Условный доступ: фильтр для устройств

При создании политик условного доступа администраторы получают запрос на возможность назначения или исключения определенных устройств в их среде. Фильтр условий для устройств предоставляет администраторам эту возможность. Теперь можно ориентироваться на определенные устройства с помощью поддерживаемых операторов и свойств для фильтров устройств и других доступных условий назначения в политиках условного доступа.

Распространенные сценарии

Есть несколько сценариев, в которых организации теперь могут использовать фильтр для состояния устройств. В следующих сценариях приведены примеры использования этого нового условия.

• Ограничение доступа к привилегированным ресурсам. В этом примере можно сказать, что вы хотите разрешить доступ к API управления службами Windows Azure от пользователя, которому назначена привилегированная роль, выполнила многофакторную проверку подлинности и доступ к ней с устройства, которое является привилегированным или защищенным рабочими станциями администрирования и подтверждено как соответствующее. В этом сценарии организации создадут две политики условного доступа:
  • Политика 1. Все пользователи с ролью администратора, доступ к облачному приложению API управления службами Windows Azure, а также для управления доступом, предоставление доступа, но требуют многофакторной проверки подлинности и требуют, чтобы устройство было помечено как соответствующее.
  • Политика 2. Все пользователи с администратором, обращающиеся к облачному приложению API управления службами Windows Azure, за исключением фильтра для устройств, использующих устройство выражения правил device.extensionAttribute1, равно SAW и для элементов управления доступом, блокировать. Узнайте, как обновить extensionAttributes в объекте устройства Microsoft Entra.
• Блокировка доступа к ресурсам организации с устройств, работающих с неподдерживаемой операционной системой. В этом примере, допустим, требуется заблокировать доступ к ресурсам из ОС Windows версии старше, чем Windows 10. В этом сценарии организации создадут следующую политику условного доступа:
  • Все пользователи, осуществляющие доступ ко всем облачным приложениям, исключая фильтр для устройств, использующих выражение правила device.operatingSystem равно Windows и device.operatingSystemVersion startsWith "10.0"; элементы управления доступом — блокировать.
• Не требовать многофакторной проверки подлинности для определенных учетных записей на определенных устройствах. В этом примере, скажем, нужно не требовать многофакторной проверки подлинности при использовании учетных записей службы на определенных устройствах, таких как телефоны Teams или устройства Surface Hub. В этом сценарии организации создадут следующие две политики условного доступа:
  • Политика 1. Все пользователи, кроме учетных записей служб, получающие доступ ко всем облачным приложениям; элементы управления доступом предоставляют доступ, но требуют многофакторную проверку подлинности.
  • Политика 2. Выберите пользователей и группы, а затем включите группу, содержащую только учетные записи служб, получающие доступ ко всем облачным приложениям, исключая фильтр для устройств, использующие выражение правила device.extensionAttribute2 не равно TeamsPhoneDevice; элементы управления доступом запрещают доступ.

Примечание.

Идентификатор Microsoft Entra использует проверку подлинности устройства для оценки правил фильтрации устройств. Для устройства, незарегистрированного с идентификатором Microsoft Entra ID, все свойства устройства считаются значениями NULL и атрибуты устройства не могут быть определены, так как устройство не существует в каталоге. Лучший способ назначить политики для незарегистрированных устройств — использовать отрицательный оператор, так как будет применяться настроенное правило фильтрации. Если вы использовали положительный оператор, правило фильтрации будет применяться только в том случае, если устройство существует в каталоге, а настроенное правило соответствует атрибуту на устройстве.

Создание политики условного доступа

Фильтр для устройств является необязательным элементом управления при создании политики условного доступа.

Следующие шаги помогут создать две политики условного доступа для включения поддержки первого сценария в типичных сценариях.

Политика 1. Все пользователи с ролью администратора, доступ к облачному приложению API управления службами Windows Azure, а также для управления доступом, предоставление доступа, но требуют многофакторной проверки подлинности и требуют, чтобы устройство было помечено как соответствующее.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите команду Создать политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

   1. В разделе "Включить" выберите роли каталога, а затем все роли с администратором в имени.

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются к ролям других типов, включая роли административных единиц или пользовательские роли.

   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.

   3. Нажмите кнопку Готово.

6. В разделе "Целевые ресурсы>Облачные приложения включают>выбор приложений>", выберите API управления службами Windows Azure и выберите "Выбрать".
7. В разделе ">Предоставление доступа" выберите "Предоставить доступ", "Требовать многофакторную проверку подлинности" и "Требовать, чтобы устройство было помечено как соответствующее" и нажмите кнопку "Выбрать".
8. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
9. Нажмите Создать, чтобы создать и включить политику.

Политика 2. Все пользователи с ролью администратора, доступ к облачному приложению API управления службами Windows Azure, за исключением фильтра для устройств, использующих выражение правила device.extensionAttribute1, равно SAW и для элементов управления доступом, блокировать.

1. Выберите команду Создать политику.
2. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
3. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

   1. В разделе "Включить" выберите роли каталога, а затем все роли с администратором в имени

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются к ролям других типов, включая роли административных единиц или пользовательские роли.

   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.

   3. Нажмите кнопку Готово.

4. В разделе "Целевые ресурсы>Облачные приложения включают>выбор приложений>", выберите API управления службами Windows Azure и выберите "Выбрать".
5. В разделе Условия выберите Фильтр для устройств.
   1. Задайте для параметра Настроить значение Да.
   2. Задайте для параметра Devices matching the rule (Устройства, соответствующие правилу) значение Exclude filtered devices from policy (Исключить отфильтрованные устройства из политики).
   3. Укажите свойство ExtensionAttribute1, оператор Equals и значение SAW.
   4. Нажмите кнопку Готово.
6. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
7. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
8. Нажмите Создать, чтобы создать и включить политику.

Предупреждение

Политики, требующие совместимых устройств, могут запрашивать пользователей в Mac, iOS и Android выбрать сертификат устройства во время оценки политики, даже если соответствие устройств не применяется. Эти запросы могут повторяться до тех пор, пока устройство не будет установлено соответствующим требованиям.

Указание значений атрибутов

Задать атрибуты расширения можно с помощью API Graph. Дополнительные сведения о настройке атрибутов устройства см. в статье Обновление устройства.

Фильтр для устройств API Graph

Фильтр для API устройств доступен в конечной точке Microsoft Graph версии 1.0 и может быть доступен с помощью конечной точки https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Вы можете настроить фильтр для устройств при создании новой политики условного доступа или обновить доступную политику, чтобы настроить фильтр для состояния устройств. Чтобы обновить существующую политику, можно выполнить вызов исправления в конечной точке Microsoft Graph версии 1.0, добавив идентификатор политики существующей политики и выполнив следующий текст запроса. В этом примере показано, как настроить фильтр для условий устройств, за исключением устройств, которые не помечены как устройства SAW. Синтаксис правила позволяет использовать несколько выражений. Дополнительные сведения о синтаксисе см. в разделе правил динамического членства для групп в идентификаторе Microsoft Entra.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Поддерживаемые операторы и свойства устройств для фильтров

В условном доступе можно использовать следующие атрибуты устройства с фильтром для состояния устройств.

Примечание.

Идентификатор Microsoft Entra использует проверку подлинности устройства для оценки правил фильтрации устройств. Для устройства, незарегистрированного с идентификатором Microsoft Entra ID, все свойства устройства считаются значениями NULL и атрибуты устройства не могут быть определены, так как устройство не существует в каталоге. Лучший способ назначить политики для незарегистрированных устройств — использовать отрицательный оператор, так как будет применяться настроенное правило фильтрации. Если вы использовали положительный оператор, правило фильтрации будет применяться только в том случае, если устройство существует в каталоге, а настроенное правило соответствует атрибуту на устройстве.

Поддерживаемые атрибуты устройств	Поддерживаемые операторы	Поддерживаемые значения	Пример
deviceId	Equals, NotEquals, In, NotIn	Допустимый идентификатор deviceId, являющийся GUID.	(device.deviceid -eq "498c4de7-1aee-4ded-8d5d-000000000000")
displayName	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Любая строка.	(device.displayName -contains "ABC")
deviceOwnership	Equals, NotEquals	Поддерживаемые значения — "Персональный" для привлечения собственных устройств и "Компания" для корпоративных устройств	(device.deviceOwnership -eq "Company")
isCompliant	Equals, NotEquals	Поддерживаются значения True для совместимых устройств и False для несовместимых устройств	(device.isCompliant -eq "True")
manufacturer	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Любая строка.	(device.manufacturer -startsWith "Microsoft")
mdmAppId	Equals, NotEquals, In, NotIn	Допустимый идентификатор приложения MDM.	(device.mdmAppId -in ["0000000a-0000-0000-c000-000000000000"]
модель	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Любая строка.	(device.model -notContains "Surface")
operatingSystem	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Допустимая операционная система (например, Windows, iOS или Android).	(device.operatingSystem -eq "Windows")
operatingSystemVersion	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	Допустимая версия операционной системы (например, 6.1 для Windows 7, 6.2 для Windows 8 или 10.0 для Windows 10 и Windows 11).	(device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds	Contains, NotContains	В качестве примера все устройства Автопилота Windows хранят ZTDId (уникальное значение, назначаемое всем импортированным устройствам Автопилота Windows ) в свойстве physicalIds устройства.	(device.physicalIds -contains "[ZTDId]:value")
profileType	Equals, NotEquals	Допустимый тип профиля, заданный для устройства. Поддерживаемые значения: RegisteredDevice (по умолчанию), SecureVM (используется для виртуальных машин Windows в Azure с поддержкой входа Microsoft Entra), Принтер (используется для принтеров), Общий (используемый для общих устройств), IoT (используется для устройств Интернета вещей)	(device.profileType -eq "Принтер")
systemLabels	Contains, NotContains	Список меток, примененных к устройству системой. Некоторые поддерживаемые значения: AzureResource (используется для виртуальных машин Windows в Azure с поддержкой входа Microsoft Entra), M365Managed (используется для устройств, управляемых с помощью Управляемого рабочего стола Майкрософт), MultiUser (используется для общих устройств)	(device.systemLabels -contains "M365Managed")
trustType	Equals, NotEquals	Допустимое состояние регистрации для устройств. Поддерживаемые значения: AzureAD (используется для устройств, присоединенных к Microsoft Entra), ServerAD (используется для гибридных устройств, присоединенных к Microsoft Entra), Workplace (используется для зарегистрированных устройств Microsoft Entra)	(device.trustType -eq "ServerAD")
extensionAttribute1-15	Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn	extensionAttributes1-15 — это атрибуты, которые клиенты могут использовать для объектов устройств. Клиенты могут обновлять любые из extensionAttributes1-15, указывая пользовательские значения и используя их в фильтре для состояния устройств в условном доступе. Можно использовать любое строковое значение.	(device.extensionAttribute1 -eq "SAW")

Примечание.

При создании сложных правил или использовании слишком большого количества отдельных идентификаторов, таких как deviceid для удостоверений устройств, помните, что максимальная длина правила фильтра составляет 3072 символов.

Примечание.

Операторы Contains и NotContains работают по-разному в зависимости от типов атрибутов. Для строковых атрибутов, таких как operatingSystem и model, оператор Contains указывает, имеется ли заданная подстрока в атрибуте. Для атрибутов строковых коллекций, таких как physicalIds и systemLabels, оператор Contains указывает, совпадает ли заданная строка целиком с одной из строк в коллекции.

Предупреждение

Устройства должны быть управляемыми, совместимыми с Microsoft Intune или гибридными соединениями Microsoft Entra, чтобы значение было доступно в extensionAttributes1-15 во время оценки политики условного доступа.

Реакция на событие политики с фильтром для устройств

Фильтр для условий устройств в условном доступе оценивает политику на основе атрибутов устройства зарегистрированного устройства в идентификаторе Microsoft Entra ID, поэтому важно понимать, в каких обстоятельствах политика применяется или не применяется. В следующей таблице показано поведение при настройке фильтра для условий устройств.

Фильтр для состояния устройств	Состояние регистрации устройства	Фильтр устройств применен
Режим включения и исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование любых атрибутов	Незарегистрированное устройство	No
Режим включения и исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование атрибутов, исключая extensionAttributes1-15	Зарегистрированное устройство	Да, если условия соблюдены
Режим включения и исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование атрибутов, включая extensionAttributes1-15	Зарегистрированное устройство под управлением Intune	Да, если условия соблюдены
Режим включения и исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование атрибутов, включая extensionAttributes1-15	Зарегистрированное устройство не под управлением Intune	Да, если условия соблюдены. Если используется extensionAttributes1-15, политика будет применяться, если устройство соответствует требованиям или гибридное присоединение к Microsoft Entra
Режим включения и исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) и использование любых атрибутов	Незарегистрированное устройство	Да
Режим включения и исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn), исключая extensionAttributes1-15	Зарегистрированное устройство	Да, если условия соблюдены
Режим включения и исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn), включая extensionAttributes1-15	Зарегистрированное устройство под управлением Intune	Да, если условия соблюдены
Режим включения и исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn), включая extensionAttributes1-15	Зарегистрированное устройство не под управлением Intune	Да, если условия соблюдены. Если используется extensionAttributes1-15, политика будет применяться, если устройство соответствует требованиям или гибридное присоединение к Microsoft Entra

Следующие шаги

• Повторение. Правильное использование логических значений в сложных фильтрах
• Обновление устройства: API Graph
• Условный доступ. Условия
• Распространенные политики условного доступа
• Защита устройств как часть истории привилегированного доступа