Стандартные способы использования условного доступа с помощью Intune
Существует два типа политик условного доступа, которые можно использовать в Intune: условный доступ на основе устройств и условный доступ на основе приложений. Чтобы поддерживать каждую из них, необходимо настроить связанные политики Intune. Когда политики Intune развернуты и применены, вы можете использовать условный доступ для таких действий, как разрешение или блокировка доступа к Exchange, управление доступом к вашей сети или интеграция с решением защиты от угроз на мобильных устройствах.
Сведения в этой статье помогут вам понять, как использовать возможности соответствия требованиям мобильного устройства Intune и возможности управления мобильным приложением Intune (MAM).
Примечание.
Условный доступ — это возможность Microsoft Entra, включенная в лицензию Microsoft Entra С идентификатором P1 или P2. Intune расширяет эту возможность, добавляя в решение средства для обеспечения соответствия мобильных устройств и для управления мобильными приложениями. Узел условного доступа, к который обращается из Intune, является тем же узлом, что и из Microsoft Entra идентификатора.
Условный доступ на основе устройств
Intune и идентификатор Microsoft Entra работают вместе, чтобы только управляемые и соответствующие устройства могли получать доступ к электронной почте вашей организации, службам Microsoft 365, приложениям SaaS (программное обеспечение как услуга) и локальным приложениям. Кроме того, можно настроить политику в Microsoft Entra идентификаторе, чтобы разрешить доступ к службам Microsoft 365 только присоединенным к домену компьютерам или мобильным устройствам, зарегистрированным в Intune.
С помощью Intune вы можете развернуть политики соответствия устройств требованиям, чтобы определить, соответствует ли устройство ожидаемым требованиям к конфигурации и безопасности. Оценка политики соответствия требованиям определяет состояние соответствия устройств, которое сообщается Intune и идентификатору Microsoft Entra. Именно в Microsoft Entra идентификаторе политики условного доступа могут использовать состояние соответствия устройства для принятия решений о том, следует ли разрешать или блокировать доступ к ресурсам вашей организации с этого устройства.
Политики условного доступа на основе устройств для Exchange Online и других продуктов Microsoft 365 настраиваются в Центре администрирования Microsoft Intune.
Дополнительные сведения см. в статье Требовать управляемые устройства с условным доступом в Microsoft Entra id.
Дополнительные сведения см. в разделе о соответствии требованиям устройств Intune.
Дополнительные сведения о поддерживаемых браузерах с условным доступом в Microsoft Entra id.
Примечание.
При включении доступа на основе устройств к содержимому, доступному пользователям из приложений браузера на устройствах с персональным рабочим профилем Android, пользователи, зарегистрированные до января 2021 года, должны включить доступ в браузере следующим образом:
- Запустите приложение Корпоративный портал.
- Откройте в меню страницу Параметры.
- В разделе Включить доступ в браузере коснитесь кнопки Включить.
- Закройте и перезапустите приложение браузера.
Это позволяет получить доступ к приложениям браузера, но не к представлениям WebViews браузера, которые открываются в приложениях.
Приложения, доступные в рамках условного доступа для управления Microsoft Intune
При настройке условного доступа в Центре администрирования Microsoft Entra у вас есть два приложения на выбор:
- Microsoft Intune. Это приложение управляет доступом к центру администрирования Microsoft Intune и источникам данных. Настройте разрешения и элементы управления в этом приложении, если вы хотите нацелиться на центр администрирования Microsoft Intune и источники данных.
- Microsoft Intune Enrollment — приложение для управления рабочим процессом регистрации. Настраивайте предоставление разрешений и элементы управления для этого приложения, ориентированные на процесс регистрации. Дополнительные сведения см. в статье Настройка обязательной многофакторной проверки подлинности для регистрации устройств в Intune.
Условный доступ на основе управления доступом к сети
Intune интегрируется с такими партнерами, как Cisco ISE, Aruba Clear Pass и Citrix NetScaler, чтобы обеспечить контроль доступа на основе регистрации Intune и состояния соответствия устройств.
Пользователям может быть разрешен или запрещен доступ к корпоративным ресурсам Wi-Fi или VPN в зависимости от того, управляется ли используемое ими устройство и соответствует ли оно политикам соответствия устройств Intune.
- Дополнительные сведения см. в разделе об интеграции NAC с Intune.
Условный доступ на основе рисках для устройств
Служба Intune работает в партнерстве с поставщиками защиты от угроз на мобильных устройствах, которые предлагают решения для обеспечения безопасности, позволяющие обнаруживать вредоносные программы, трояны и другие угрозы на мобильных устройствах.
Принципы интеграции защиты от угроз на мобильных устройствах с Intune
Если на мобильных устройствах установлен агент Mobile Threat Defense, он отправляет сообщения о состоянии соответствия требованиям обратно в Intune, чтобы сообщить об обнаружении угрозы на самом мобильном устройстве.
Интеграция Intune с защитой от угроз на мобильных устройствах является одним из факторов, определяющих решение о предоставлении условного доступа на основе сведений о рисках для устройства.
- Дополнительные сведения см. в разделе о защите от угроз на мобильных устройствах в Intune.
Условный доступ для компьютеров с Windows
Условный доступ для компьютеров позволяет использовать возможности, аналогичные тем, что доступны для мобильных устройств. Рассмотрим способы использования условного доступа при управлении компьютерами с помощью Intune.
Корпоративные устройства
Microsoft Entra гибридное присоединение. Этот вариант обычно используется организациями, которые достаточно хорошо знакомы с тем, как они уже управляют своими компьютерами с помощью групповых политик AD или Configuration Manager.
Microsoft Entra присоединение к домену и управление Intune. Этот сценарий предназначен для организаций, которые хотят использовать облачные службы в первую очередь с целью сократить использование локальной инфраструктуры) или только для облака (без локальной инфраструктуры). Microsoft Entra объединение хорошо работает в гибридной среде, обеспечивая доступ как к облачным, так и локальным приложениям и ресурсам. Устройство присоединяется к идентификатору Microsoft Entra и регистрируется в Intune, который можно использовать в качестве условия условного доступа при доступе к корпоративным ресурсам.
Принеси свое устройство (BYOD)
- Workplace Join и управление Intune. Здесь пользователь может подключить свои личные устройства для доступа к корпоративным ресурсам и службам. Workplace Join и регистрацию устройств в Intune MDM можно использовать для получения политик на уровне устройства, что является одним из способов оценить соблюдение критериев условного доступа.
Дополнительные сведения о Управление устройствами в идентификаторе Microsoft Entra.
Условный доступ на основе приложения
Intune и идентификатор Microsoft Entra работают вместе, чтобы только управляемые приложения могли получать доступ к корпоративной электронной почте или другим службам Microsoft 365.
- Дополнительные сведения см. в разделе об условном доступе на основе приложений с помощью Intune.
Условный доступ Intune для локальной организации Exchange
Условный доступ можно использовать для разрешения или блокирования доступа к локальной среде Exchange на основе политик соответствия устройств и состояния регистрации. При использовании условного доступа совместно с политикой соответствия устройства доступ к локальной среде Exchange получают только соответствующие устройства.
Для более детализированного управления можно настроить дополнительные параметры условного доступа, включая следующие.
Разрешение или блокировка определенных платформ.
Немедленная блокировка устройств, которые не управляются Intune.
В случае, когда применяются политики соответствия устройств и условного доступа, любое устройство, пытающееся получить доступ к локальной среде Exchange, проверяется на соответствие требованиям.
Если устройства не удовлетворяют заданным условиям, запускается процесс регистрации устройства, чтобы устранить проблему, которая делает устройство несоответствующим.
Примечание.
Начиная с июля 2020 года поддержка соединителя Exchange не рекомендуется и заменена на гибридную современную проверку подлинности (HMA) Exchange. Использование HMA не требует установки Intune и использования соединителя Exchange. После этого изменения пользовательский интерфейс для настройки соединителя Exchange для Intune и управления им был удален из центра администрирования Microsoft Intune, если вы еще не используете соединитель Exchange с подпиской.
Если в вашей среде настроен соединитель Exchange, клиент Intune по-прежнему будет поддерживаться и у вас останется доступ к пользовательскому интерфейсу, который поддерживает его конфигурацию. Дополнительные сведения см. в статье Установка локального соединителя Exchange. Вы можете продолжить использовать соединитель или настроить HMA, а затем удалить соединитель.
Гибридная современная проверка подлинности предоставляет функции, которые ранее были предоставлены соединителем Exchange для Intune: сопоставление удостоверения устройства с записью Exchange. Это сопоставление теперь выполняется за пределами конфигурации, которую вы создаете в Intune, или требований соединителя Intune для соединения Intune и Exchange. При использовании HMA требование к использованию специальной конфигурации для Intune (соединителя) больше не применяется.
В чем заключается роль Intune?
Intune оценивает и контролирует состояние устройства.
В чем заключается роль сервера Exchange?
Сервер Exchange предоставляет API и инфраструктуру для перевода устройств в карантин.
Важно!
Имейте в виду, что пользователь, использующий устройство, должен иметь профиль соответствия и назначенную ему лицензию Intune, позволяющие оценить соответствие устройства. Если политика соответствия не развернута для пользователя, устройство считается соответствующим, поэтому ограничения доступа к нему не применяются.
Дальнейшие действия
Настройка условного доступа в идентификаторе Microsoft Entra
Настройка политик условного доступа на основе приложений
Создание политики условного доступа для локальной организации Exchange
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по