Akses Bersyarat: Pemberian

Ikhtisar

Dalam kebijakan Akses Bersyarat, seorang admin dapat menggunakan kontrol akses untuk memberikan atau memblokir akses ke sumber daya.

Cuplikan layar kebijakan Akses Bersyarat yang menunjukkan kontrol hibah yang memerlukan autentikasi multifaktor tahan phishing.

Blokir akses

Kontrol untuk memblokir akses mengevaluasi penugasan dan mencegah akses berdasarkan konfigurasi kebijakan Akses Kondisional.

Blokir akses adalah kontrol yang kuat yang membutuhkan aplikasi yang cermat. Kebijakan dengan pernyataan blok dapat menyebabkan efek samping yang tidak diinginkan. Pengujian dan validasi yang tepat sangat penting sebelum mengaktifkan kontrol dalam skala besar. Admin harus menggunakan alat seperti mode hanya-laporan Akses Bersyar dan alat Simulasi Bagaimana Jika di Akses Bersyar saat membuat perubahan.

Memberikan akses

Admin dapat memilih untuk menerapkan satu atau beberapa kontrol saat memberikan akses. Kontrol ini mencakup opsi berikut:

Saat admin memilih untuk menggabungkan opsi ini, mereka dapat menggunakan metode berikut:

  • Memerlukan semua kontrol terpilih (kontrol dan kontrol)
  • Memerlukan salah satu dari kontrol yang dipilih (kontrol atau)

Secara default Akses Bersyarat memerlukan semua kontrol yang dipilih.

Memerlukan autentikasi multifaktor

Dengan mencentang kotak ini, pengguna wajib melakukan autentikasi multifaktor Microsoft Entra. Anda dapat menemukan informasi selengkapnya tentang menyebarkan autentikasi multifaktor Microsoft Entra dalam Merencanakan penyebaran autentikasi multifaktor Microsoft Entra berbasis cloud.

Windows Hello untuk Bisnis memenuhi persyaratan untuk autentikasi multifaktor dalam kebijakan Akses Bersyarat.

Memerlukan kekuatan autentikasi

Admin dapat memilih untuk memerlukan kekuatan autentikasi tertentu dalam kebijakan Akses Bersyarat mereka. Kekuatan autentikasi ini ditentukan dalam pusat admin Microsoft Entra, Entra ID, metode autentikasi, kekuatan autentikasi. Admin dapat memilih untuk membuat sendiri atau menggunakan versi bawaan.

Memerlukan perangkat untuk dinyatakan sesuai standar

Organisasi yang menyebarkan Intune dapat menggunakan informasi yang dikembalikan dari perangkat mereka untuk mengidentifikasi perangkat yang memenuhi persyaratan kepatuhan kebijakan tertentu. Intune mengirimkan informasi kepatuhan ke Microsoft Entra ID sehingga Akses Bersyarat dapat memutuskan untuk memberikan atau memblokir akses ke sumber daya. Untuk informasi selengkapnya tentang kebijakan kepatuhan, lihat Mengatur aturan di perangkat untuk mengizinkan akses ke sumber daya di organisasi Anda dengan menggunakan Intune.

Perangkat dapat ditandai sebagai sesuai dengan Intune untuk sistem operasi perangkat apa pun atau oleh sistem manajemen perangkat seluler non-Microsoft untuk perangkat Windows. Anda dapat menemukan daftar sistem manajemen perangkat seluler non-Microsoft yang didukung di Mendukung mitra kepatuhan perangkat non-Microsoft di Intune.

Perangkat harus terdaftar di Microsoft Entra ID sebelum dapat ditandai sebagai sesuai. Anda dapat menemukan informasi selengkapnya tentang pendaftaran perangkat di Apa itu identitas perangkat?.

Persyaratan agar perangkat ditandai sebagai patuh

  • Hanya mendukung perangkat Windows 10+, iOS, Android, macOS, dan Linux Ubuntu yang terdaftar di MICROSOFT Entra ID dan terdaftar di Intune.
  • Microsoft Edge dalam mode InPrivate di Windows dianggap sebagai perangkat yang tidak patuh.

Catatan

Di Windows, iOS, Android, macOS, dan beberapa browser web non-Microsoft, MICROSOFT Entra ID mengidentifikasi perangkat dengan menggunakan sertifikat klien yang disediakan saat perangkat terdaftar dengan ID Microsoft Entra. Saat pengguna pertama kali masuk melalui browser, pengguna akan diminta untuk memilih sertifikat. Pengguna akhir harus memilih sertifikat ini sebelum mereka bisa melanjutkan menggunakan browser.

Anda dapat menggunakan aplikasi Microsoft Defender untuk Endpoint bersama kebijakan aplikasi klien yang disetujui di Intune untuk menetapkan kebijakan kepatuhan perangkat menjadi kebijakan Akses Bersyarat. Tidak ada pengecualian yang diperlukan untuk aplikasi Microsoft Defender untuk Endpoint saat menyiapkan Akses Bersyarat. Meskipun Microsoft Defender for Endpoint di Android dan iOS (ID Aplikasi dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) bukan merupakan aplikasi yang disetujui, aplikasi ini diizinkan melaporkan status keamanan perangkat. Izin ini memungkinkan alur informasi kepatuhan ke Akses Bersyarat.

Demikian pula, perangkat harus ditandai sebagai patuh tidak memblokir akses aplikasi Microsoft Authenticator ke UserAuthenticationMethod.Read cakupan. Authenticator memerlukan akses ke cakupan UserAuthenticationMethod.Read selama pendaftaran Authenticator untuk menentukan kredensial mana yang dapat dikonfigurasi pengguna. Authenticator memerlukan akses ke UserAuthenticationMethod.ReadWrite untuk mendaftarkan kredensial, yang tidak mengabaikan pemeriksaan Wajibkan perangkat ditandai sebagai sesuai.

Memerlukan perangkat gabungan hibrid Microsoft Entra

Organisasi dapat memilih untuk menggunakan identitas perangkat sebagai bagian dari kebijakan Akses Bersyarat mereka. Organisasi dapat mengharuskan perangkat tergabung secara hibrida dengan Microsoft Entra dengan menggunakan kotak pilihan ini. Untuk informasi selengkapnya tentang identitas perangkat, lihat Apa itu identitas perangkat?.

Saat Anda menggunakan alur OAuth dengan kode perangkat, kendali hak akses yang diperlukan untuk perangkat terkelola atau kondisi status perangkat tidak tersedia. Ini karena perangkat yang melakukan autentikasi tidak dapat memberikan status perangkatnya ke perangkat yang menyediakan kode. Selain itu, status perangkat dalam token dikunci ke perangkat yang melakukan autentikasi. Gunakan kontrol Memerlukan autentikasi multifaktor sebagai gantinya.

Memerlukan kontrol perangkat gabungan hibrid Microsoft Entra :

  • Hanya mendukung perangkat tingkat bawah Windows yang bergabung dengan domain (sebelum Windows 10) dan Windows saat ini (Windows 10+).
  • Tidak menganggap Microsoft Edge dalam mode InPrivate sebagai perangkat yang bergabung secara hibrida dengan Microsoft Entra.

Memerlukan aplikasi klien yang disetujui

Organisasi dapat mengharuskan aplikasi klien yang disetujui digunakan untuk mengakses aplikasi cloud yang dipilih. Aplikasi klien yang disetujui ini mendukung kebijakan perlindungan aplikasi Intune yang independen dari solusi manajemen perangkat seluler apa pun.

Peringatan

Pemberian aplikasi klien yang disetujui akan dihentikan pada awal Maret 2026. Organisasi harus mengalihkan semua kebijakan Akses Bersyarat saat ini yang hanya menggunakan persyaratan 'Memerlukan Aplikasi Klien yang Disetujui' ke kebijakan 'Memerlukan Aplikasi Klien yang Disetujui atau Kebijakan Perlindungan Aplikasi' pada Maret 2026. Selain itu, untuk kebijakan Akses Bersyarat baru, hanya terapkan pemberian kebijakan Memerlukan perlindungan aplikasi. Untuk informasi selengkapnya, lihat artikel Memigrasikan aplikasi klien yang disetujui ke kebijakan perlindungan aplikasi di Akses Bersyar.

Untuk menerapkan kontrol hibah ini, perangkat harus terdaftar di ID Microsoft Entra, yang memerlukan penggunaan aplikasi broker. Aplikasi broker dapat menjadi Microsoft Authenticator untuk iOS, atau portal Microsoft Authenticator atau Microsoft Company Portal untuk perangkat Android. Jika aplikasi broker tidak dipasang pada perangkat ketika pengguna mencoba mengautentikasi, pengguna akan diarahkan ke app store yang sesuai untuk memasang aplikasi broker yang diperlukan.

Aplikasi klien berikut mendukung pengaturan ini. Daftar ini tidak lengkap dan dapat berubah:

  • Microsoft Azure Information Protection
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Penagihan Microsoft
  • Microsoft Kaizala
  • Peluncur Microsoft
  • Daftar Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Aplikasi Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype untuk Bisnis
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Microsoft 365 Admin

Keterangan

  • Aplikasi klien yang disetujui mendukung fitur manajemen aplikasi seluler Intune.
  • Persyaratan Memerlukan aplikasi klien yang disetujui:
    • Hanya mendukung iOS dan Android untuk kondisi platform perangkat.
    • Memerlukan aplikasi broker untuk mendaftarkan perangkat. Aplikasi broker dapat menjadi Microsoft Authenticator untuk iOS, atau portal Microsoft Authenticator atau Microsoft Company Portal untuk perangkat Android.
  • Akses Bersyarat tidak dapat mempertimbangkan Microsoft Edge dalam mode InPrivate sebagai aplikasi klien yang disetujui.
  • Kebijakan Akses Bersyarat yang mengharuskan Microsoft Power BI sebagai aplikasi klien yang disetujui tidak mendukung penggunaan proksi aplikasi Microsoft Entra untuk menyambungkan aplikasi seluler Power BI ke Server Laporan Power BI lokal.
  • WebView yang dihosting di luar Microsoft Edge tidak memenuhi kebijakan aplikasi klien yang disetujui. Misalnya: Jika aplikasi mencoba memuat SharePoint dalam tampilan web, kebijakan perlindungan aplikasi gagal.

Lihat Memerlukan aplikasi klien yang disetujui untuk akses aplikasi cloud dengan Akses Bersyarat untuk contoh konfigurasi.

Memerlukan kebijakan perlindungan aplikasi

Dalam kebijakan Akses Bersyarat, Anda dapat mengharuskan kebijakan perlindungan aplikasi Intune ada di aplikasi klien sebelum akses tersedia untuk aplikasi yang dipilih. Kebijakan perlindungan aplikasi manajemen aplikasi seluler (MAM) ini memungkinkan Anda mengelola dan melindungi data organisasi Anda dalam aplikasi tertentu.

Untuk menerapkan kontrol pemberian ini, Akses Bersyarat mengharuskan perangkat terdaftar di ID Microsoft Entra, yang memerlukan penggunaan aplikasi broker. Aplikasi broker dapat berupa Microsoft Authenticator untuk iOS, atau portal Microsoft Company Portal untuk perangkat Android. Jika aplikasi broker tidak dipasang pada perangkat ketika pengguna mencoba untuk mengautentikasi, pengguna akan diarahkan ke app store untuk memasang aplikasi broker. Aplikasi Microsoft Authenticator dapat digunakan sebagai aplikasi broker tetapi tidak mendukung penargetan sebagai aplikasi klien yang disetujui. Kebijakan perlindungan aplikasi umumnya tersedia untuk iOS dan Android, dan dalam pratinjau publik untuk Microsoft Edge di Windows. Perangkat Windows mendukung tidak lebih dari tiga akun pengguna Microsoft Entra dalam sesi yang sama. Untuk informasi selengkapnya tentang cara menerapkan kebijakan ke perangkat Windows, lihat artikel Memerlukan kebijakan perlindungan aplikasi di perangkat Windows (pratinjau).

Aplikasi harus memenuhi persyaratan tertentu untuk mendukung kebijakan perlindungan aplikasi. Pengembang dapat menemukan informasi selengkapnya tentang persyaratan ini di bagian Aplikasi yang dapat Anda kelola dengan kebijakan perlindungan aplikasi.

Aplikasi klien berikut mendukung pengaturan ini. Daftar ini tidak lengkap dan dapat berubah. Jika aplikasi Anda tidak ada dalam daftar, tanyakan kepada vendor aplikasi untuk mengonfirmasi dukungan:

  • Aplikasi seluler Adobe Acrobat Reader
  • iAnnotate untuk Office 365
  • Microsoft Cortana
  • Microsoft Dynamics 365 untuk Telepon
  • Microsoft Dynamics 365 Sales
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Launcher
  • Daftar Microsoft
  • Microsoft Loop
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream Mobile Native 2.0
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • Layanan Microsoft Whiteboard
  • MultiLine untuk Intune
  • Nine Mail - Email dan Kalender
  • Notasi untuk Intune
  • Provectus - Kontak Aman
  • Viva Engage (Android, iOS, dan iPadOS)
  • Aplikasi Windows (Android, iOS/iPadOS, dan Microsoft Edge di Windows)

Catatan

Kaizala, Skype for Business, dan Visio tidak mendukung penerapan Kebijakan Memerlukan Perlindungan Aplikasi. Jika Anda mengharuskan aplikasi ini berfungsi, gunakan izin Memerlukan aplikasi yang disetujui secara eksklusif. Menggunakan klausul "atau" antara dua pemberian tidak akan berfungsi untuk ketiga aplikasi ini.

Lihat Memerlukan kebijakan perlindungan aplikasi dan aplikasi klien yang disetujui untuk akses aplikasi cloud dengan Akses Bersyarat untuk contoh konfigurasi.

Perlu perubahan kata sandi

Ketika risiko pengguna terdeteksi, admin dapat menggunakan kondisi kebijakan risiko pengguna agar pengguna mengubah kata sandi dengan aman menggunakan pengaturan ulang kata sandi mandiri Microsoft Entra. Pengguna dapat melakukan reset kata sandi mandiri untuk memulihkan diri. Proses ini menutup peristiwa risiko pengguna untuk mencegah pemberitahuan yang tidak perlu bagi admin.

Ketika pengguna diminta untuk mengubah kata sandi, mereka terlebih dahulu diperlukan untuk menyelesaikan autentikasi multifaktor. Pastikan semua pengguna mendaftar untuk autentikasi multifaktor, sehingga mereka siap jika risiko terdeteksi untuk akun mereka.

Peringatan

Pengguna sebelumnya harus mendaftar untuk autentikasi multifaktor sebelum memicu kebijakan risiko pengguna.

Pembatasan berikut berlaku saat Anda mengonfigurasi kebijakan dengan menggunakan kontrol perubahan kata sandi:

  • Kebijakan harus ditetapkan ke Semua sumber daya. Persyaratan ini mencegah penyerang menggunakan aplikasi lain untuk mengubah kata sandi pengguna dan mengatur ulang risiko akun mereka dengan masuk ke aplikasi lain.
  • Memerlukan perubahan kata sandi tidak dapat digunakan dengan kontrol lain, seperti memerlukan perangkat yang sesuai.
  • Kontrol perubahan kata sandi hanya dapat digunakan dengan kondisi penetapan pengguna dan grup, kondisi penetapan aplikasi cloud (yang harus diatur ke semua) dan kondisi risiko pengguna.

Memerlukan penyelesaian risiko

Ketika risiko pengguna terdeteksi, pengguna dapat memulihkan diri dengan menyelesaikan alur remediasi yang sesuai, terlepas dari metode autentikasi mereka. Kebijakan remediasi yang dikelola oleh Microsoft di Akses Bersyarat mengakomodasi semua metode autentikasi, termasuk metode berbasis kata sandi dan metode tanpa kata sandi. Untuk informasi selengkapnya, lihat Memerlukan kontrol remediasi risiko.

Saat Anda memilih Perlu remediasi risiko sebagai kontrol pemberian, pengaturan berikut secara otomatis diterapkan ke kebijakan:

  • Memerlukan kekuatan autentikasi
  • Frekuensi masuk - Setiap saat

Ketika pengguna diharuskan untuk mengatasi risiko dengan memilih kontrol ini, mereka diminta untuk segera masuk setelah akses sesi mereka dicabut. Memilih kontrol pemberian ini berarti jika pengguna baru saja masuk tetapi mereka berisiko, mereka akan diminta untuk masuk lagi. Risiko diperbaiki setelah pengguna berhasil masuk untuk kedua kalinya.

Ketentuan penggunaan

Jika organisasi Anda membuat ketentuan penggunaan, opsi lain mungkin terlihat di bawah kontrol pemberian. Opsi ini memungkinkan admin untuk memerlukan pengakuan ketentuan penggunaan sebagai syarat mengakses sumber daya yang dilindungi kebijakan. Anda dapat menemukan informasi selengkapnya tentang ketentuan penggunaan dalam ketentuan penggunaan Microsoft Entra.

Kontrol pemberian hibah yang beragam

Saat beberapa kontrol pemberian berlaku untuk pengguna, pahami bahwa kebijakan Akses Kondisional mengikuti urutan validasi tertentu berdasarkan desain. Misalnya, jika pengguna memiliki dua kebijakan yang memerlukan autentikasi multifaktor (MFA) dan Ketentuan Penggunaan (ToU), Akses Bersyarat memvalidasi klaim MFA pengguna terlebih dahulu, maka ToU.

  • Jika klaim MFA yang valid tidak ada dalam token, Anda akan melihat "interupsi" (MFA tertunda) dan kegagalan untuk Persyaratan Layanan (ToU) dalam log, bahkan jika Persyaratan Layanan telah diterima pada saat masuk sebelumnya.
  • Setelah menyelesaikan autentikasi multifaktor, entri log kedua muncul, memvalidasi ToU. Jika pengguna sudah menerima Ketentuan Penggunaan, Anda akan melihat keberhasilan untuk Otentikasi Multi-Faktor dan Ketentuan Penggunaan.
  • Jika terdapat klaim MFA yang valid dalam token, satu log akan menunjukkan keberhasilan untuk MFA dan Ketentuan Penggunaan (ToU).

Jika beberapa kebijakan diterapkan ke pengguna yang memerlukan MFA, Status Perangkat, dan ToU, prosesnya serupa. Urutan validasi adalah MFA, Status Perangkat, lalu ToU.

Kontrol kustom (pratinjau)

Kontrol khusus adalah kapabilitas pratinjau dari Microsoft Entra ID. Menggunakan kontrol kustom mengalihkan pengguna Anda ke layanan yang kompatibel untuk memenuhi persyaratan autentikasi yang terpisah dari ID Microsoft Entra. Untuk informasi selengkapnya, lihat artikel Kontrol kustom .

Langkah berikutnya

  • Last updated on