Общая политика условного доступа. Требовать соответствующее устройство, гибридное устройство Azure AD присоединенное устройство или многофакторную проверку подлинности для всех пользователей

Организации, в которых развернута служба Microsoft Intune, могут использовать возвращенную с устройств информацию для определения устройств, соответствующих требованиям, например:

• обязательное использование ПИН-кода для разблокировки;
• обязательное шифрование устройства;
• минимально или максимально допустимая версии операционной системы;
• отсутствие взлома или полного административного доступа.

Сведения о соответствии политике отправляются в Azure AD, где на основе правил условного доступа определяется, предоставить или заблокировать доступ к ресурсам. Дополнительные сведения о политиках соответствия см. в статье "Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune".

Необходимость использования устройства, с гибридным присоединением к Azure AD, зависит от устройств, для которых уже используется гибридное присоединение к Azure AD. Дополнительные сведения см. в статье Настройка гибридного присоединения к Azure AD.

Пользовательские исключения

Политики условного доступа — это мощные средства. Мы рекомендуем исключить из политик следующие учетные записи:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения можно найти в статье Управление учетными записями для аварийного доступа в Azure AD.
• Учетные записи служб и участники-службы, например учетная запись синхронизации Azure AD Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, выполняемые субъектами-службами, не будут блокироваться политиками условного доступа, доступными для пользователей. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, предназначенные для субъектов-служб.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив действия, описанные ниже, или воспользоваться шаблонами условного доступа (предварительная версия).

Создание политики условного доступа

Следующие действия помогут создать политику условного доступа, требующую многофакторной проверки подлинности, устройства, обращаюющиеся к ресурсам, будут помечены как соответствующие политикам соответствия Intune вашей организации или гибридные Azure AD присоединены.

1. Войдите на портал Azure в роли администратора условного доступа, администратора безопасности или глобального администратора.
2. Выберите Azure Active Directory>Безопасность>Условный доступ.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. В разделе Облачные приложения или действия>Включить выберите Все облачные приложения.
   1. Если необходимо исключить из политики определенные приложения, их можно выбрать на вкладке Исключение в разделе Выберите исключенные облачные приложения и нажмите кнопку Выбрать.
7. Выберите Элементы управления доступомПредоставить разрешение.
   1. Выберите Требовать многофакторную проверку подлинности, Требовать, чтобы устройство было отмечено как совместимое, и Требовать гибридное устройство, присоединенное к Azure AD.
   2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
   3. Щелкните Выбрать.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Примечание

Вы можете зарегистрировать новые устройства в Intune, даже если выбрали параметр Требовать, чтобы устройство было отмечено как соответствующее для групп Все пользователи и Все облачные приложения, выполнив описанные выше действия. Требование пометить устройство как соответствующее элементу управления не блокирует регистрацию Intune и доступ к приложению веб-Корпоративный портал Microsoft Intune.

Известное поведение

В Windows 7, iOS, Android, macOS и некоторых сторонних веб-браузерах Azure AD определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства в Azure AD. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию активации подписки , чтобы пользователи могли переходить от одной версии Windows к другой, могут исключить API службы Universal Store и веб-приложение AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из политики условного доступа.

Дальнейшие действия

Распространенные политики условного доступа

Определение влияния условного доступа в режиме "только отчет"

Моделирование поведения входа с помощью средства What If условного доступа

Политики соответствия устройства работают с Azure AD