Wymaganie zgodnego urządzenia, urządzenia dołączonego hybrydowego firmy Microsoft lub uwierzytelniania wieloskładnikowego dla wszystkich użytkowników

Organizacje wdrażające usługę Microsoft Intune mogą używać informacji zwracanych z urządzeń w celu zidentyfikowania urządzeń spełniających wymagania dotyczące zgodności, takie jak:

• Wymaganie numeru PIN do odblokowania
• Wymaganie szyfrowania urządzenia
• Wymaganie minimalnej lub maksymalnej wersji systemu operacyjnego
• Wymaganie urządzenia nie jest zdjęte zabezpieczeń systemu ani odblokowane dostęp do konta root

Informacje o zgodności zasad są wysyłane do identyfikatora Entra firmy Microsoft, w którym dostęp warunkowy decyduje się na udzielenie lub zablokowanie dostępu do zasobów. Więcej informacji na temat zasad zgodności urządzeń można znaleźć w artykule Ustawianie reguł na urządzeniach w celu zezwolenia na dostęp do zasobów w organizacji przy użyciu usługi Intune

Wymaganie urządzenia hybrydowego dołączonego do firmy Microsoft Entra jest zależne od urządzeń, które są już przyłączone hybrydą firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz artykuł Konfigurowanie dołączania hybrydowego firmy Microsoft Entra.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki ułatwiają utworzenie zasad dostępu warunkowego w celu wymagania uwierzytelniania wieloskładnikowego, urządzenia, które uzyskują dostęp do zasobów, są oznaczone jako zgodne z zasadami zgodności usługi Intune w organizacji lub dołączone hybrydowe do firmy Microsoft Entra.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
   1. Jeśli musisz wykluczyć określone aplikacje z zasad, możesz wybrać je z karty Wykluczanie w obszarze Wybierz wykluczone aplikacje w chmurze i wybrać pozycję Wybierz.
7. W obszarze Kontrola>dostępu Udziel.
   1. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego, Wymagaj, aby urządzenie było oznaczone jako zgodne i Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra
   2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednego z wybranych kontrolek.
   3. Wybierz pozycję Wybierz.
8. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Uwaga

Nowe urządzenia można zarejestrować w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla pozycji Wszyscy użytkownicy i Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") przy użyciu poprzednich kroków. Wymagaj, aby urządzenie było oznaczone jako zgodne, nie blokuje rejestracji w usłudze Intune i dostępu do aplikacji microsoft Intune Web Portal firmy.

Znane zachowanie

W systemach Windows 7, iOS, Android, macOS i niektórych przeglądarkach sieci Web innych niż Microsoft identyfikator Entra identyfikuje urządzenie przy użyciu certyfikatu klienta, który jest aprowizowany, gdy urządzenie jest zarejestrowane w usłudze Microsoft Entra ID. Gdy użytkownik po raz pierwszy zaloguje się za pośrednictwem przeglądarki, zostanie wyświetlony monit o wybranie certyfikatu. Użytkownik końcowy musi wybrać ten certyfikat, zanim będzie mógł nadal korzystać z przeglądarki.

Aktywacja subskrypcji

Organizacje korzystające z funkcji aktywacji subskrypcji, aby umożliwić użytkownikom "zintensyfikowanie" z jednej wersji systemu Windows do innej i używanie zasad dostępu warunkowego w celu kontrolowania dostępu do konieczności wykluczenia jednej z następujących aplikacji w chmurze z zasad dostępu warunkowego przy użyciu opcji Wybierz wykluczone aplikacje w chmurze:

• Interfejsy API usługi uniwersalnej sklepu i aplikacja internetowa, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Sklep Windows dla firm, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Mimo że identyfikator aplikacji jest taki sam w obu wystąpieniach, nazwa aplikacji w chmurze zależy od dzierżawy.

Jeśli urządzenie jest w trybie offline przez dłuższy czas, urządzenie może nie zostać ponownie aktywowane automatycznie, jeśli to wykluczenie dostępu warunkowego nie zostanie wprowadzone. Ustawienie tego wykluczenia dostępu warunkowego gwarantuje, że aktywacja subskrypcji będzie nadal bezproblemowo działać.

Począwszy od systemu Windows 11, wersja 23H2 z KB5034848 lub nowszym, użytkownicy są monitowani o uwierzytelnienie za pomocą wyskakujące powiadomienie, gdy aktywacja subskrypcji musi ponownie uaktywnić. Wyskakujące powiadomienie zawiera następujący komunikat:

Twoje konto wymaga uwierzytelniania

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Ponadto w okienku Aktywacja może zostać wyświetlony następujący komunikat:

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Monit o uwierzytelnienie zwykle występuje, gdy urządzenie jest w trybie offline przez dłuższy czas. Ta zmiana eliminuje konieczność wykluczenia w zasadach dostępu warunkowego dla systemu Windows 11 w wersji 23H2 z KB5034848 lub nowszym. Zasady dostępu warunkowego mogą być nadal używane w systemie Windows 11 w wersji 23H2 z KB5034848 lub nowszym, jeśli monit o uwierzytelnienie użytkownika za pośrednictwem wyskakujące powiadomienie nie jest wymagane.

Następne kroki

Szablony dostępu warunkowego

Określanie efektu przy użyciu trybu tylko do uzyskiwania dostępu warunkowego

Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.

Zasady zgodności urządzeń działają z identyfikatorem Entra firmy Microsoft