Memerlukan kepatuhan perangkat terhadap Akses Bersyarat

Ikhtisar

Microsoft Intune dan Microsoft Entra bekerja sama untuk mengamankan organisasi Anda melalui kebijakan kepatuhan perangkat dan Akses Bersyarat. Kebijakan kepatuhan perangkat memastikan perangkat pengguna memenuhi persyaratan konfigurasi minimum. Ketentuan dapat diterapkan saat pengguna mengakses layanan yang dilindungi dengan kebijakan Akses Bersyarat.

Beberapa organisasi mungkin tidak siap untuk mewajibkan kepatuhan perangkat untuk semua pengguna. Organisasi ini mungkin memilih untuk menyebarkan kebijakan berikut:

• Memerlukan perangkat yang patuh atau perangkat yang tergabung dengan hibrida Microsoft Entra untuk administrator
• Persyaratkan perangkat yang sesuai, perangkat Microsoft Entra gabungan hibrid, autentikasi multifaktor, ATAU untuk semua pengguna
• Memblokir platform perangkat yang tidak diketahui atau tidak didukung
• Menonaktifkan persistensi browser

Pengecualian pengguna

Kebijakan Akses Bersyarat adalah alat yang kuat. Sebaiknya kecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun "pecah kaca" (break-glass) untuk mencegah penguncian akibat kesalahan dalam konfigurasi kebijakan. Dalam skenario yang tidak mungkin di mana semua administrator dikunci, akun administratif akses darurat Anda dapat digunakan untuk masuk dan memulihkan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Kelola akun akses darurat di Microsoft Entra ID.
• akun Service dan prinsipal Service, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun noninteraktif yang tidak terkait dengan pengguna tertentu. Mereka biasanya digunakan oleh layanan backend untuk memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem untuk tujuan administratif. Panggilan yang dilakukan oleh prinsipal layanan tidak diblokir oleh kebijakan Akses Bersyarat yang diterapkan kepada pengguna. Gunakan Akses Kondisional untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan prinsipal layanan.
  • Jika organisasi Anda menggunakan akun ini dalam skrip atau kode, ganti dengan identitas terkelola.

Penyebaran templat

Organisasi dapat menyebarkan kebijakan ini dengan mengikuti langkah-langkah yang diuraikan di bawah ini atau dengan menggunakan templat Akses Bersyar.

Membuat kebijakan Akses Bersyarat

Langkah-langkah berikut membantu membuat kebijakan Akses Bersyarat untuk mengharuskan perangkat yang mengakses sumber daya ditandai sebagai sesuai dengan kebijakan kepatuhan Intune organisasi Anda.

Peringatan

Tanpa kebijakan kepatuhan yang dibuat di Microsoft Intune, kebijakan Conditional Access ini tidak akan berfungsi seperti yang dimaksudkan. Buat kebijakan kepatuhan terlebih dahulu dan pastikan Anda memiliki setidaknya satu perangkat yang sesuai sebelum melanjutkan.

1. Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Akses Bersyarat.
2. Jelajahi Entra ID>Akses Bersyarat>Kebijakan.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Buat standar yang bermakna untuk nama kebijakan Anda.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Pada Sertakan, pilih Semua pengguna
   2. Di bawah Kecualikan:
      1. Pilih Pengguna dan grup
         1. Pilih akun akses darurat atau akun 'pecah kaca' organisasi Anda.
         2. Jika Anda menggunakan solusi identitas hibrid seperti Microsoft Entra Connect atau Microsoft Entra Connect Cloud Sync, pilih Peran Direktori, lalu pilih Akun Sinkronisasi Direktori
6. Di bawah Sumber Daya target>Sumber Daya (sebelumnya aplikasi cloud)>Sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
7. Pada Kontrol akses>Pemberian Izin.
   1. Pilih Memerlukan perangkat ditandai sebagai mematuhi.
   2. Pilih Pilih.
8. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
9. Pilih Buat untuk mengaktifkan kebijakan Anda.

Setelah mengonfirmasi pengaturan Anda menggunakan dampak kebijakan atau mode khusus laporan, pindahkan tombol Aktifkan kebijakan dari Hanya Laporan ke Aktif.

Catatan

Anda dapat mendaftarkan perangkat baru ke Intune bahkan jika Anda memilih Mengharuskan perangkat ditandai sebagai memenuhi syarat untuk Semua pengguna dan Semua sumber daya (sebelumnya 'Semua aplikasi cloud') menggunakan langkah-langkah sebelumnya. Kontrol yang mengharuskan perangkat ditandai sebagai sesuai tidak memblokir pendaftaran Intune.

Demikian pula, perangkat Require yang akan ditandai sebagai patuh tidak memblokir akses aplikasi Microsoft Authenticator ke cakupan UserAuthenticationMethod.Read. Authenticator memerlukan akses ke lingkup UserAuthenticationMethod.Read selama pendaftaran Authenticator untuk menentukan kredensial mana yang dapat dikonfigurasi pengguna. Authenticator memerlukan akses ke UserAuthenticationMethod.ReadWrite untuk mendaftarkan kredensial, yang tidak melewati pengecekan memerlukan perangkat untuk ditandai sebagai patuh.

Perilaku yang diketahui

Di iOS, Android, macOS, dan beberapa browser web non-Microsoft, Microsoft Entra ID mengidentifikasi perangkat menggunakan sertifikat klien yang disediakan saat perangkat terdaftar di Microsoft Entra ID. Ketika masuk pertama kali melalui browser, pengguna diminta untuk memilih sertifikat. Pengguna akhir harus memilih sertifikat ini sebelum mereka bisa melanjutkan menggunakan browser.

Skenario B2B

Untuk organisasi yang memiliki hubungan dan kepercayaan dengan mereka, Anda bisa mempercayai klaim kepatuhan perangkat mereka. Untuk mengonfigurasi pengaturan ini, lihat artikel Mengelola pengaturan akses lintas penyewa untuk kolaborasi B2B.

Aktivasi langganan

Organisasi yang menggunakan fitur Aktivasi Langganan untuk memungkinkan pengguna "meningkatkan" dari satu versi Windows ke versi lainnya, mungkin ingin mengecualikan Windows Store for Business, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f dari kebijakan kepatuhan perangkat mereka.

Konten terkait

• Pelajari cara buat kebijakan kepatuhan di Microsoft Intune.
• Pelajari tentang kontrol grant Akses Bersyarat.
• Pelajari cara mengonfigurasi pengaturan akses lintas penyewa.