Общая политика условного доступа: требуется соответствующее устройство, гибридное устройство Microsoft Entra или многофакторная проверка подлинности для всех пользователей

Организации, в которых развернута служба Microsoft Intune, могут использовать возвращенную с устройств информацию для определения устройств, соответствующих требованиям, например:

• обязательное использование ПИН-кода для разблокировки;
• обязательное шифрование устройства;
• минимально или максимально допустимая версии операционной системы;
• отсутствие взлома или полного административного доступа.

Сведения о соответствии политик отправляются в идентификатор Microsoft Entra, где условный доступ решает предоставить или заблокировать доступ к ресурсам. Дополнительные сведения о политиках соответствия см. в статье "Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune".

Требование гибридного присоединенного устройства Microsoft Entra зависит от устройств, уже присоединенных к Microsoft Entra. Дополнительные сведения см. в статье "Настройка гибридного соединения Microsoft Entra".

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Подключение. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, область пользователям. Используйте условный доступ для удостоверений рабочей нагрузки для определения политик, предназначенных для субъектов-служб.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа, чтобы требовать многофакторную проверку подлинности, устройства, обращающиеся к ресурсам, должны быть помечены как соответствующие политикам соответствия Intune вашей организации или присоединены к гибридной среде Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.
2. Перейдите к условному доступу к защите>.
3. Выберите команду Создать политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения".>
   1. Если необходимо исключить из политики определенные приложения, их можно выбрать на вкладке Исключение в разделе Выберите исключенные облачные приложения и нажмите кнопку Выбрать.
7. Выберите Элементы управления доступом>Предоставить разрешение.
   1. Выберите "Требовать многофакторную проверку подлинности", "Требовать, чтобы устройство было помечено как соответствующее требованиям" и "Требовать гибридное присоединенное устройство Microsoft Entra"
   2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
   3. Выберите Выбрать.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Примечание.

Вы можете зарегистрировать новые устройства в Intune, даже если выбрали параметр Требовать, чтобы устройство было отмечено как соответствующее для групп Все пользователи и Все облачные приложения, выполнив описанные выше действия. Требовать, чтобы устройство было помечено как соответствующее элементу управления, не блокирует регистрацию Intune и доступ к приложению Microsoft Intune Web Корпоративный портал.

Известное поведение

В Windows 7, iOS, Android, macOS и некоторых сторонних веб-браузерах идентификатор Microsoft Entra идентифицирует устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию активации подписки, чтобы пользователи могли "шагнуть" из одной версии Windows в другую и использовать политики условного доступа для управления доступом, чтобы исключить одно из следующих облачных приложений из политик условного доступа с помощью выбора исключенных облачных приложений:

• API-интерфейсы службы универсального магазина и веб-приложение, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f.

• Магазин Windows для бизнеса, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Хотя идентификатор приложения совпадает в обоих экземплярах, имя облачного приложения зависит от клиента.

Дополнительные сведения о настройке исключений в политиках условного доступа см. в разделе "Исключения приложений".

Если устройство находится в автономном режиме в течение длительного периода времени, устройство может не активироваться автоматически, если это исключение условного доступа не выполняется. Установка этого исключения условного доступа гарантирует, что активация подписки продолжает работать без проблем.

Начиная с Windows 11 версии 23H2 с КБ 5034848 или более поздней, пользователям предлагается выполнить проверку подлинности с всплывающее уведомление, когда активация подписки должна быть повторно активирована. Всплывающее уведомление отображает следующее сообщение:

Для вашей учетной записи требуется проверка подлинности

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Кроме того, в области активации может появиться следующее сообщение:

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Запрос на проверку подлинности обычно возникает, когда устройство находится в автономном режиме в течение длительного периода времени. Это изменение устраняет необходимость исключения в политике условного доступа для Windows 11 версии 23H2 с КБ 5034848 или более поздней. Политика условного доступа по-прежнему может использоваться с Windows 11 версии 23H2 с КБ 5034848 или более поздней, если запрос на проверку подлинности пользователя через всплывающее уведомление не требуется.

Следующие шаги

Шаблоны условного доступа

Определение эффекта с помощью режима только для отчета условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.

Политики соответствия устройств работают с идентификатором Microsoft Entra