Använda villkorlig åtkomst med Microsoft Tunnel i Intune
Om din Microsoft Intune miljö använder Microsoft Entra villkorlig åtkomst kan du använda principer för villkorsstyrd åtkomst för att ge enheten åtkomst till din VPN-gateway i Microsoft Tunnel.
För att stödja integrering av villkorsstyrd åtkomst och Microsoft Tunnel använder du Microsoft Graph PowerShell för att göra det möjligt för din klientorganisation att stödja Microsoft Tunnel. När du har skapat stöd för Microsoft Tunnel kan du sedan skapa villkorsstyrda åtkomstprinciper som gäller för Microsoft Tunnel-appen.
Etablera klientorganisationen
Innan du kan konfigurera principer för villkorsstyrd åtkomst för tunneln måste du aktivera klientorganisationens stöd för villkorsstyrd åtkomst till Microsoft Tunnel. Använd Microsoft Graph PowerShell-modulen och kör ett PowerShell-skript för att ändra din klientorganisation för att lägga till Microsoft Tunnel Gateway som en molnapp. När tunneln läggs till som en molnapp kan du välja den som en del av en princip för villkorsstyrd åtkomst.
Ladda ned och installeraPowerShell-modulen för AzureAD.
Ladda ned PowerShell-skriptet med namnetmst-ca-provisioning.ps1 från aka.ms/mst-ca-provisioning.
Använd autentiseringsuppgifter som har Behörigheter för Azure-rollen som motsvarar Intune Administratör och kör skriptet från valfri plats i din miljö för att etablera din klientorganisation.
Skriptet ändrar klientorganisationen genom att skapa ett huvudnamn för tjänsten med följande information:
- App-ID: 3678c9e9-9681-447a-974d-d19f668fcd88
- Namn: Microsoft Tunnel gateway
Tillägget av tjänstens huvudnamn krävs så att du kan välja tunnelmolnappen när du konfigurerar principer för villkorsstyrd åtkomst. Du kan också använda Graph för att lägga till information om tjänstens huvudnamn i klientorganisationen.
När skriptet har slutförts kan du skapa principer för villkorsstyrd åtkomst på vanligt sätt.
Villkorsstyrd åtkomst för att begränsa åtkomsten till Microsoft Tunnel
Om du använder villkorsstyrd åtkomstprincip för att begränsa användarnas åtkomst rekommenderar vi att du konfigurerar den här principen efter att du har etablerat klientorganisationen så att den har stöd för den molnbaserade Microsoft Tunnel-gatewayen, men innan du installerar Tunnel Gateway.
Logga in på Microsoft Intune administrationscenter>Förslutpunktssäkerhet>Villkorlig åtkomst>Skapa ny princip. Administrationscentret visar Microsoft Entra-gränssnittet för att skapa principer för villkorlig åtkomst.
Ange principens namn.
Om du vill konfigurera åtkomst för användare och grupper går du till Tilldelningar och väljer Användare och grupper.
- Välj Inkludera>Alla användare.
- Välj sedan Exkludera och konfigurera sedan de grupper som du vill bevilja åtkomst till och spara sedan användar- och gruppkonfigurationen.
Gå till Molnappar eller åtgärder>Välj appar och välj Microsoft Tunnel Gateway-app.
Under Åtkomstkontroller väljer du Bevilja, välj Blockera åtkomst och spara sedan konfigurationen.
Sätt Aktivera princip till På.
Välj Skapa.
Mer information om hur du skapar principer för villkorsstyrd åtkomst finns i Skapa en enhetsbaserad villkorsstyrd åtkomstprincip.