Dostęp warunkowy: udzielanie

W ramach zasad dostępu warunkowego administrator może używać mechanizmów kontroli dostępu w celu udzielania lub blokowania dostępu do zasobów.

Zrzut ekranu przedstawiający zasady dostępu warunkowego z kontrolą udzielania, która wymaga uwierzytelniania wieloskładnikowego.

Blokowanie dostępu

Kontrola blokowania dostępu uwzględnia wszystkie przypisania i uniemożliwia dostęp na podstawie konfiguracji zasad dostępu warunkowego.

Blokowanie dostępu to zaawansowany mechanizm kontroli, który należy stosować z odpowiednią wiedzą. Zasady z instrukcjami blokującymi mogą mieć niezamierzone skutki uboczne. Prawidłowe testowanie i walidacja są niezbędne przed włączeniem kontrolki na dużą skalę. Administratorzy powinni używać narzędzi, takich jak tryb tylko dostęp warunkowy i narzędzie Analizy warunkowe w dostępie warunkowym podczas wprowadzania zmian.

Udzielanie dostępu

Administratorzy mogą wymusić co najmniej jedną kontrolę podczas udzielania dostępu. Te kontrolki obejmują następujące opcje:

Gdy administratorzy zdecydują się połączyć te opcje, mogą użyć następujących metod:

  • Wymagaj wszystkich wybranych kontrolek ( kontrolka i kontrolka)
  • Wymagaj jednej z wybranych kontrolek (kontrolka lub kontrolka)

Domyślnie dostęp warunkowy wymaga wszystkich wybranych kontrolek.

Wymaganie uwierzytelniania wieloskładnikowego

Zaznaczając to pole wyboru, można wymagać, aby użytkownicy wykonywali uwierzytelnianie wieloskładnikowe usługi Azure Active Directory (Azure AD). Więcej informacji na temat wdrażania funkcji Uwierzytelnianie wieloskładnikowe usługi Azure AD można znaleźć w temacie Planowanie wdrożenia chmurowego uwierzytelniania wieloskładnikowego usługi Azure AD.

Funkcja Windows Hello dla firm spełnia wymagania dotyczące uwierzytelniania wieloskładnikowego w zasadach dostępu warunkowego.

Wymagaj siły uwierzytelniania (wersja zapoznawcza)

Administratorzy mogą zdecydować się na wymaganie określonych sił uwierzytelniania w zasadach dostępu warunkowego. Te siły uwierzytelniania są definiowane w Azure Portal> Właściuwierzytelniania metod> uwierzytelnianiazabezpieczeń> usługi Azure Active Directory>(wersja zapoznawcza). Administratorzy mogą tworzyć własne wersje lub korzystać z wbudowanych wersji.

Uwaga

Wymagaj siły uwierzytelniania jest obecnie dostępna w publicznej wersji zapoznawczej. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure.

Wymagaj, aby urządzenie było oznaczone jako zgodne

Organizacje, które wdrożyły Intune, mogą używać informacji zwróconych z urządzeń do identyfikowania urządzeń spełniających określone wymagania dotyczące zgodności z zasadami. Intune wysyła informacje o zgodności do Azure AD, aby dostęp warunkowy mógł zdecydować się na udzielenie lub zablokowanie dostępu do zasobów. Aby uzyskać więcej informacji na temat zasad zgodności, zobacz Set rules on devices to allow access to resources in your organization by using Intune (Ustawianie reguł na urządzeniach w celu zezwolenia na dostęp do zasobów w organizacji przy użyciu Intune).

Urządzenie może być oznaczone jako zgodne przez Intune dla dowolnego systemu operacyjnego urządzenia lub przez system zarządzania urządzeniami przenośnymi innej firmy dla Windows 10 urządzeń. Listę obsługiwanych systemów zarządzania urządzeniami przenośnymi innych firm można znaleźć w temacie Obsługa partnerów zgodności urządzeń innych firm w usłudze Intune.

Urządzenia muszą być zarejestrowane w usłudze Azure AD, aby można je było oznaczyć jako zgodne. Więcej informacji o rejestracji urządzeń można znaleźć w temacie Co to jest tożsamość urządzenia?

Pozycja Wymagaj, aby urządzenie było oznaczone jako zgodne kontrolki:

  • Obsługuje tylko urządzenia Windows 10+, iOS, Android i macOS zarejestrowane w usłudze Azure AD i zarejestrowane w usłudze Intune.
  • Uwzględnia przeglądarkę Microsoft Edge w trybie InPrivate jako niezgodne urządzenie.

Uwaga

W systemach Windows 7, iOS, Android, macOS i niektórych przeglądarkach sieci Web innych firm Azure AD identyfikuje urządzenie przy użyciu certyfikatu klienta, który jest aprowizowany podczas rejestrowania urządzenia w Azure AD. Gdy użytkownik po raz pierwszy zaloguje się za pośrednictwem przeglądarki, zostanie wyświetlony monit o wybranie certyfikatu. Użytkownik musi wybrać ten certyfikat przed kontynuowaniem pracy z przeglądarką.

Możesz użyć aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender z zatwierdzonymi zasadami aplikacji klienckiej w Intune, aby ustawić zasady zgodności urządzeń na zasady dostępu warunkowego. Podczas konfigurowania dostępu warunkowego nie jest wymagane wykluczenie dla aplikacji Ochrona punktu końcowego w usłudze Microsoft Defender. Chociaż Ochrona punktu końcowego w usłudze Microsoft Defender w systemach Android i iOS (identyfikator aplikacji dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) nie jest zatwierdzoną aplikacją, ale ma uprawnienia do zgłaszania stanu zabezpieczeń urządzenia. To uprawnienie umożliwia przepływ informacji o zgodności do dostępu warunkowego.

Wymaganie urządzenia przyłączonego hybrydowo do usługi Azure AD

Organizacje mogą zdecydować się na użycie tożsamości urządzenia w ramach zasad dostępu warunkowego. Organizacje mogą wymagać, aby urządzenia zostały dołączone hybrydową Azure AD przy użyciu tego pola wyboru. Aby uzyskać więcej informacji na temat tożsamości urządzeń, zobacz Co to jest tożsamość urządzenia?.

Jeśli używasz przepływu OAuth kodu urządzenia, wymagana kontrola udzielania dla urządzenia zarządzanego lub warunku stanu urządzenia nie jest obsługiwana. Dzieje się tak, ponieważ urządzenie, które przeprowadza uwierzytelnianie, nie może dostarczyć stanu urządzenia do urządzenia, które dostarcza kod. Ponadto stan urządzenia w tokenie jest zablokowany dla urządzenia wykonującego uwierzytelnianie. Zamiast tego użyj kontrolki Wymagaj uwierzytelniania wieloskładnikowego .

Kontrolka wymagaj hybrydowego Azure AD dołączonego urządzenia:

  • Obsługuje tylko urządzenia z systemem Windows przyłączonym do domeny (przed Windows 10) i bieżącymi urządzeniami z systemem Windows (Windows 10+).
  • Nie uwzględnia przeglądarki Microsoft Edge w trybie InPrivate jako urządzenia dołączonego hybrydowo Azure AD.

Wymaganie zatwierdzonej aplikacji klienckiej

Organizacje mogą wymagać, aby zatwierdzona aplikacja kliencka była używana do uzyskiwania dostępu do wybranych aplikacji w chmurze. Te zatwierdzone aplikacje klienckie obsługują Intune zasad ochrony aplikacji niezależnie od dowolnego rozwiązania do zarządzania urządzeniami przenośnymi.

Aby zastosować tę kontrolę udzielania, urządzenie musi być zarejestrowane w Azure AD, co wymaga użycia aplikacji brokera. Aplikacją brokera może być aplikacja Microsoft Authenticator dla systemu iOS lub Microsoft Authenticator lub Microsoft Portal firmy dla urządzeń z systemem Android. Jeśli aplikacja brokera nie jest zainstalowana na urządzeniu podczas próby uwierzytelnienia użytkownika, użytkownik zostanie przekierowany do odpowiedniego sklepu z aplikacjami w celu zainstalowania wymaganej aplikacji brokera.

Następujące aplikacje klienckie obsługują to ustawienie. Ta lista nie jest wyczerpująca i może ulec zmianie:

  • Microsoft Azure Information Protection
  • Microsoft Bookings
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Listy Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype dla firm
  • Microsoft StaffHub
  • Usługa Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Administrator platformy Microsoft 365

Uwagi

  • Zatwierdzone aplikacje klienckie obsługują funkcję zarządzania aplikacjami mobilnymi Intune.
  • Wymagaj zatwierdzonej aplikacji klienckiej:
    • Obsługuje tylko warunek platformy urządzeń z systemami iOS i Android.
    • Wymaga zarejestrowania urządzenia przez aplikację brokera. Aplikacja brokera może być aplikacją Microsoft Authenticator dla systemu iOS lub Microsoft Authenticator lub Microsoft Portal firmy dla urządzeń z systemem Android.
  • Dostęp warunkowy nie może rozważyć przeglądarki Microsoft Edge w trybie InPrivate zatwierdzonej aplikacji klienckiej.
  • Zasady dostępu warunkowego, które wymagają usługi Microsoft Power BI jako zatwierdzonej aplikacji klienckiej, nie obsługują używania Azure AD serwer proxy aplikacji do łączenia aplikacji mobilnej Power BI z lokalnymi Serwer raportów usługi Power BI.

Zobacz Wymaganie zatwierdzonych aplikacji klienckich na potrzeby dostępu do aplikacji w chmurze przy użyciu dostępu warunkowego , aby zapoznać się z przykładami konfiguracji.

Wymaganie zasad ochrony aplikacji

W zasadach dostępu warunkowego można wymagać, aby były obecne zasady ochrony aplikacji w usłudze Intune dotyczące aplikacji klienckiej, zanim będzie można uzyskać dostęp do wybranych aplikacji w chmurze.

Aby zastosować tę kontrolę udzielania, dostęp warunkowy wymaga zarejestrowania urządzenia w Azure AD, co wymaga użycia aplikacji brokera. Aplikacja brokera może być aplikacją Microsoft Authenticator dla systemów iOS lub Microsoft Portal firmy dla urządzeń z systemem Android. Jeśli aplikacja brokera nie jest zainstalowana na urządzeniu podczas próby uwierzytelnienia użytkownika, użytkownik zostanie przekierowany do sklepu z aplikacjami w celu zainstalowania aplikacji brokera.

Aplikacje muszą mieć zestaw SDK Intune z zaimplementowaną gwarancją zasad i muszą spełniać pewne inne wymagania, aby obsługiwać to ustawienie. Deweloperzy, którzy implementują aplikacje za pomocą zestawu SDK Intune, mogą znaleźć więcej informacji na temat tych wymagań w dokumentacji zestawu SDK.

Następujące aplikacje klienckie są potwierdzane w celu obsługi tego ustawienia, ta lista nie jest wyczerpująca i może ulec zmianie:

  • IAnnotate for Office 365
  • Microsoft Cortana
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Flow Mobile
  • Microsoft Launcher
  • Listy Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream Mobile Native 2.0
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • Microsoft Whiteboard Services
  • Microsoft Field Service (Dynamics 365)
  • MultiLine dla Intune
  • Dziewięć wiadomości e-mail — Email i kalendarz
  • Notate for Intune
  • Yammer (Android, iOS i iPadOS)

Ta lista nie obejmuje wszystkich elementów, jeśli twoja aplikacja nie znajduje się na tej liście, skontaktuj się z dostawcą aplikacji, aby potwierdzić pomoc techniczną.

Uwaga

Kaizala, Skype dla firm i Visio nie obsługują udzielenia zasad Wymagaj ochrony aplikacji. Jeśli te aplikacje będą działać, użyj opcji Wymagaj zatwierdzonych aplikacji na wyłączność. Użycie klauzuli "or" między tymi dwoma dotacjami nie będzie działać dla tych trzech aplikacji.

Aplikacje dla zasad ochrony aplikacji obsługują funkcję zarządzania aplikacjami mobilnymi Intune z ochroną zasad.

Kontrolka Wymagaj zasad ochrony aplikacji :

  • Obsługuje tylko warunki platformy urządzeń z systemami iOS i Android.
  • Wymaga zarejestrowania urządzenia przez aplikację brokera. W systemie iOS aplikacja brokera to Microsoft Authenticator. W systemie Android aplikacja brokera jest Intune — Portal firmy.

Zobacz Wymaganie zasad ochrony aplikacji i zatwierdzonej aplikacji klienckiej na potrzeby dostępu do aplikacji w chmurze z dostępem warunkowym , aby uzyskać przykłady konfiguracji.

Wymaganie zmiany haseł

Po wykryciu ryzyka użytkownika administratorzy mogą zastosować warunki zasad ryzyka użytkownika, aby użytkownik mógł bezpiecznie zmienić hasło przy użyciu Azure AD samoobsługowego resetowania hasła. Użytkownicy mogą przeprowadzić samoobsługowe resetowanie hasła w celu samodzielnego korygowania. Ten proces zamknie zdarzenie ryzyka użytkownika, aby zapobiec niepotrzebnym alertom dla administratorów.

Gdy użytkownik zostanie wyświetlony monit o zmianę hasła, najpierw będzie on wymagany do ukończenia uwierzytelniania wieloskładnikowego. Upewnij się, że wszyscy użytkownicy zarejestrowali się w celu uwierzytelniania wieloskładnikowego, więc są przygotowani w przypadku wykrycia ryzyka dla swojego konta.

Ostrzeżenie

Użytkownicy muszą wcześniej zarejestrować się w celu samoobsługowego resetowania hasła przed wyzwoleniem zasad ryzyka użytkownika.

Podczas konfigurowania zasad obowiązują następujące ograniczenia przy użyciu kontrolki zmiany hasła:

  • Zasady muszą być przypisane do "wszystkich aplikacji w chmurze". To wymaganie uniemożliwia atakującemu użycie innej aplikacji w celu zmiany hasła użytkownika i zresetowania ryzyka związanego z kontem przez zalogowanie się do innej aplikacji.
  • Wymagaj zmiany hasła nie można używać z innymi kontrolkami, takimi jak wymaganie zgodnego urządzenia.
  • Kontrolka zmiany hasła może być używana tylko z warunkiem przypisania użytkownika i grupy, warunkiem przypisania aplikacji w chmurze (który musi być ustawiony na "wszystkie") i warunki ryzyka użytkownika.

Warunki użytkowania

Jeśli Organizacja utworzyła warunki użytkowania, inne opcje mogą być widoczne w obszarze kontroli udzielania. Te opcje umożliwiają administratorom wymaganie potwierdzenia warunków użytkowania jako warunku uzyskiwania dostępu do zasobów chronionych przez zasady. Więcej informacji na temat warunków użytkowania można znaleźć w temacie Warunki użytkowania usługi Azure Active Directory.

Niestandardowe mechanizmy kontroli (wersja zapoznawcza)

Kontrolki niestandardowe to możliwość Azure AD w wersji zapoznawczej. W przypadku korzystania z kontrolek niestandardowych użytkownicy są przekierowywani do zgodnej usługi w celu spełnienia wymagań dotyczących uwierzytelniania oddzielnych od Azure AD. Aby uzyskać więcej informacji, zapoznaj się z artykułem Niestandardowe kontrolki .

Następne kroki