power BI | layanan Power BI | Windows 10, Windows 8.1, Windows 7, Android, dan iOS |
| Skype for Business | Exchange Online | Android, iOS |
| Aplikasi Azure DevOps Services (sebelumnya Visual Studio Team Services, atau VSTS) | Layanan Azure DevOps (sebelumnya Visual Studio Team Services, atau VSTS) | Windows 10, Windows 8.1, Windows 7, iOS, dan Android |
Klien Exchange ActiveSync
- Admin hanya dapat memilih klien Exchange ActiveSync saat menetapkan kebijakan kepada pengguna atau grup. Memilih Semua pengguna, Semua pengguna tamu dan eksternal, atau peran Direktori menyebabkan semua pengguna tunduk pada kebijakan.
- Saat admin membuat kebijakan yang ditetapkan ke klien Exchange ActiveSync, Exchange Online harus menjadi satu-satunya aplikasi cloud yang ditetapkan ke kebijakan.
- Admin dapat mempersempit cakupan kebijakan ini ke platform tertentu menggunakan kondisi platform Perangkat .
Jika kontrol akses yang ditetapkan pada kebijakan menggunakan Memerlukan aplikasi klien yang disetujui, pengguna diarahkan untuk menginstal dan menggunakan klien seluler Outlook. Jika autentikasi Multifaktor, Ketentuan penggunaan, atau kontrol kustom diperlukan, pengguna yang terpengaruh diblokir, karena autentikasi dasar tidak mendukung kontrol ini.
Untuk informasi lebih lanjut, baca artikel berikut:
- Blokir otentikasi lama dengan Akses Bersyarat
- Memerlukan aplikasi klien yang disetujui dengan Akses Bersyarat
Klien lain
Dengan memilih Klien lain, Anda dapat menetapkan ketentuan yang memengaruhi aplikasi yang menggunakan autentikasi dasar dengan protokol mail seperti IMAP, MAPI, POP, SMTP, dan aplikasi Office yang lebih lama yang tidak menggunakan autentikasi modern.
Status perangkat (tidak digunakan lagi)
Kondisi ini disarankan untuk tidak digunakan. Pelanggan harus menggunakan kondisi Filter untuk perangkat dalam kebijakan Akses Bersyarat untuk memenuhi skenario yang sebelumnya dicapai menggunakan kondisi status perangkat.
Penting
Status perangkat dan filter perangkat tidak dapat digunakan bersama-sama dalam kebijakan Akses Bersyarat. Filter untuk perangkat menyediakan penargetan yang lebih terperinci, termasuk dukungan untuk menargetkan informasi status perangkat melalui properti trustType dan isCompliant.
Filter untuk perangkat
Saat admin mengonfigurasi filter untuk perangkat sebagai kondisi, mereka dapat menyertakan atau mengecualikan perangkat berdasarkan filter menggunakan ekspresi aturan pada properti perangkat. Anda dapat menulis ekspresi aturan untuk filter untuk perangkat menggunakan penyusun aturan atau sintaks aturan. Proses ini mirip dengan yang digunakan untuk aturan untuk grup keanggotaan dinamis. Untuk informasi lebih lanjut, lihat Akses Bersyarat: Filter untuk perangkat.
Alur autentikasi (pratayang)
Alur autentikasi mengontrol bagaimana organisasi Anda menggunakan protokol dan pemberian autentikasi dan otorisasi tertentu. Alur ini dapat memberikan pengalaman yang mulus untuk perangkat yang tidak memiliki input lokal, seperti perangkat bersama atau signage digital. Gunakan kontrol ini untuk mengonfigurasi metode transfer seperti alur kode perangkat atau transfer autentikasi.