Skapa en enhetsbaserad princip för villkorsstyrd åtkomst

Microsoft Intune principer för enhetsefterlevnad kan utvärdera statusen för hanterade enheter för att säkerställa att de uppfyller dina krav innan du ger dem åtkomst till organisationens appar och tjänster. Statusresultaten från dina principer för enhetsefterlevnad kan användas av Microsoft Entra principer för villkorsstyrd åtkomst för att framtvinga säkerhet och efterlevnadsstandarder. Den här kombinationen kallas enhetsbaserad villkorlig åtkomst.

Tips

Förutom enhetsbaserade principer för villkorsstyrd åtkomst kan du använda appbaserad villkorlig åtkomst med Intune.

Inifrån Administrationscenter för Intune kan du komma åt användargränssnittet för principer för villkorsstyrd åtkomst enligt Microsoft Entra ID. Den här åtkomsten innehåller alla alternativ för villkorsstyrd åtkomst som du skulle ha om du konfigurerade principen inifrån Azure Portal. De principer som du skapar kan ange vilka appar eller tjänster som du vill skydda, de villkor under vilka appar eller tjänster kan nås och de användare som principen gäller för.

Om du vill skapa en enhetsbaserad princip för villkorsstyrd åtkomst måste ditt konto ha någon av följande behörigheter i Microsoft Entra:

• Global administratör
• Säkerhetsadministratör
• Administratör för villkorsstyrd åtkomst

Om du vill dra nytta av enhetens efterlevnadsstatus konfigurerar du principer för villkorsstyrd åtkomst till Kräv att enheten markeras som kompatibel. Det här alternativet anges när du konfigurerar Bevilja åtkomst under steg 6 i följande procedur.

Viktigt

Innan du konfigurerar villkorsstyrd åtkomst måste du konfigurera Intune-principer för enhetsefterlevnad för att utvärdera enheter baserat på om de uppfyller specifika krav. Se Kom igång med principer för enhetsefterlevnad i Intune.

Skapa principen för villkorsstyrd åtkomst

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Slutpunktssäkerhet>Villkorlig åtkomst>Skapa ny princip.

   Fönstret Nytt öppnas, vilket är konfigurationsfönstret från Microsoft Entra. Principen du skapar är en Microsoft Entra princip för villkorsstyrd åtkomst. Mer information om det här fönstret och principer för villkorsstyrd åtkomst finns i Principkomponenter för villkorsstyrd åtkomst i Microsoft Entra innehåll.

3. Under Tilldelningar konfigurerar du Användare för att välja identiteter i den katalog som principen gäller för. Mer information finns i Användare och grupper i dokumentationen för Microsoft Entra.

   • På fliken Inkludera konfigurerar du den användare och de grupper som du vill inkludera.
   • Använd fliken Exkludera om det finns användare, roller eller grupper som du vill undanta från den här principen.

   Tips

   Testa principen mot en mindre grupp användare för att se till att den fungerar som förväntat innan du distribuerar den till större grupper.

4. Konfigurera sedan Målresurser, som också finns under Tilldelningar. Använd listrutan för Välj vad den här principen gäller för för att välja Molnappar.

   • På fliken Inkludera använder du tillgängliga alternativ för att identifiera de appar och tjänster som du vill skydda med den här principen för villkorsstyrd åtkomst.

     Om du väljer Välj appar använder du det tillgängliga användargränssnittet för att välja appar och tjänster som ska skyddas med den här principen.

     Försiktighet

     Lås inte ute dig själv. Om du väljer Alla molnappar bör du granska varningen och sedan Undanta från den här principen ditt användarkonto eller andra relevanta användare och grupper som ska behålla åtkomsten för att använda Azure Portal eller Microsoft Intune administrationscenter när den här principen träder i kraft.

   • Använd fliken Exkludera om det finns några appar eller tjänster som du vill undanta från den här principen.

   Mer information finns i Molnappar eller åtgärder i Microsoft Entra-dokumentationen.

5. Konfigurera sedan Villkor. Välj de signaler som du vill använda som villkor för den här principen. Alternativen är:

   • Användarrisk
   • Inloggningsrisk
   • Enhetsplattformar
   • Platser
   • Klientappar
   • Filtrera efter enheter

   Information om dessa alternativ finns i Villkor i Microsoft Entra-dokumentationen.

   Tips

   Om du vill skydda både moderna autentiseringsklienter och Exchange ActiveSync-klienter skapar du två separata principer för villkorsstyrd åtkomst, en för varje klienttyp. Även om Exchange ActiveSync stöder modern autentisering är plattform det enda villkor som stöds av Exchange ActiveSync. Andra villkor, inklusive multifaktorautentisering, stöds inte. För att effektivt skydda åtkomsten till Exchange Online från Exchange ActiveSync skapar du en princip för villkorsstyrd åtkomst som anger molnappen Microsoft 365 Exchange Online och klientappen Exchange ActiveSync med Tillämpa princip endast på plattformar som stöds valda.

6. Under Åtkomstkontroller konfigurerar du Bevilja för att välja ett eller flera krav. Mer information om alternativen för Bevilja finns i Bevilja i Microsoft Entra-dokumentationen.

   Viktigt

   Om du vill att den här principen ska använda enhetsefterlevnadsstatus måste du för Bevilja åtkomst välja Kräv att enheten är markerad som kompatibel.

   • Blockera åtkomst: De användare som anges i den här principen nekas åtkomst till appar eller tjänster under de villkor som du har angett.

   • Bevilja åtkomst: De användare som anges i den här principen beviljas åtkomst, men du kan kräva någon av följande ytterligare åtgärder:

     • Kräv multifaktorautentisering
     • Kräv autentiseringsstyrka
     • Kräv att enheten är markerad som kompatibel – Det här alternativet krävs för att principen ska använda enhetens efterlevnadsstatus.
     • Kräv Microsoft Entra hybridkopplad enhet
     • Kräv godkänd klientapp
     • Kräv appskyddsprincip
     • Kräv lösenordsändring

     

7. Under Aktivera princip väljer du På. Principen är som standard inställd på Endast rapport.

8. Välj Skapa.

Nästa steg

• Appbaserad villkorlig åtkomst med Intune
• Felsöka villkorlig åtkomst i Intune