Typowe zasady dostępu warunkowego: blokuj dostęp dla nieznanej lub nieobsługiwanej platformy urządzeń

Użytkownicy nie mogą uzyskiwać dostępu do zasobów firmy, gdy typ urządzenia jest nieznany lub nieobsługiwany.

Warunek platformy urządzenia jest oparty na ciągach agenta użytkownika. Zasady dostępu warunkowego korzystające z nich powinny być używane z innymi zasadami, takimi jak zasady wymagające zgodności urządzeń lub zasad ochrony aplikacji.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza umożliwiające programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług, takie jak te, powinny zostać wykluczone, ponieważ nie można programowo ukończyć uwierzytelniania wieloskładnikowego. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasad dostępu warunkowego

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
2. Przejdź do strony Ochrona>dostępu warunkowego.
3. Wybierz pozycję Utwórz nowe zasady.
4. Nadaj zasadom nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
7. W obszarze Warunki wybierz pozycję Platformy urządzeń
   1. Ustaw pozycję Konfiguruj na Wartość Tak.
   2. W obszarze Dołącz wybierz pozycję Dowolne urządzenie
   3. W obszarze Wyklucz wybierz pozycję Android, iOS, Windows i macOS.

      Uwaga

      W przypadku wykluczenia wybierz wszystkie platformy, których organizacja świadomie używa, i pozostaw inne niezaznaczone.

   4. Wybierz pozycję Gotowe.
8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp, a następnie wybierz pozycję Wybierz.
9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Następne kroki

Szablony dostępu warunkowego

Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.