Стандартные способы использования условного доступа с помощью Intune

Существует два типа политик условного доступа, которые можно использовать в Intune: условный доступ на основе устройств и условный доступ на основе приложений. Чтобы поддерживать каждую из них, необходимо настроить связанные политики Intune. Когда политики Intune развернуты и применены, вы можете использовать условный доступ для таких действий, как разрешение или блокировка доступа к Exchange, управление доступом к вашей сети или интеграция с решением защиты от угроз на мобильных устройствах.

Сведения в этой статье помогут вам понять, как использовать возможности соответствия требованиям мобильного устройства Intune и возможности управления мобильным приложением Intune (MAM).

Примечание

Условный доступ — это функция Azure Active Directory (Azure AD), которая входит в лицензию Azure AD Premium. Intune расширяет эту возможность, добавляя в решение средства для обеспечения соответствия мобильных устройств и для управления мобильными приложениями. Узел условного доступа, доступ к которому осуществляется из Intune, является тем же узлом, доступ к которому осуществляется из Azure AD.

Условный доступ на основе устройств

Благодаря совместному использованию Intune и Azure AD доступ к службам электронной почты вашей организации, службам Microsoft 365, программному обеспечению как услуге (SaaS) и локальным приложениям могут получить только управляемые и совместимые устройства. Кроме того, в Azure AD можно задать политику, разрешающую доступ к службам Microsoft 365 только компьютерам или мобильным устройствам, присоединенным к домену и зарегистрированным в Intune.

С помощью Intune вы можете развернуть политики соответствия устройств требованиям, чтобы определить, соответствует ли устройство ожидаемым требованиям к конфигурации и безопасности. Оценка политики соответствия требованиям определяет состояние соответствия устройств, которое сообщается как в Intune, так и в Azure AD. Политики условного доступа в Azure AD могут использовать состояние соответствия устройства требованиям для принятия решений о том, разрешать или блокировать доступ к ресурсам вашей организации с этого устройства.

Политики условного доступа на основе устройств для Exchange Online и других продуктов Microsoft 365 настраиваются в центре администрирования Microsoft Endpoint Manager.

Примечание

При включении доступа на основе устройств к содержимому, доступному пользователям из приложений браузера на устройствах с персональным рабочим профилем Android, пользователи, зарегистрированные до января 2021 года, должны включить доступ в браузере следующим образом:

  1. Запустите приложение Корпоративный портал.
  2. Откройте в меню страницу Параметры.
  3. В разделе Включить доступ в браузере коснитесь кнопки Включить.
  4. Закройте и перезапустите приложение браузера.

Это позволяет получить доступ к приложениям браузера, но не к представлениям WebViews браузера, которые открываются в приложениях.

Приложения, доступные в рамках условного доступа для управления Microsoft Intune

При настройке условного доступа на портале Azure AD вы можете выбрать два приложения:

  1. Microsoft Intune — приложение для управления доступом к консоли Microsoft Endpoint Manager и источникам данных. Настраивайте предоставление разрешений и элементы управления для этого приложения, ориентированные на консоль Microsoft Endpoint Manager и источники данных.
  2. Microsoft Intune Enrollment — приложение для управления рабочим процессом регистрации. Настраивайте предоставление разрешений и элементы управления для этого приложения, ориентированные на процесс регистрации. Дополнительные сведения см. в статье Настройка обязательной многофакторной проверки подлинности для регистрации устройств в Intune.

Условный доступ на основе управления доступом к сети

Intune интегрируется с такими партнерами, как Cisco ISE, Aruba Clear Pass и Citrix NetScaler, чтобы обеспечить контроль доступа на основе регистрации Intune и состояния соответствия устройств.

Пользователям может быть разрешен или запрещен доступ к корпоративным ресурсам Wi-Fi или VPN в зависимости от того, управляется ли используемое ими устройство и соответствует ли оно политикам соответствия устройств Intune.

Условный доступ на основе рисках для устройств

Служба Intune работает в партнерстве с поставщиками защиты от угроз на мобильных устройствах, которые предлагают решения для обеспечения безопасности, позволяющие обнаруживать вредоносные программы, трояны и другие угрозы на мобильных устройствах.

Принципы интеграции защиты от угроз на мобильных устройствах с Intune

Если на мобильных устройствах установлен агент Mobile Threat Defense, он отправляет сообщения о состоянии соответствия требованиям обратно в Intune, чтобы сообщить об обнаружении угрозы на самом мобильном устройстве.

Интеграция Intune с защитой от угроз на мобильных устройствах является одним из факторов, определяющих решение о предоставлении условного доступа на основе сведений о рисках для устройства.

Условный доступ для компьютеров с Windows

Условный доступ для компьютеров позволяет использовать возможности, аналогичные тем, что доступны для мобильных устройств. Рассмотрим способы использования условного доступа при управлении компьютерами с помощью Intune.

Корпоративные устройства

  • Устройства с гибридным присоединением к Azure AD. Этот вариант обычно используется организациями, которые в достаточной мере удовлетворены текущим управлением компьютерами при помощи групповых политик AD или Configuration Manager.

  • Устройства, присоединенные к домену Azure AD и управляемые Intune. Этот сценарий предназначен для организаций, которые хотят использовать в первую очередь облако (то есть, они в первую очередь используют облачные службы с целью сокращения использования локальной инфраструктуры) или только облачную среду (без локальной инфраструктуры). Присоединение к Azure AD хорошо работает в гибридной среде, обеспечивая доступ как к облачным, так и к локальным приложениям и ресурсам. Устройство присоединяется к Azure AD и регистрируется в Intune, что может использоваться в качестве критерия условного доступа при доступе к корпоративным ресурсам.

Принеси свое устройство (BYOD)

  • Workplace Join и управление Intune. Здесь пользователь может подключить свои личные устройства для доступа к корпоративным ресурсам и службам. Workplace Join и регистрацию устройств в Intune MDM можно использовать для получения политик на уровне устройства, что является одним из способов оценить соблюдение критериев условного доступа.

Дополнительные сведения см. в разделе Управление устройствами в Azure Active Directory.

Условный доступ на основе приложения

Совместное применение Intune и Azure AD позволяет гарантировать, что доступ к корпоративной электронной почте и службам Microsoft 365 будут получать только управляемые приложения.

Условный доступ Intune для локальной организации Exchange

Условный доступ можно использовать для разрешения или блокирования доступа к локальной среде Exchange на основе политик соответствия устройств и состояния регистрации. При использовании условного доступа совместно с политикой соответствия устройства доступ к локальной среде Exchange получают только соответствующие устройства.

Для более детализированного управления можно настроить дополнительные параметры условного доступа, включая следующие.

  • Разрешение или блокировка определенных платформ.

  • Немедленная блокировка устройств, которые не управляются Intune.

В случае, когда применяются политики соответствия устройств и условного доступа, любое устройство, пытающееся получить доступ к локальной среде Exchange, проверяется на соответствие требованиям.

Если устройства не удовлетворяют заданным условиям, запускается процесс регистрации устройства, чтобы устранить проблему, которая делает устройство несоответствующим.

Примечание

Начиная с июля 2020 года поддержка соединителя Exchange не рекомендуется и заменена на гибридную современную проверку подлинности (HMA) Exchange. Использование HMA не требует установки Intune и использования соединителя Exchange. После этого изменения пользовательский интерфейс для настройки и управления соединителем Exchange для Intune удаляется из Центра администрирования Microsoft Endpoint Manager, если для подписки уже не используется соединитель Exchange.

Если в вашей среде настроен соединитель Exchange, клиент Intune по-прежнему будет поддерживаться и у вас останется доступ к пользовательскому интерфейсу, который поддерживает его конфигурацию. Дополнительные сведения см. в статье Установка локального соединителя Exchange. Вы можете продолжить использовать соединитель или настроить HMA, а затем удалить соединитель.

Гибридная современная проверка подлинности предоставляет функции, которые ранее были предоставлены соединителем Exchange для Intune: сопоставление удостоверения устройства с записью Exchange. Это сопоставление теперь выполняется за пределами конфигурации, которую вы создаете в Intune, или требований соединителя Intune для соединения Intune и Exchange. При использовании HMA требование к использованию специальной конфигурации для Intune (соединителя) больше не применяется.

В чем заключается роль Intune?

Intune оценивает и контролирует состояние устройства.

В чем заключается роль сервера Exchange?

Сервер Exchange предоставляет API и инфраструктуру для перевода устройств в карантин.

Важно!

Имейте в виду, что пользователь, использующий устройство, должен иметь профиль соответствия и назначенную ему лицензию Intune, позволяющие оценить соответствие устройства. Если политика соответствия не развернута для пользователя, устройство считается соответствующим, поэтому ограничения доступа к нему не применяются.

Дальнейшие действия

Настройка условного доступа в Azure Active Directory

Настройка политик условного доступа на основе приложений

Создание политики условного доступа для локальной организации Exchange