Vanlige sikkerhetspolicyer for Microsoft 365-organisasjoner
Organisasjoner har mye å bekymre seg for når de distribuerer Microsoft 365 for organisasjonen. Policyene for betinget tilgang, appbeskyttelse og enhetssamsvar som det refereres til i denne artikkelen, er basert på Microsofts anbefalinger og de tre veiledende prinsippene for nulltillit:
- Bekreft eksplisitt
- Bruk minst mulig tilgang
- Anta brudd
Organisasjoner kan ta disse policyene som de er, eller tilpasse dem etter behov. Hvis det er mulig, kan du teste policyene dine i et miljø som ikke er i produksjon, før de rulles ut til produksjonsbrukerne. Testing er avgjørende for å identifisere og formidle eventuelle effekter til brukerne.
Vi grupperer disse policyene i tre beskyttelsesnivåer basert på hvor du er på distribusjonsreisen:
- Utgangspunkt – Grunnleggende kontroller som innfører godkjenning med flere faktorer, sikre passordendringer og policyer for appbeskyttelse.
- Enterprise – forbedrede kontroller som introduserer enhetssamsvar.
- Spesialisert sikkerhet – policyer som krever godkjenning med flere faktorer hver gang for bestemte datasett eller brukere.
Diagrammet nedenfor viser hvilket beskyttelsesnivå hver policy gjelder for, og om policyene gjelder for PC-er, telefoner og nettbrett, eller begge kategorier av enheter.
Du kan laste ned dette diagrammet som en PDF-fil .
Tips
Det anbefales å kreve bruk av godkjenning med flere faktorer (MFA) før du registrerer enheter i Intune for å sikre at enheten er i besittelse av den tiltenkte brukeren. Du må registrere enheter i Intune før du kan håndheve policyer for enhetssamsvar.
Forutsetninger
Tillatelser
- Brukere som skal behandle policyer for betinget tilgang, må kunne logge på Azure Portal som administrator for betinget tilgang, sikkerhetsadministrator eller global administrator.
- Brukere som skal administrere appbeskyttelse og policyer for enhetssamsvar, må kunne logge på Intune som en Intune-administrator eller global administrator.
- Brukere som bare trenger å vise konfigurasjoner, kan tilordnes rollene sikkerhetsleser eller global leser .
Hvis du vil ha mer informasjon om roller og tillatelser, kan du se artikkelen Microsoft Entra innebygde roller.
Brukerregistrering
Sørg for at brukerne registrerer seg for godkjenning med flere faktorer før de må bruke dem. Hvis du har lisenser som inkluderer Microsoft Entra ID P2, kan du bruke MFA-registreringspolicyen i Microsoft Entra ID-beskyttelse til å kreve at brukerne registrerer seg. Vi tilbyr kommunikasjonsmaler, du kan laste ned og tilpasse, for å heve registreringen.
Grupper
Alle Microsoft Entra grupper som brukes som en del av disse anbefalingene, må opprettes som en Microsoft 365-gruppe, ikke en sikkerhetsgruppe. Dette kravet er viktig for distribusjon av følsomhetsetiketter ved sikring av dokumenter i Microsoft Teams og SharePoint senere. Hvis du vil ha mer informasjon, kan du se artikkelen Lær om grupper og tilgangsrettigheter i Microsoft Entra ID
Tilordne policyer
Policyer for betinget tilgang kan tilordnes til brukere, grupper og administratorroller. Intune appbeskyttelse og policyer for enhetssamsvar kan bare tilordnes til grupper. Før du konfigurerer policyene, bør du identifisere hvem som skal inkluderes og utelates. Vanligvis gjelder policyer for beskyttelsesnivå på startpunkt for alle i organisasjonen.
Her er et eksempel på gruppetilordning og utelukkelser for å kreve MFA etter at brukerne har fullført brukerregistreringen.
| Microsoft Entra policy for betinget tilgang | Inkluderer | Utelate | |
|---|---|---|---|
| Utgangspunkt | Krev godkjenning med flere faktorer for middels eller høy påloggingsrisiko | Alle brukere |
|
| Enterprise | Krev godkjenning med flere faktorer for lav, middels eller høy påloggingsrisiko | Personalgruppe for ledere |
|
| Spesialisert sikkerhet | Krev alltid godkjenning med flere faktorer | Topphemmelig Prosjekt Buckeye gruppe |
|
Vær forsiktig når du bruker høyere beskyttelsesnivåer for grupper og brukere. Målet med sikkerhet er ikke å legge til unødvendig friksjon i brukeropplevelsen. Medlemmer av Top Secret Project Buckeye-gruppen vil for eksempel bli pålagt å bruke MFA hver gang de logger på, selv om de ikke jobber med det spesialiserte sikkerhetsinnholdet for prosjektet. Overdreven sikkerhetsfriksjon kan føre til tretthet.
Du kan vurdere å aktivere godkjenningsmetoder uten passord, for eksempel Windows Hello for bedrifter eller FIDO2-sikkerhetsnøkler for å redusere noe friksjon som opprettes av visse sikkerhetskontroller.
Nødtilgangskontoer
Alle organisasjoner bør ha minst én nødtilgangskonto som overvåkes for bruk og utelukkes fra policyer. Disse kontoene brukes bare i tilfelle alle andre administratorkontoer og godkjenningsmetoder blir låst ute eller på annen måte utilgjengelig. Du finner mer informasjon i artikkelen Administrere kontoer for nødtilgang i Microsoft Entra ID.
Utelatelser
En anbefalt fremgangsmåte er å opprette en Microsoft Entra gruppe for utelukkelser av betinget tilgang. Denne gruppen gir deg et middel til å gi tilgang til en bruker mens du feilsøker tilgangsproblemer.
Advarsel
Denne gruppen anbefales bare for bruk som midlertidig løsning. Overvåk og overvåk denne gruppen kontinuerlig for endringer, og kontroller at utelatelsesgruppen bare brukes som tiltenkt.
Slik legger du til denne utelatelsesgruppen i eksisterende policyer:
- Logg på Azure Portal som administrator for betinget tilgang, sikkerhetsadministrator eller global administrator.
- Bla til Microsoft Entra ID>Sikkerhet>betinget tilgang.
- Velg en eksisterende policy.
- Velg Brukere eller arbeidsbelastningsidentiteter under Oppgaver.
- Velg Brukere og grupper under Utelat, og velg organisasjonens nødtilgang eller stoppglasskontoer og utelatelsesgruppe for betinget tilgang.
Distribusjon
Vi anbefaler at du implementerer startpunktpolicyene i rekkefølgen som er oppført i denne tabellen. MFA-policyene for virksomheter og spesialiserte sikkerhetsnivåer kan imidlertid implementeres når som helst.
Utgangspunkt
| Policy | Mer informasjon | Lisenser |
|---|---|---|
| Krev MFA når påloggingsrisikoen er middels eller høy | Bruk risikodata fra Microsoft Entra ID-beskyttelse til å kreve MFA bare når risikoen oppdages | Microsoft 365 E5 eller Microsoft 365 E3 med E5 Security-tillegget |
| Blokkere klienter som ikke støtter moderne godkjenning | Klienter som ikke bruker moderne godkjenning, kan omgå policyer for betinget tilgang, så det er viktig å blokkere dem. | Microsoft 365 E3 eller E5 |
| Brukere med høy risiko må endre passord | Tvinger brukere til å endre passordet når de logger på hvis det oppdages høyrisikoaktivitet for kontoen sin. | Microsoft 365 E5 eller Microsoft 365 E3 med E5 Security-tillegget |
| Bruk policyer for programbeskyttelse for databeskyttelse | Én Intune appbeskyttelsespolicy per plattform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 eller E5 |
| Krev godkjente apper og policyer for appbeskyttelse | Håndhever beskyttelsespolicyer for mobilapper for telefoner og nettbrett ved hjelp av iOS, iPadOS eller Android. | Microsoft 365 E3 eller E5 |
Enterprise
| Policy | Mer informasjon | Lisenser |
|---|---|---|
| Krev MFA når påloggingsrisikoen er lav, middels eller høy | Bruk risikodata fra Microsoft Entra ID-beskyttelse til å kreve MFA bare når risikoen oppdages | Microsoft 365 E5 eller Microsoft 365 E3 med E5 Security-tillegget |
| Definer policyer for enhetssamsvar | Angi minimumskrav for konfigurasjon. Én policy for hver plattform. | Microsoft 365 E3 eller E5 |
| Krev kompatible PC-er og mobile enheter | Håndhever konfigurasjonskravene for enheter som har tilgang til organisasjonen | Microsoft 365 E3 eller E5 |
Spesialisert sikkerhet
| Policy | Mer informasjon | Lisenser |
|---|---|---|
| Krev alltid MFA | Brukere må utføre MFA når de logger seg på organisasjonens tjenester | Microsoft 365 E3 eller E5 |
Appbeskyttelse policyer
Appbeskyttelse policyer definerer hvilke apper som er tillatt, og handlingene de kan utføre med organisasjonens data. Det finnes mange tilgjengelige valg, og det kan være forvirrende for noen. Følgende opprinnelige planer er Microsofts anbefalte konfigurasjoner som kan skreddersys etter dine behov. Vi tilbyr tre maler å følge, men tror de fleste organisasjoner vil velge nivå 2 og 3.
Nivå 2 tilordnes til det vi anser som utgangspunkt eller sikkerhet på foretaksnivå , nivå 3 tilordnes spesialisert sikkerhet.
Grunnleggende databeskyttelse på nivå 1 – Microsoft anbefaler denne konfigurasjonen som minimum konfigurasjon av databeskyttelse for en bedriftsenhet.
Forbedret databeskyttelse på nivå 2 – Microsoft anbefaler denne konfigurasjonen for enheter der brukere får tilgang til sensitiv eller konfidensiell informasjon. Denne konfigurasjonen gjelder for de fleste mobile brukere som har tilgang til jobb- eller skoledata. Noen av kontrollene kan påvirke brukeropplevelsen.
Høy databeskyttelse på nivå 3 – Microsoft anbefaler denne konfigurasjonen for enheter som drives av en organisasjon med et større eller mer sofistikert sikkerhetsteam, eller for bestemte brukere eller grupper som har en unik høy risiko (brukere som håndterer svært sensitive data der uautorisert fremlegging forårsaker betydelig materialtap for organisasjonen). En organisasjon som sannsynligvis vil bli målrettet av godt finansierte og sofistikerte motstandere, bør strebe etter denne konfigurasjonen.
Opprett appbeskyttelsespolicyer
Opprett en ny policy for appbeskyttelse for hver plattform (iOS og Android) i Microsoft Intune ved hjelp av innstillingene for rammeverk for databeskyttelse ved å:
- Opprett policyene manuelt ved å følge trinnene i Slik oppretter og distribuerer du policyer for appbeskyttelse med Microsoft Intune.
- Importer eksempelmalene Intune App Protection Policy Configuration Framework JSON med PowerShell-skript for Intune.
Policyer for enhetssamsvar
Intune policyer for enhetssamsvar definerer kravene som enhetene må oppfylle for å kunne fastsettes som kompatible.
Du må opprette en policy for hver PC, telefon eller nettbrettplattform. Denne artikkelen dekker anbefalinger for følgende plattformer:
Opprett policyer for enhetssamsvar
Hvis du vil opprette policyer for enhetssamsvar, loggerdu på administrasjonssenteret for Microsoft Intune og navigerer tilpolicyer forsamsvarspolicyer> for enheter>. Velg Opprett policy.
Hvis du vil ha trinnvis veiledning om hvordan du oppretter samsvarspolicyer i Intune, kan du se Opprett en samsvarspolicy i Microsoft Intune.
Innstillinger for registrering og samsvar for iOS/iPadOS
iOS/iPadOS støtter flere registreringsscenarioer, hvorav to dekkes som en del av dette rammeverket:
- Enhetsregistrering for personlig eide enheter – disse enhetene eies personlig og brukes til både arbeid og personlig bruk.
- Automatisert enhetsregistrering for bedriftseide enheter – disse enhetene er bedriftseide, knyttet til én enkelt bruker, og brukes utelukkende til arbeid og ikke personlig bruk.
Bruk prinsippene som er beskrevet i nulltillit identitets- og enhetstilgangskonfigurasjoner:
- Utgangspunktet og beskyttelsesnivåene for virksomheter tilordnes tett med de forbedrede sikkerhetsinnstillingene på nivå 2.
- Det spesialiserte sikkerhetsbeskyttelsesnivået kartlegger nøye sikkerhetsinnstillingene på nivå 3.
Samsvarsinnstillinger for personlig registrerte enheter
- Personlig grunnleggende sikkerhet (nivå 1) – Microsoft anbefaler denne konfigurasjonen som den minste sikkerhetskonfigurasjonen for personlige enheter der brukere får tilgang til jobb- eller skoledata. Denne konfigurasjonen utføres ved å fremtvinge passordpolicyer, egenskaper for enhetslås og deaktivere bestemte enhetsfunksjoner, for eksempel ikke-klarerte sertifikater.
- Personlig forbedret sikkerhet (nivå 2) – Microsoft anbefaler denne konfigurasjonen for enheter der brukere får tilgang til sensitiv eller konfidensiell informasjon. Denne konfigurasjonen aktiverer datadelingskontroller. Denne konfigurasjonen gjelder for de fleste mobile brukere som har tilgang til jobb- eller skoledata på en enhet.
- Personlig høy sikkerhet (nivå 3) – Microsoft anbefaler denne konfigurasjonen for enheter som brukes av bestemte brukere eller grupper som er unikt høy risiko (brukere som håndterer svært sensitive data der uautorisert offentliggjøring forårsaker betydelig materialtap for organisasjonen). Denne konfigurasjonen aktiverer sterkere passordpolicyer, deaktiverer visse enhetsfunksjoner og håndhever ekstra begrensninger for dataoverføring.
Samsvarsinnstillinger for automatisk enhetsregistrering
- Overvåket grunnleggende sikkerhet (nivå 1) – Microsoft anbefaler denne konfigurasjonen som minimum sikkerhetskonfigurasjon for overvåkede enheter der brukere får tilgang til jobb- eller skoledata. Denne konfigurasjonen utføres ved å fremtvinge passordpolicyer, egenskaper for enhetslås og deaktivere bestemte enhetsfunksjoner, for eksempel ikke-klarerte sertifikater.
- Overvåket forbedret sikkerhet (nivå 2) – Microsoft anbefaler denne konfigurasjonen for enheter der brukere får tilgang til sensitiv eller konfidensiell informasjon. Denne konfigurasjonen aktiverer datadelingskontroller og blokkerer tilgang til USB-enheter. Denne konfigurasjonen gjelder for de fleste mobile brukere som har tilgang til jobb- eller skoledata på en enhet.
- Overvåket høy sikkerhet (nivå 3) – Microsoft anbefaler denne konfigurasjonen for enheter som brukes av bestemte brukere eller grupper som er unikt høy risiko (brukere som håndterer svært sensitive data der uautorisert offentliggjøring forårsaker betydelig materialtap for organisasjonen). Denne konfigurasjonen vedtar sterkere passordpolicyer, deaktiverer visse enhetsfunksjoner, håndhever ekstra begrensninger for dataoverføring og krever at apper installeres gjennom Apples volumkjøpsprogram.
Innstillinger for registrering og samsvar for Android
Android Enterprise støtter flere registreringsscenarioer, hvorav to dekkes som en del av dette rammeverket:
- Android Enterprise-arbeidsprofil – denne registreringsmodellen brukes vanligvis for personlig eide enheter, der IT ønsker å gi en klar fordelingsgrense mellom arbeid og personlige data. Policyer kontrollert av IT sikrer at arbeidsdataene ikke kan overføres til den personlige profilen.
- Android Enterprise fullstendig administrerte enheter – disse enhetene er bedriftseide, knyttet til én enkelt bruker, og brukes utelukkende til arbeid og ikke personlig bruk.
Sikkerhetskonfigurasjonsrammeverket for Android Enterprise er organisert i flere forskjellige konfigurasjonsscenarioer, og gir veiledning for arbeidsprofiler og fullstendig administrerte scenarioer.
Bruk prinsippene som er beskrevet i nulltillit identitets- og enhetstilgangskonfigurasjoner:
- Utgangspunktet og beskyttelsesnivåene for virksomheter tilordnes tett med de forbedrede sikkerhetsinnstillingene på nivå 2.
- Det spesialiserte sikkerhetsbeskyttelsesnivået kartlegger nøye sikkerhetsinnstillingene på nivå 3.
Samsvarsinnstillinger for android Enterprise-arbeidsprofilenheter
- På grunn av innstillingene som er tilgjengelige for personlig eide arbeidsprofilenheter, finnes det ikke noe grunnleggende sikkerhetstilbud (nivå 1). De tilgjengelige innstillingene blokkjusterer ikke en forskjell mellom nivå 1 og nivå 2.
- Forbedret sikkerhet for arbeidsprofil (nivå 2) – Microsoft anbefaler denne konfigurasjonen som den minste sikkerhetskonfigurasjonen for personlige enheter der brukere får tilgang til jobb- eller skoledata. Denne konfigurasjonen introduserer passordkrav, skiller arbeid og personlige data og validerer attestering av Android-enheter.
- Høy sikkerhet for arbeidsprofil (nivå 3) – Microsoft anbefaler denne konfigurasjonen for enheter som brukes av bestemte brukere eller grupper som har en unik høy risiko (brukere som håndterer svært sensitive data der uautorisert offentliggjøring forårsaker betydelig materialtap for organisasjonen). Denne konfigurasjonen introduserer mobile trusselforsvar eller Microsoft Defender for endepunkt, angir den minste Android-versjonen, vedtar sterkere passordpolicyer og begrenser ytterligere arbeid og personlig separasjon.
Samsvarsinnstillinger for fulladministrerte Enheter for Android Enterprise
- Fullstendig administrert grunnleggende sikkerhet (nivå 1) – Microsoft anbefaler denne konfigurasjonen som den minste sikkerhetskonfigurasjonen for en bedriftsenhet. Denne konfigurasjonen gjelder for de fleste mobile brukere som har tilgang til jobb- eller skoledata. Denne konfigurasjonen introduserer passordkrav, angir minimum Android-versjon og vedtar visse enhetsbegrensninger.
- Fullstendig administrert forbedret sikkerhet (nivå 2) – Microsoft anbefaler denne konfigurasjonen for enheter der brukere får tilgang til sensitiv eller konfidensiell informasjon. Denne konfigurasjonen aktiverer sterkere passordpolicyer og deaktiverer bruker-/kontofunksjoner.
- Fullstendig administrert høy sikkerhet (nivå 3) – Microsoft anbefaler denne konfigurasjonen for enheter som brukes av bestemte brukere eller grupper som er unikt høy risiko. Disse brukerne kan håndtere svært sensitive data der uautorisert offentliggjøring kan føre til betydelig materialtap for organisasjonen. Denne konfigurasjonen øker minste android-versjon, introduserer mobile trusselforsvar eller Microsoft Defender for endepunkt, og håndhever ekstra enhetsbegrensninger.
Anbefalte samsvarsinnstillinger for Windows 10 og nyere
Følgende innstillinger er konfigurert i trinn 2: Samsvarsinnstillinger, opprettingsprosessen for samsvarspolicy for Windows 10 og nyere enheter. Disse innstillingene samsvarer med prinsippene som er beskrevet i nulltillit identitets- og enhetstilgangskonfigurasjoner.
Se denne tabellen for evalueringsregler for Windows Health Attestation Service for enhetstilstand>.
| Egenskapen | Verdi |
|---|---|
| Krev BitLocker | Krever |
| Krev sikker oppstart for å aktiveres på enheten | Krever |
| Krev kodeintegritet | Krever |
Angi riktige verdier for operativsystemversjoner basert på IT- og sikkerhetspolicyer for enhetsegenskaper.
Hvis du er i et miljø som administreres samtidig med Configuration Manager velger du Krev ellers velger du Ikke konfigurert for Configuration Manager samsvar.
Se denne tabellen for systemsikkerhet.
| Egenskapen | Verdi |
|---|---|
| Krev et passord for å låse opp mobile enheter | Krever |
| Enkle passord | Blokker |
| Passordtype | Enhetsstandard |
| Minste passordlengde | 6 |
| Maksimalt antall minutter med inaktivitet før et passord kreves | 15 minutter |
| Passordutløp (dager) | 41 |
| Antall tidligere passord for å hindre gjenbruk | 5 |
| Krev passord når enheten kommer tilbake fra inaktiv tilstand (mobil og holografisk) | Krever |
| Krev kryptering av datalagring på enheten | Krever |
| Brannmur | Krever |
| Antivirus | Krever |
| Antispyware | Krever |
| Microsoft Defender beskyttelse mot skadelig programvare | Krever |
| minimumsversjon for Microsoft Defender beskyttelse mot skadelig programvare | Microsoft anbefaler versjoner som ikke er mer enn fem bak fra den nyeste versjonen. |
| Microsoft Defender signatur for beskyttelse mot skadelig programvare oppdatert | Krever |
| Sanntidsbeskyttelse | Krever |
For Microsoft Defender for endepunkt
| Egenskapen | Verdi |
|---|---|
| Krev at enheten er på eller under maskinrisikoresultatet | Middels |
Policyer for Betinget tilgang
Når appbeskyttelse og policyer for enhetssamsvar er opprettet i Intune, kan du aktivere håndhevelse med policyer for betinget tilgang.
Krev MFA basert på påloggingsrisiko
Følg veiledningen i artikkelen Common Conditional Access policy: Sign-in risk-based multifactor authentication to create a policy to require multifactor authentication based on sign-in risk.
Bruk følgende risikonivåer når du konfigurerer policyen.
| Beskyttelsesnivå | Nødvendige verdier for risikonivå | Handling |
|---|---|---|
| Utgangspunkt | Høy, middels | Kontroller begge. |
| Enterprise | Høy, middels, lav | Sjekk alle tre. |
Blokkere klienter som ikke støtter godkjenning med flere faktorer
Følg veiledningen i artikkelen Common Conditional Access policy: Blokker eldre godkjenning for å blokkere eldre godkjenning.
Brukere med høy risiko må endre passord
Følg veiledningen i artikkelen Common Conditional Access policy: Brukerrisikobasert passordendring for å kreve at brukere med kompromittert legitimasjon endrer passordet.
Bruk denne policyen sammen med Microsoft Entra passordbeskyttelse, som oppdager og blokkerer kjente svake passord og deres varianter i tillegg til begreper som er spesifikke for organisasjonen. Bruk Microsoft Entra passordbeskyttelse sikrer at endrede passord er sterkere.
Krev godkjente apper og policyer for appbeskyttelse
Du må opprette en policy for betinget tilgang for å håndheve policyene for appbeskyttelse som er opprettet i Intune. Aktivering av policyer for appbeskyttelse krever en policy for betinget tilgang og en tilsvarende policy for appbeskyttelse.
Hvis du vil opprette en policy for betinget tilgang som krever godkjent apper og APP-beskyttelse, følger du fremgangsmåten i Krev godkjente klientapper eller policy for appbeskyttelse med mobile enheter. Denne policyen tillater bare at kontoer i mobilapper som er beskyttet av appbeskyttelsespolicyer, får tilgang til Microsoft 365-endepunkter.
Blokkering av eldre godkjenning for andre klientapper på iOS- og Android-enheter sikrer at disse klientene ikke kan omgå policyer for betinget tilgang. Hvis du følger veiledningen i denne artikkelen, har du allerede konfigurert Blokkere klienter som ikke støtter moderne godkjenning.
Krev kompatible PC-er og mobile enheter
Følgende trinn vil bidra til å opprette en policy for betinget tilgang til å kreve at enheter som får tilgang til ressurser, merkes som kompatible med organisasjonens Intune samsvarspolicyer.
Forsiktig!
Kontroller at enheten er kompatibel før du aktiverer denne policyen. Ellers kan du bli låst ute og ikke kunne endre denne policyen før brukerkontoen er lagt til i utelatelsesgruppen betinget tilgang.
- Logg på Azure-portalen.
- Bla til Microsoft Entra ID>Sikkerhet>betinget tilgang.
- Velg Ny policy.
- Gi policyen et navn. Vi anbefaler at organisasjoner oppretter en meningsfull standard for navnene på policyene sine.
- Velg Brukere eller arbeidsbelastningsidentiteter under Oppgaver.
- Velg Alle brukere under Inkluder.
- Velg Brukere og grupper under Utelat, og velg organisasjonens nødtilgang eller break-glass-kontoer.
- Velg Alle skyapper under Skyapper eller handlinger>Inkluder.
- Hvis du må utelate bestemte programmer fra policyen, kan du velge dem fra Utelat-fanen under Velg utelatte skyapper og velge Velg.
- Under Tilgangskontroller>Gi.
- Velg Krev at enheten er merket som kompatibel.
- Velg Velg.
- Bekreft innstillingene, og sett Aktiver policy til På.
- Velg Opprett du vil opprette for å aktivere policyen.
Obs!
Du kan registrere de nye enhetene dine for å Intune selv om du velger Krev at enheten er merket som kompatibel for alle brukere og alle skyapper i policyen. Krev at enheten er merket som kompatibel kontroll, blokkerer ikke Intune registrering og tilgang til Microsoft Intune Web firmaportal-programmet.
Abonnementsaktivering
Organisasjoner som bruker funksjonen for abonnementsaktivering for å gjøre det mulig for brukere å "step-up" fra én versjon av Windows til en annen, vil kanskje utelate Universal Store Service API-er og webprogram, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f fra deres policy for enhetssamsvar.
Krev alltid MFA
Følg veiledningen i artikkelen Common Conditional Access policy: Require MFA for all users to require your specialized security level users to always perform multifactor authentication.
Advarsel
Når du konfigurerer policyen, velger du gruppen som krever spesialisert sikkerhet, og bruker den i stedet for å velge Alle brukere.
Neste trinn
Finn ut mer om policyanbefalinger for gjester og eksterne brukere
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for