Udostępnij za pośrednictwem

Dostęp warunkowy: filtrowanie urządzeń

  • Artykuł

Gdy administratorzy tworzą zasady dostępu warunkowego, możliwość kierowania lub wykluczania określonych urządzeń w ich środowisku jest typowym zadaniem. Filtr warunku dla urządzeń zapewnia administratorom możliwość kierowania określonych urządzeń. Administratorzy mogą używać obsługiwanych operatorów i właściwości filtrów urządzeń obok innych dostępnych warunków przypisywania w zasadach dostępu warunkowego.

Tworzenie filtru dla urządzenia w warunkach zasad dostępu warunkowego

Typowe scenariusze

Istnieje wiele scenariuszy, które organizacje mogą teraz włączyć przy użyciu filtru dla warunku urządzeń. W poniższych scenariuszach przedstawiono przykłady użycia tego nowego warunku.

  • Ogranicz dostęp do uprzywilejowanych zasobów. W tym przykładzie załóżmy, że chcesz zezwolić na dostęp do interfejsu API zarządzania usługami Platformy Windows Azure od użytkownika, który:
    • Ma przypisaną rolę uprzywilejowaną.
    • Ukończono uwierzytelnianie wieloskładnikowe.
    • Znajduje się na urządzeniu, które jest uprzywilejowane lub bezpieczne stacje robocze administratora i jest zaświadczone jako zgodne.
    • W tym scenariuszu organizacje tworzą dwie zasady dostępu warunkowego:
      • Zasady 1: Wszyscy użytkownicy z rolą administratora, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami platformy Windows Azure oraz kontrola dostępu, udzielanie dostępu, ale wymagają uwierzytelniania wieloskładnikowego i wymagają oznaczenia urządzenia jako zgodnego.
      • Zasady 2: Wszyscy użytkownicy z administratorem, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami Platformy Windows Azure, z wyłączeniem filtru dla urządzeń przy użyciu wyrażenia reguły device.extensionAttribute1 równa SAW i kontroli dostępu, Blokuj. Dowiedz się, jak zaktualizować atrybuty extensionAttributes w obiekcie urządzenia Entra firmy Microsoft.
  • Blokuj dostęp do zasobów organizacji z urządzeń z nieobsługiwanym systemem operacyjnym. W tym przykładzie załóżmy, że chcesz zablokować dostęp do zasobów z systemu operacyjnego Windows w wersji starszej niż Windows 10. W tym scenariuszu organizacje tworzą następujące zasady dostępu warunkowego:
    • Wszyscy użytkownicy, którzy uzyskują dostęp do wszystkich aplikacji w chmurze, z wyłączeniem filtru dla urządzeń używających wyrażenia reguły device.operatingSystem równa Windows i device.operatingSystemVersion rozpoczyna się Od "10.0" i w przypadku kontroli dostępu Blokuj.
  • Nie wymagaj uwierzytelniania wieloskładnikowego dla określonych kont na określonych urządzeniach. W tym przykładzie załóżmy, że nie chcesz wymagać uwierzytelniania wieloskładnikowego w przypadku korzystania z kont usług na określonych urządzeniach, takich jak telefony usługi Teams lub urządzenia Surface Hub. W tym scenariuszu organizacje tworzą następujące dwie zasady dostępu warunkowego:
    • Zasady 1: Wszyscy użytkownicy z wyłączeniem kont usług, uzyskiwania dostępu do wszystkich aplikacji w chmurze i kontroli dostępu, Udzielanie dostępu, ale wymagają uwierzytelniania wieloskładnikowego.
    • Zasady 2: Wybierz użytkowników i grupy i uwzględnij grupę zawierającą tylko konta usług, dostęp do wszystkich aplikacji w chmurze, z wyłączeniem filtru dla urządzeń przy użyciu wyrażenia reguły device.extensionAttribute2 nie równa się TeamsPhoneDevice i w przypadku kontroli dostępu, Blokuj.

Uwaga

Microsoft Entra ID używa uwierzytelniania urządzenia do oceny reguł filtrowania urządzeń. W przypadku urządzenia, które jest wyrejestrowane za pomocą identyfikatora Entra firmy Microsoft, wszystkie właściwości urządzenia są uznawane za wartości null, a atrybuty urządzenia nie mogą być określane, ponieważ urządzenie nie istnieje w katalogu. Najlepszym sposobem kierowania zasad dla niezarejestrowanych urządzeń jest użycie operatora ujemnego, ponieważ skonfigurowana reguła filtru będzie stosowana. Jeśli używasz operatora dodatniego, reguła filtru będzie stosowana tylko wtedy, gdy urządzenie istnieje w katalogu, a skonfigurowana reguła jest zgodna z atrybutem na urządzeniu.

Tworzenie zasady dostępu warunkowego

Filtr dla urządzeń to opcjonalna kontrolka podczas tworzenia zasad dostępu warunkowego.

Poniższe kroki ułatwiają utworzenie dwóch zasad dostępu warunkowego w celu obsługi pierwszego scenariusza w obszarze Typowe scenariusze.

Zasady 1: Wszyscy użytkownicy z rolą administratora, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami platformy Windows Azure oraz kontrola dostępu, udzielanie dostępu, ale wymagają uwierzytelniania wieloskładnikowego i wymagają oznaczenia urządzenia jako zgodnego.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.

    1. W obszarze Dołącz wybierz pozycję Role katalogu, a następnie wszystkie role z administratorem w nazwie.

      Ostrzeżenie

      Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.

    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.

    3. Wybierz pozycję Gotowe.

  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze uwzględnij>pozycję Wybierz aplikacje, wybierz pozycję Interfejs API zarządzania usługami platformy Windows Azure, a następnie wybierz pozycję Wybierz.
  7. W obszarze Kontrola>dostępu Udziel dostępu wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj, aby urządzenie było oznaczone jako zgodne, a następnie wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Zasady 2: Wszyscy użytkownicy z rolą administratora, uzyskiwanie dostępu do aplikacji w chmurze interfejsu API zarządzania usługami Platformy Windows Azure, z wyłączeniem filtru dla urządzeń przy użyciu wyrażenia reguły device.extensionAttribute1 równa SAW i kontroli dostępu, Blokuj.

  1. Wybierz pozycję Utwórz nowe zasady.
  2. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  3. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.

    1. W obszarze Uwzględnij wybierz pozycję Role katalogu, a następnie wszystkie role z administratorem w nazwie

      Ostrzeżenie

      Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.

    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.

    3. Wybierz pozycję Gotowe.

  4. W obszarze Docelowe zasoby>Aplikacje>w chmurze uwzględnij>pozycję Wybierz aplikacje, wybierz pozycję Interfejs API zarządzania usługami platformy Windows Azure, a następnie wybierz pozycję Wybierz.
  5. W obszarze Warunki filtruj dla urządzeń.
    1. Przełącz pozycję Konfiguruj na tak.
    2. Ustaw opcję Urządzenia pasujące do reguły , aby wykluczyć odfiltrowane urządzenia z zasad.
    3. Ustaw właściwość na ExtensionAttribute1, operator na Equals i wartość na SAW.
    4. Wybierz pozycję Gotowe.
  6. W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp, a następnie wybierz pozycję Wybierz.
  7. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  8. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Ostrzeżenie

Zasady wymagające zgodności urządzeń mogą monitować użytkowników na komputerach Mac, iOS i Android o wybranie certyfikatu urządzenia podczas oceny zasad, mimo że zgodność urządzenia nie jest wymuszana. Te monity mogą być powtarzane, dopóki urządzenie nie zostanie zgodne.

Ustawianie wartości atrybutów

Ustawienie atrybutów rozszerzenia jest możliwe za pośrednictwem interfejsu API programu Graph. Aby uzyskać więcej informacji na temat ustawiania atrybutów urządzenia, zobacz artykuł Aktualizowanie urządzenia.

Filtrowanie pod kątem interfejsu API programu Graph urządzeń

Filtr dla interfejsu API urządzeń jest dostępny w punkcie końcowym programu Microsoft Graph w wersji 1.0 i można uzyskać do tego dostępu przy użyciu punktu końcowego https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Filtr dla urządzeń można skonfigurować podczas tworzenia nowych zasad dostępu warunkowego lub zaktualizować istniejące zasady w celu skonfigurowania filtru dla warunków urządzeń. Aby zaktualizować istniejące zasady, możesz wykonać wywołanie poprawki w punkcie końcowym programu Microsoft Graph w wersji 1.0, dołączając identyfikator zasad istniejących zasad i wykonując następującą treść żądania. W tym przykładzie pokazano konfigurowanie filtru warunku urządzenia z wyłączeniem urządzeń, które nie są oznaczone jako urządzenia SAW. Składnia reguły może składać się z więcej niż jednego wyrażenia. Aby dowiedzieć się więcej o składni, zobacz reguły członkostwa dynamicznego dla grup w identyfikatorze Entra firmy Microsoft.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Obsługiwane operatory i właściwości urządzenia dla filtrów

Następujące atrybuty urządzenia mogą być używane z filtrem warunku urządzenia w dostępie warunkowym.

Uwaga

Microsoft Entra ID używa uwierzytelniania urządzenia do oceny reguł filtrowania urządzeń. W przypadku urządzenia, które jest wyrejestrowane za pomocą identyfikatora Entra firmy Microsoft, wszystkie właściwości urządzenia są uznawane za wartości null, a atrybuty urządzenia nie mogą być określane, ponieważ urządzenie nie istnieje w katalogu. Najlepszym sposobem kierowania zasad dla niezarejestrowanych urządzeń jest użycie operatora ujemnego, ponieważ skonfigurowana reguła filtru będzie stosowana. Jeśli używasz operatora dodatniego, reguła filtru będzie stosowana tylko wtedy, gdy urządzenie istnieje w katalogu, a skonfigurowana reguła jest zgodna z atrybutem na urządzeniu.

Obsługiwane atrybuty urządzenia Obsługiwane operatory Obsługiwane wartości Przykład
deviceId Equals, NotEquals, In, NotIn Prawidłowy identyfikator deviceId, który jest identyfikatorem GUID (device.deviceid -eq "498c4de7-1aee-4ded-8d5d-00000000000000")
displayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Dowolny ciąg (device.displayName -contains "ABC")
deviceOwnership Równa się, NotEquals Obsługiwane wartości to "Osobiste" dla urządzeń należących do firmy i "Firma" (device.deviceOwnership -eq "Company")
isCompliant Równa się, NotEquals Obsługiwane wartości to "True" dla zgodnych urządzeń i "False" dla niezgodnych urządzeń (device.isCompliant -eq "True")
manufacturer Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Dowolny ciąg (device.manufacturer -startsWith "Microsoft")
mdmAppId Equals, NotEquals, In, NotIn Prawidłowy identyfikator aplikacji MDM (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cc4444"]
model Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Dowolny ciąg (device.model -notContains "Surface")
operatingSystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Prawidłowy system operacyjny (na przykład Windows, iOS lub Android) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Prawidłowa wersja systemu operacyjnego (na przykład 6.1 dla systemu Windows 7, 6.2 dla systemu Windows 8 lub 10.0 dla systemów Windows 10 i Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Zawiera, NotContains Na przykład wszystkie urządzenia rozwiązania Windows Autopilot przechowują identyfikator ZTDId (unikatową wartość przypisaną do wszystkich zaimportowanych urządzeń rozwiązania Windows Autopilot) we właściwości physicalIds urządzenia. (device.physicalIds -contains "[ZTDId]:value")
profileType Równa się, NotEquals Prawidłowy typ profilu ustawiony dla urządzenia. Obsługiwane wartości to: RegisteredDevice (ustawienie domyślne), SecureVM (używane dla maszyn wirtualnych z systemem Windows na platformie Azure z włączonym logowaniem firmy Microsoft Entra), drukarka (używana do drukarek), udostępniona (używana dla urządzeń udostępnionych), IoT (używana dla urządzeń udostępnionych) (device.profileType -eq "Drukarka")
systemLabels Zawiera, NotContains Lista etykiet zastosowanych do urządzenia przez system. Niektóre z obsługiwanych wartości to: AzureResource (używana dla maszyn wirtualnych z systemem Windows na platformie Azure z obsługą logowania microsoft Entra), M365Managed (używana do zarządzania urządzeniami przy użyciu programu Microsoft Managed Desktop), MultiUser (używana dla urządzeń udostępnionych) (device.systemLabels —contains "M365Managed")
trustType Równa się, NotEquals Prawidłowy stan zarejestrowany dla urządzeń. Obsługiwane wartości to: AzureAD (używana dla urządzeń dołączonych do firmy Microsoft), ServerAD (używana w przypadku urządzeń dołączonych hybrydowych firmy Microsoft Entra), Workplace (używana dla zarejestrowanych urządzeń firmy Microsoft Entra) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn extensionAttributes1-15 to atrybuty, których klienci mogą używać dla obiektów urządzeń. Klienci mogą zaktualizować dowolne rozszerzenieAttributes1 do 15 przy użyciu wartości niestandardowych i użyć ich w filtrze warunku urządzenia w dostępie warunkowym. Można użyć dowolnej wartości ciągu. (device.extensionAttribute1 -eq "SAW")

Uwaga

Podczas tworzenia złożonych reguł lub używania zbyt wielu pojedynczych identyfikatorów, takich jak deviceid dla tożsamości urządzeń, należy pamiętać, że "Maksymalna długość reguły filtru wynosi 3072 znaki".

Uwaga

Operatory Contains i NotContains działają inaczej w zależności od typów atrybutów. W przypadku atrybutów ciągów, takich jak operatingSystem i model, operator wskazuje, Contains czy określone podciąg ma miejsce w atrybucie. W przypadku atrybutów kolekcji ciągów, takich jak physicalIds i systemLabels, operator wskazuje, Contains czy określony ciąg pasuje do jednego z całych ciągów w kolekcji.

Ostrzeżenie

Urządzenia muszą być dołączone hybrydowo do usługi Microsoft Intune, zgodne lub dołączone hybrydowo przez firmę Microsoft Entra, aby można było je udostępnić w rozszerzeniuAttributes1-15 w momencie oceny zasad dostępu warunkowego.

Zachowanie zasad z filtrem dla urządzeń

Filtr warunku urządzenia w obszarze Dostęp warunkowy ocenia zasady na podstawie atrybutów urządzenia zarejestrowanego urządzenia w identyfikatorze Entra firmy Microsoft, dlatego ważne jest, aby zrozumieć, w jakich okolicznościach zasady są stosowane lub nie są stosowane. W poniższej tabeli przedstawiono zachowanie podczas konfigurowania filtru dla warunku urządzenia.

Filtrowanie pod kątem warunku urządzenia Stan rejestracji urządzenia Zastosowany filtr urządzenia
Tryb dołączania/wykluczania z operatorami dodatnimi (Equals, StartsWith, EndsWith, Contains, In) i używanie dowolnych atrybutów Niezarejestrowane urządzenie Nie.
Tryb dołączania/wykluczania z operatorami dodatnimi (Equals, StartsWith, EndsWith, Contains, In) i używanie atrybutów z wyłączeniem atrybutów extensionAttributes1-15 Zarejestrowane urządzenie Tak, jeśli kryteria są spełnione
Tryb dołączania/wykluczania z operatorami dodatnimi (Equals, StartsWith, EndsWith, Contains, In) i używanie atrybutów, w tym extensionAttributes1-15 Zarejestrowane urządzenie zarządzane przez usługę Intune Tak, jeśli kryteria są spełnione
Tryb dołączania/wykluczania z operatorami dodatnimi (Equals, StartsWith, EndsWith, Contains, In) i używanie atrybutów, w tym extensionAttributes1-15 Zarejestrowane urządzenie nie jest zarządzane przez usługę Intune Tak, jeśli zostały spełnione kryteria. Gdy są używane atrybuty extensionAttributes1-15, zasady mają zastosowanie, jeśli urządzenie jest zgodne lub dołączone hybrydowo do firmy Microsoft Entra
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów Niezarejestrowane urządzenie Tak
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów wykluczających atrybuty extensionAttributes1-15 Zarejestrowane urządzenie Tak, jeśli kryteria są spełnione
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów, w tym extensionAttributes1-15 Zarejestrowane urządzenie zarządzane przez usługę Intune Tak, jeśli kryteria są spełnione
Tryb dołączania/wykluczania z operatorami ujemnymi (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) i używanie dowolnych atrybutów, w tym extensionAttributes1-15 Zarejestrowane urządzenie nie jest zarządzane przez usługę Intune Tak, jeśli zostały spełnione kryteria. Gdy są używane atrybuty extensionAttributes1-15, zasady mają zastosowanie, jeśli urządzenie jest zgodne lub dołączone hybrydowo do firmy Microsoft Entra

Następne kroki