Villkor för villkorsstyrd åtkomst

I en princip för villkorsstyrd åtkomst kan en administratör använda signaler från villkor som risk, enhetsplattform eller plats för att förbättra sina principbeslut.

Definiera en princip för villkorsstyrd åtkomst och ange villkor

Flera villkor kan kombineras för att skapa detaljerade och specifika principer för villkorsstyrd åtkomst.

Vid åtkomst till ett känsligt program kan en administratör till exempel ta med information om inloggningsrisker från Identity Protection och plats i sitt åtkomstbeslut utöver andra kontroller som multifaktorautentisering.

Inloggningsrisk

För kunder med åtkomst till Identity Protection kan inloggningsrisken utvärderas som en del av en princip för villkorsstyrd åtkomst. Inloggningsrisken är sannolikheten att en viss autentiseringsbegäran inte auktoriserats av identitetsägaren. Mer information om inloggningsrisk finns i artiklarna Vad är risk och Gör så här: Konfigurera och aktivera riskprinciper.

Användarrisk

För kunder med åtkomst till Identity Protection kan användarrisken utvärderas som en del av en princip för villkorsstyrd åtkomst. Användarrisken är sannolikheten att en viss identitet eller ett visst konto har komprometterats. Mer information om användarrisk finns i artiklarna Vad är risk och Gör så här: Konfigurera och aktivera riskprinciper.

Enhetsplattformar

Enhetsplattformen kännetecknas av det operativsystem som körs på en enhet. Azure AD identifierar plattformen med hjälp av information som tillhandahålls av enheten, till exempel användaragentsträngar. Eftersom användaragentsträngar kan ändras är den här informationen overifierad. Enhetsplattformen bör användas tillsammans med Microsoft Intune-principer för enhetsefterlevnad eller som en del av en blockeringsinstruktion. Standardinställningen är att tillämpa för alla enhetsplattformar.

Villkorsstyrd åtkomst i Azure AD stöder följande enhetsplattformar:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Om du blockerar äldre autentisering med villkoret Andra klienter kan du även ange villkoret för enhetsplattformen.

Viktigt

Microsoft rekommenderar att du har en princip för villkorsstyrd åtkomst för enhetsplattformar som inte stöds. Om du till exempel vill blockera åtkomsten till företagets resurser från Chrome OS eller andra klienter som inte stöds bör du konfigurera en princip med villkoret Enhetsplattformar som innehåller alla enheter och exkluderar enhetsplattformar som stöds och Bevilja kontroll inställd på Blockera åtkomst.

Platser

När organisationer konfigurerar en plats som ett villkor kan de välja att inkludera eller exkludera platser. Dessa namngivna platser kan innehålla information om det offentliga IPv4-nätverket, land eller region eller till och med okända områden som inte mappas till specifika länder eller regioner. Endast IP-intervall kan markeras som en betrodd plats.

När du inkluderar en plats inkluderar det här alternativet alla IP-adresser på Internet, inte bara konfigurerade namngivna platser. När du väljer en plats kan administratörer välja att exkludera alla betrodda eller valda platser.

Vissa organisationer kan till exempel välja att inte kräva multifaktorautentisering när deras användare är anslutna till nätverket på en betrodd plats, till exempel deras fysiska huvudkontor. Administratörer kan skapa en princip som inkluderar valfri plats men exkluderar de valda platserna för deras huvudkontorsnätverk.

Mer information om platser finns i artikeln Vad är platsvillkoret i villkorsstyrd åtkomst i Azure Active Directory.

Klientappar

Som standard gäller alla nyligen skapade principer för villkorsstyrd åtkomst för alla klientapptyper även om villkoret för klientappar inte har konfigurerats.

Anteckning

Beteendet för klientappvillkoret uppdaterades i augusti 2020. Om du har befintliga principer för villkorsstyrd åtkomst förblir de oförändrade. Men om du klickar på en befintlig princip har växlingsknappen Konfigurera tagits bort och de klientappar som principen gäller för har valts.

Viktigt

Inloggningar från äldre autentiseringsklienter stöder inte MFA och skickar inte information om enhetstillstånd till Azure AD, så de blockeras av kontroller för beviljande av villkorsstyrd åtkomst, t.ex. att kräva MFA eller kompatibla enheter. Om du har konton som måste använda äldre autentisering måste du antingen undanta dessa konton från principen eller konfigurera principen så att den endast gäller för moderna autentiseringsklienter.

Växlingsknappen Konfigurera när värdet är inställt på Ja gäller för markerade objekt, och när det är inställt på Nej gäller det för alla klientappar, inklusive moderna och äldre autentiseringsklienter. Den här växlingsknappen visas inte i principer som skapats före augusti 2020.

  • Moderna autentiseringsklienter
    • Webbläsare
      • Dessa omfattar webbaserade program som använder protokoll som SAML, WS-Federation, OpenID Connect eller tjänster som registrerats som en OAuth-konfidentiell klient.
    • Mobilappar och skrivbordsklienter
      • Det här alternativet omfattar program som Office-skrivbords- och telefonprogram.
  • Äldre autentiseringsklienter
    • Exchange ActiveSync-klienter
      • Det här valet omfattar all användning av Exchange ActiveSync-protokollet (EAS).
      • När principen blockerar användningen av Exchange ActiveSync får den berörda användaren ett enda karantänmeddelande. Det här e-postmeddelandet innehåller information om varför de blockeras och innehåller reparationsanvisningar om det går.
      • Administratörer kan endast tillämpa principer på plattformar som stöds (till exempel iOS, Android och Windows) via Microsoft Graph API för villkorsstyrd åtkomst.
    • Övriga klienter
      • Det här alternativet omfattar klienter som använder grundläggande/äldre autentiseringsprotokoll som inte stöder modern autentisering.
        • Autentiserad SMTP – används av POP- och IMAP-klientens för att skicka e-postmeddelanden.
        • Automatisk upptäckt – Används av Outlook- och EAS-klienter för att hitta och ansluta till postlådor i Exchange Online.
        • Exchange Online PowerShell – Används för att ansluta till Exchange Online med fjärr-PowerShell. Om du blockerar grundläggande autentisering för Exchange Online PowerShell måste du använda Exchange Online PowerShell-modulen för att ansluta. Anvisningar finns i Ansluta till Exchange Online PowerShell med multifaktorautentisering.
        • Exchange Web Services (EWS) – ett programmeringsgränssnitt som används av Outlook, Outlook för Mac och appar från tredje part.
        • IMAP4 – används av IMAP-e-postklienter.
        • MAPI över HTTP (MAPI/HTTP) – Används av Outlook 2010 och senare.
        • Offlineadressbok (OAB) – En kopia av samlingar med adresslistor som laddas ned och används av Outlook.
        • Outlook Anywhere (RPC över HTTP) – Används av Outlook 2016 och tidigare.
        • Outlook-tjänsten – används av e-post- och kalenderappen för Windows 10.
        • POP3 – Används av POP-e-postklienter.
        • Reporting Web Services – används för att hämta rapportdata i Exchange Online.

Dessa villkor används ofta när du behöver en hanterad enhet, blockerar äldre autentisering och blockerar webbprogram, men tillåter mobilappar eller skrivbordsappar.

Webbläsare som stöds

Den här inställningen fungerar med alla webbläsare. Men för att uppfylla en enhetsprincip, till exempel ett kompatibelt enhetskrav, stöds följande operativsystem och webbläsare. Operativsystem och webbläsare som har hamnat utanför mainstream-supporten visas inte i den här listan:

Operativsystem Webbläsare
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (se anteckningarna)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari

Dessa webbläsare stöder enhetsautentisering, vilket gör att enheten kan identifieras och verifieras mot en princip. Enhetskontrollen misslyckas om webbläsaren körs i privat läge eller om cookies är inaktiverade.

Anteckning

Edge 85+ kräver att användaren är inloggad i webbläsaren för att kunna skicka enhetsidentiteten korrekt. Annars fungerar den som Chrome utan kontotillägget. Den här inloggningen kanske inte sker automatiskt i ett Hybrid Azure AD Join-scenario.

Safari stöds för enhetsbaserad villkorlig åtkomst, men den kan inte uppfylla villkoren för Kräv godkänd klientapp eller Kräv appskyddsprincip . En hanterad webbläsare som Microsoft Edge uppfyller godkända krav för klientappar och appskyddsprinciper. I iOS med en MDM-lösning från tredje part stöder endast Microsoft Edge-webbläsaren enhetsprincip.

Firefox 91+ stöds för enhetsbaserad villkorlig åtkomst, men "Tillåt enkel inloggning med Windows för Microsoft, arbets- och skolkonton" måste vara aktiverat.

Varför visas en certifikatprompt i webbläsaren

I Windows 7 identifierar iOS, Android och macOS Azure AD enheten med hjälp av ett klientcertifikat som etableras när enheten är registrerad i Azure AD. När en användare först loggar in via webbläsaren uppmanas användaren att välja certifikatet. Användaren måste välja det här certifikatet innan du använder webbläsaren.

Chrome-stöd

För Chrome-stöd i Windows 10 Creators Update (version 1703) eller senare installerar du Windows-konton eller Office-tillägg . Dessa tillägg krävs när en princip för villkorsstyrd åtkomst kräver enhetsspecifik information.

Om du vill distribuera tillägget automatiskt till Chrome-webbläsare skapar du följande registernyckel:

  • Sökväg HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Namn 1
  • Skriv REG_SZ (sträng)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

För Chrome-stöd i Windows 8.1 och 7 skapar du följande registernyckel:

  • Sökväg HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Namn 1
  • Skriv REG_SZ (sträng)
  • Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Mobila program och skrivbordsklienter som stöds

Organisationer kan välja Mobilappar och skrivbordsklienter som klientapp.

Den här inställningen påverkar åtkomstförsök som görs från följande mobilappar och skrivbordsklienter:

Klientappar Måltjänst Plattform
Dynamics CRM-app Dynamics CRM Windows 10, Windows 8.1, iOS och Android
Appen Mail/Calendar/People, Outlook 2016, Outlook 2013 (med modern autentisering) Exchange Online Windows 10
MFA och platsprincip för appar. Enhetsbaserade principer stöds inte. Valfri apptjänst för Mina appar Android och iOS
Microsoft Teams-tjänster – den här klientappen styr alla tjänster som stöder Microsoft Teams och alla dess klientappar – Windows Desktop, iOS, Android, WP och webbklient Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android och macOS
Office 2016-appar, Office 2013 (med modern autentisering), OneDrive-synkroniseringsklient SharePoint Windows 8.1, Windows 7
Office 2016-appar, Universal Office-appar, Office 2013 (med modern autentisering), OneDrive-synkroniseringsklient sharepoint online Windows 10
Office 2016 (endast Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Office-mobilappar SharePoint Android, iOS
Office Yammer-app Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office för macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (med modern autentisering), Skype för företag (med modern autentisering) Exchange Online Windows 8.1, Windows 7
Outlook-mobilapp Exchange Online Android, iOS
Power BI-app Power BI-tjänst Windows 10, Windows 8.1, Windows 7, Android och iOS
Skype för företag Exchange Online Android, iOS
Visual Studio Team Services-app Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS och Android

Exchange ActiveSync-klienter

  • Organisationer kan bara välja Exchange ActiveSync-klienter när de tilldelar principer till användare eller grupper. Om du väljer Alla användare, Alla gäst- och externa användare eller Katalogroller kommer alla användare att omfattas av principen.
  • När du skapar en princip som tilldelats Exchange ActiveSync-klienter bör Exchange Online vara det enda molnprogram som tilldelats principen.
  • Organisationer kan begränsa omfånget för den här principen till specifika plattformar med hjälp av villkoret Enhetsplattformar .

Om åtkomstkontrollen som tilldelats principen använder Kräv godkänd klientapp uppmanas användaren att installera och använda Outlook-mobilklienten. Om multifaktorautentisering, användningsvillkor eller anpassade kontroller krävs blockeras berörda användare eftersom grundläggande autentisering inte stöder dessa kontroller.

Mer information finns i följande artiklar:

Övriga klienter

Genom att välja Andra klienter kan du ange ett villkor som påverkar appar som använder grundläggande autentisering med e-postprotokoll som IMAP, MAPI, POP, SMTP och äldre Office-appar som inte använder modern autentisering.

Enhetstillstånd (inaktuellt)

Den här förhandsgranskningsfunktionen har blivit inaktuell. Kunder bör använda villkoret Filtrera enheter i principen för villkorsstyrd åtkomst för att hantera scenarier som tidigare hanterades med enhetstillstånd (förhandsversion).

Enhetens tillståndsvillkor användes för att undanta enheter som är Azure AD-hybrid-anslutna och/eller enheter som markerats som kompatibla med en Efterlevnadsprincip för Microsoft Intune från en organisations principer för villkorsstyrd åtkomst.

Till exempel Alla användare som har åtkomst till Microsoft Azure Management-molnappen , inklusive Alla enhetstillstånd exklusive Enhetshybrid Azure AD-ansluten och Enhet markerad som kompatibel och för Åtkomstkontroller, Blockera.

  • Det här exemplet skulle skapa en princip som endast tillåter åtkomst till Microsoft Azure Management från enheter som antingen är Hybrid Azure AD-anslutna eller enheter som har markerats som kompatibla.

Ovanstående scenario kan konfigureras med alla användare som har åtkomst till Microsoft Azure Management-molnappen med Filter för enheter i exkluderingsläge med hjälp av följande regel device.trustType -eq "ServerAD" -or device.isCompliant -eq True och för Åtkomstkontroller, Blockera.

  • Det här exemplet skapar en princip som blockerar åtkomsten till Microsoft Azure Management-molnappen från ohanterade eller icke-kompatibla enheter.

Viktigt

Enhetstillstånd och filter för enheter kan inte användas tillsammans i principen för villkorsstyrd åtkomst. Filter för enheter ger mer detaljerad inriktning, inklusive stöd för att rikta information om enhetstillstånd via trustType egenskapen och isCompliant .

Filter för enheter

Det finns ett nytt valfritt villkor i villkorsstyrd åtkomst som kallas filter för enheter. När du konfigurerar filter för enheter som ett villkor kan organisationer välja att inkludera eller exkludera enheter baserat på ett filter med hjälp av ett regeluttryck på enhetsegenskaper. Regeluttrycket för filter för enheter kan redigeras med hjälp av regelverktyget eller regelsyntaxen. Den här upplevelsen liknar den som används för regler för dynamiskt medlemskap för grupper. Mer information finns i artikeln Villkorsstyrd åtkomst: Filtrera för enheter (förhandsversion).

Nästa steg