Vanliga sätt att använda villkorlig åtkomst med Intune

Det finns två typer av principer för villkorsstyrd åtkomst som du kan använda med Intune: enhetsbaserad villkorlig åtkomst och appbaserad villkorlig åtkomst. För att stödja var och en måste du konfigurera relaterade Intune principer. När Intune principer finns på plats och distribueras kan du sedan använda villkorsstyrd åtkomst för att göra saker som att tillåta eller blockera åtkomst till Exchange, styra åtkomsten till nätverket eller integrera med en Lösning för skydd mot mobilhot.

Informationen i den här artikeln kan hjälpa dig att förstå hur du använder Intune funktioner för mobil enhetsefterlevnad och Intune mam-funktioner (hantering av mobilprogram).

Anteckning

Villkorsstyrd åtkomst är en funktion för Azure Active Directory (Azure AD) som ingår i en Azure AD Premium licens. Intune förbättrar den här funktionen genom att lägga till mobil enhetsefterlevnad och hantering av mobilappar i lösningen. Noden för villkorsstyrd åtkomst som nås från Intune är samma nod som används från Azure AD.

Enhetsbaserad villkorlig åtkomst

Intune och Azure AD samarbetar för att se till att endast hanterade och kompatibla enheter kan komma åt din organisations e-post, Microsoft 365 tjänster, SaaS-appar (Programvara som en tjänst) och lokala appar. Dessutom kan du ange en princip i Azure AD för att endast aktivera domänanslutna datorer eller mobila enheter som har registrerats i Intune för att få åtkomst till Microsoft 365 tjänster.

Med Intune distribuerar du principer för enhetsefterlevnad för att avgöra om en enhet uppfyller dina förväntade konfigurations- och säkerhetskrav. Utvärderingen av efterlevnadsprincipen avgör enheternas efterlevnadsstatus, som rapporteras till både Intune och Azure AD. Det är i Azure AD som principer för villkorsstyrd åtkomst kan använda en enhets efterlevnadsstatus för att fatta beslut om huruvida åtkomst till organisationens resurser ska tillåtas eller blockeras från den enheten.

Enhetsbaserade principer för villkorlig åtkomst för Exchange online och andra Microsoft 365 produkter konfigureras via Microsoft Endpoint Manager administrationscenter.

Anteckning

När du aktiverar Enhetsbaserad åtkomst för innehåll som användare får åtkomst till från webbläsarappar på sina Android-enheter med personligt ägd arbetsprofil måste användare som registrerats före januari 2021 aktivera webbläsaråtkomst på följande sätt:

  1. Starta appen Företagsportal.
  2. Gå till sidan Inställningar från menyn.
  3. I avsnittet Aktivera webbläsaråtkomst trycker du på knappen AKTIVERA .
  4. Stäng och starta sedan om webbläsarappen.

Detta ger åtkomst i webbläsarappar, men inte till webbläsarwebbvyer som öppnas i appar.

Program som är tillgängliga i villkorlig åtkomst för att styra Microsoft Intune

När du konfigurerar villkorlig åtkomst i Azure AD-portalen har du två program att välja mellan:

  1. Microsoft Intune – Det här programmet styr åtkomsten till Microsoft Endpoint Manager-konsolen och datakällor. Konfigurera beviljanden/kontroller för det här programmet när du vill rikta in dig på Microsoft Endpoint Manager-konsolen och datakällor.
  2. Microsoft Intune registrering – det här programmet styr arbetsflödet för registrering. Konfigurera beviljanden/kontroller för det här programmet när du vill rikta registreringsprocessen. Mer information finns i Kräv multifaktorautentisering för Intune enhetsregistreringar.

Villkorlig åtkomst baserad på nätverksåtkomstkontroll

Intune integreras med partner som Cisco ISE, Aruba Clear Pass och Citrix NetScaler för att tillhandahålla åtkomstkontroller baserat på Intune registrering och enhetens efterlevnadstillstånd.

Användare kan tillåtas eller nekas åtkomst till företagets Wi-Fi- eller VPN-resurser baserat på om enheten de använder är hanterad och kompatibel med Intune principer för enhetsefterlevnad.

Villkorsstyrd åtkomst baserat på enhetsrisk

Intune samarbetar med Mobile Threat Defense-leverantörer som tillhandahåller en säkerhetslösning för att identifiera skadlig kod, trojaner och andra hot på mobila enheter.

Så här fungerar integreringen av Intune och Mobile Threat Defense

När mobila enheter har Mobile Threat Defense-agenten installerad skickar agenten meddelanden om efterlevnadstillstånd tillbaka till Intune rapportering när ett hot hittas på själva den mobila enheten.

Integreringen av Intune och skydd mot mobilhot spelar en viktig roll i besluten om villkorsstyrd åtkomst baserat på enhetsrisk.

Villkorlig åtkomst för Windows-datorer

Villkorlig åtkomst för datorer ger funktioner som liknar de som är tillgängliga för mobila enheter. Nu ska vi prata om hur du kan använda villkorsstyrd åtkomst när du hanterar datorer med Intune.

Företagsägt

  • Hybrid Azure AD-ansluten: Det här alternativet används ofta av organisationer som är relativt bekväma med hur de redan hanterar sina datorer via AD-grupprinciper eller Configuration Manager.

  • Azure AD-domänansluten och Intune hantering: Det här scenariot är för organisationer som vill vara molnbaserade först (dvs. främst använder molntjänster, med målet att minska användningen av en lokal infrastruktur) eller endast moln (ingen lokal infrastruktur). Azure AD Join fungerar bra i en hybridmiljö och ger åtkomst till både molnbaserade och lokala appar och resurser. Enheten ansluter till Azure AD och registreras till Intune, som kan användas som villkor för villkorsstyrd åtkomst vid åtkomst till företagsresurser.

Byod (Bring Your Own Device)

  • Arbetsplatsanslutning och Intune hantering: Här kan användaren ansluta sina personliga enheter för att få åtkomst till företagets resurser och tjänster. Du kan använda Workplace Join och registrera enheter i Intune MDM för att ta emot principer på enhetsnivå, vilket är ett annat alternativ för att utvärdera villkor för villkorsstyrd åtkomst.

Läs mer om Enhetshantering i Azure Active Directory.

Appbaserad villkorlig åtkomst

Intune och Azure AD samarbetar för att se till att endast hanterade appar kan komma åt företagets e-post eller andra Microsoft 365 tjänster.

Intune villkorlig åtkomst för Exchange lokalt

Villkorlig åtkomst kan användas för att tillåta eller blockera åtkomst till Exchange lokalt baserat på enhetens efterlevnadsprinciper och registreringstillstånd. När villkorlig åtkomst används i kombination med en enhetsefterlevnadsprincip tillåts endast kompatibla enheter åtkomst till Exchange lokalt.

Du kan konfigurera avancerade inställningar i Villkorsstyrd åtkomst för mer detaljerad kontroll, till exempel:

  • Tillåt eller blockera vissa plattformar.

  • Blockera omedelbart enheter som inte hanteras av Intune.

Alla enheter som används för att komma åt Exchange lokalt kontrolleras för efterlevnad när enhetsefterlevnad och principer för villkorsstyrd åtkomst tillämpas.

När enheter inte uppfyller de angivna villkoren vägleds slutanvändaren genom processen att registrera enheten för att åtgärda problemet som gör enheten inkompatibel.

Anteckning

Från och med juli 2020 är stödet för Exchange-anslutningsappen inaktuellt och ersätts av Exchange modern hybridautentisering (HMA). Användning av HMA kräver inte Intune för att konfigurera och använda Exchange Connector. Med den här ändringen har användargränssnittet för att konfigurera och hantera Exchange Connector för Intune tagits bort från Microsoft Endpoint Manager administrationscenter, såvida du inte redan använder en Exchange-anslutningsapp med din prenumeration.

Om du har konfigurerat ett Exchange-anslutningsprogram i din miljö stöds Intune klientorganisation fortfarande för dess användning, och du fortsätter att ha åtkomst till användargränssnittet som stöder dess konfiguration. Mer information finns i Installera Exchange lokal anslutningsapp. Du kan fortsätta att använda anslutningsappen eller konfigurera HMA och sedan avinstallera anslutningsappen.

Modern hybridautentisering tillhandahåller funktioner som tidigare tillhandahölls av Exchange Connector för Intune: Mappning av en enhetsidentitet till dess Exchange post. Den här mappningen sker nu utanför en konfiguration som du gör i Intune eller kravet på Intune anslutning för att överbrygga Intune och Exchange. Med HMA har kravet på att använda den specifika konfigurationen "Intune" (anslutningsappen) tagits bort.

Vilken är den Intune rollen?

Intune utvärderar och hanterar enhetens tillstånd.

Vilken är den Exchange serverrollen?

Exchange server tillhandahåller API och infrastruktur för att flytta enheter till karantän.

Viktigt

Tänk på att användaren som använder enheten måste ha en efterlevnadsprofil och Intune licens tilldelad till sig så att enheten kan utvärderas för kompatibilitet. Om ingen efterlevnadsprincip distribueras till användaren behandlas enheten som kompatibel och inga åtkomstbegränsningar tillämpas.

Nästa steg

Så här konfigurerar du villkorlig åtkomst i Azure Active Directory

Konfigurera appbaserade principer för villkorsstyrd åtkomst

Så här skapar du en princip för villkorlig åtkomst för Exchange lokalt