Udostępnij za pośrednictwem

Budowanie odporności za pomocą stanów urządzeń

  • Artykuł

Włączając stany urządzeń przy użyciu identyfikatora Entra firmy Microsoft, administratorzy mogą tworzyć zasady dostępu warunkowego, które kontrolują dostęp do aplikacji na podstawie stanu urządzenia. Włączenie stanów urządzeń spełnia silne wymagania dotyczące uwierzytelniania dla dostępu do zasobów, zmniejsza liczbę żądań uwierzytelniania wieloskładnikowego i zwiększa odporność.

Poniższy wykres blokowy przedstawia sposoby dołączania urządzeń w usłudze Microsoft Entra ID, które umożliwiają stany urządzeń. Możesz użyć więcej niż jednego w organizacji.

schemat blokowy do wybierania stanów urządzeń

W przypadku korzystania ze stanów urządzeń w większości przypadków użytkownicy będą używać logowania jednokrotnego do zasobów za pośrednictwem podstawowego tokenu odświeżania (PRT). PrT zawiera oświadczenia dotyczące użytkownika i urządzenia. Tych oświadczeń można użyć, aby uzyskać tokeny uwierzytelniania w celu uzyskania dostępu do aplikacji z urządzenia. Żądanie ściągnięcia jest ważne przez 14 dni i jest stale odnawiane, o ile użytkownik aktywnie korzysta z urządzenia, zapewniając użytkownikom odporne środowisko. Aby uzyskać więcej informacji na temat sposobu uzyskiwania oświadczeń uwierzytelniania wieloskładnikowego przez prT, zobacz Kiedy żądanie PRT uzyskuje oświadczenie uwierzytelniania wieloskładnikowego.

Jak urządzenie może pomóc?

Gdy żądanie PRT żąda dostępu do aplikacji, jego urządzenie, sesja i oświadczenia uwierzytelniania wieloskładnikowego są zaufane przez identyfikator Entra firmy Microsoft. Gdy administratorzy tworzą zasady wymagające kontroli opartej na urządzeniach lub wieloskładnikowej kontroli uwierzytelniania, wymaganie zasad można spełnić za pośrednictwem stanu urządzenia bez próby uwierzytelniania wieloskładnikowego. Użytkownicy nie będą widzieć większej liczby monitów uwierzytelniania wieloskładnikowego na tym samym urządzeniu. Zwiększa to odporność na zakłócenia usługi uwierzytelniania wieloskładnikowego firmy Microsoft lub zależności, takich jak lokalni dostawcy usług telekomunikacyjnych.

Jak mogę implementować stany urządzeń?

  • Włącz dołączenie hybrydowe firmy Microsoft Entra i dołączenie do firmy Microsoft Entra dla urządzeń z systemem Windows należących do firmy i w miarę możliwości wymaga ich dołączenia. Jeśli nie jest to możliwe, należy je zarejestrować. Jeśli w organizacji istnieją starsze wersje systemu Windows, uaktualnij te urządzenia do korzystania z systemu Windows 10.
  • Standaryzacja dostępu przeglądarki użytkowników do korzystania z przeglądarki Microsoft Edge lub Google Chrome z rozszerzeniem Microsoft Logowanie jednokrotne, które umożliwia bezproblemowe logowanie jednokrotne do aplikacji internetowych przy użyciu prT.
  • W przypadku urządzeń osobistych lub firmowych z systemami iOS i Android wdróż aplikację Microsoft Authenticator. Oprócz możliwości logowania bez uwierzytelniania wieloskładnikowego i bez hasła aplikacja Microsoft Authenticator umożliwia logowanie jednokrotne w aplikacjach natywnych za pośrednictwem uwierzytelniania obsługiwanego przez brokera z mniejszą liczbą monitów o uwierzytelnienie dla użytkowników końcowych.
  • W przypadku urządzeń osobistych lub firmowych z systemami iOS i Android użyj zarządzania aplikacjami mobilnymi, aby bezpiecznie uzyskiwać dostęp do zasobów firmy z mniejszą liczbą żądań uwierzytelniania.
  • W przypadku urządzeń z systemem macOS użyj wtyczki microsoft Enterprise SSO dla urządzeń firmy Apple (wersja zapoznawcza), aby zarejestrować urządzenie i zapewnić logowanie jednokrotne w przeglądarce i natywnych aplikacjach firmy Microsoft Entra. Następnie w zależności od środowiska wykonaj kroki specyficzne dla usługi Microsoft Intune lub Jamf Pro.

Następne kroki

Zasoby odporności dla administratorów i architektów

Zasoby odporności dla deweloperów