Blokuj nieznaną lub nieobsługiwaną platformę urządzeń

Użytkownicy nie mogą uzyskiwać dostępu do zasobów firmy, gdy typ urządzenia jest nieznany lub nieobsługiwany.

Warunek platformy urządzenia opiera się na ciągach identyfikacyjnych agenta użytkownika. Zasady dostępu warunkowego korzystające z tego warunku powinny być używane z innymi zasadami, takimi jak takie, które wymagają zgodności urządzeń lub zasad ochrony aplikacji, aby ograniczyć ryzyko fałszowania agenta użytkownika.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta awaryjne, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości usług, aby zdefiniować zasady przeznaczone dla pryncypałów usługi.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
2. Przejdź do Entra ID>zasad dostępu warunkowego>(Zasady).
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W sekcji Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążenia.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub ratunkowe w organizacji.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
7. W obszarze Warunki wybierz pozycję Platformy urządzeń
   1. Ustaw pozycję Konfiguruj na Wartość Tak.
   2. W obszarze Dołącz wybierz pozycję Dowolne urządzenie
   3. W obszarze Wyklucz wybierz pozycję Android, iOS, Windows i macOS.

      Uwaga

      W przypadku tego wykluczenia wybierz wszystkie platformy używane przez organizację i pozostaw inne niezaznaczone.

   4. Wybierz pozycję Gotowe.
8. W obszarze Kontrola dostępu>Przyznawanie, wybierz pozycję Blokuj dostęp, a następnie wybierz pozycję Wybierz.
9. Potwierdź ustawienia i ustaw opcję Włącz zasady na Tylko raport.
10. Wybierz Utwórz, aby włączyć swoją zasadę.

Gdy administratorzy ocenią ustawienia zasad przy użyciu trybu wpływu zasad lub trybu tylko do raportu, mogą przenieść przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.

Następne kroki

• Szablony dostępu warunkowego

• Użyj trybu wyłącznie raportowania dla Dostępu Warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.