在 Intune 中使用 Microsoft Tunnel 的条件访问
如果Microsoft Intune环境使用 Microsoft Entra 条件访问,则可以使用条件访问策略来限制设备对 Microsoft Tunnel VPN 网关的访问。
若要支持条件访问与Microsoft隧道的集成,请使用 Microsoft Graph PowerShell 使租户能够支持 Microsoft Tunnel。 确保租户支持 Microsoft Tunnel 后,可以创建适用于 Microsoft Tunnel 应用的条件访问策略。
预配租户
在配置隧道的条件访问策略之前,必须让租户支持 Microsoft Tunnel 的条件访问。 使用 Microsoft Graph PowerShell 模块并运行 PowerShell 脚本来修改租户,以将 Microsoft Tunnel Gateway 添加为云应用。 将隧道添加为云应用后,可以将其选择为“条件访问”策略的一部分。
下载并安装AzureAD PowerShell 模块。
从 aka.ms/mst-ca-provisioning 下载名为“mst-CA-readiness.ps1”的 PowerShell 脚本。
使用具有相当于 Intune 管理员的 Azure 角色权限的凭据,从环境中的任何位置运行脚本来预配租户。
该脚本通过创建包含以下详细信息的服务主体来修改租户:
- App ID:3678c9e9-9681-447a-974d-d19f668fcd88
- 名称:Microsoft Tunnel 网关
需要添加此服务主体,以便在配置条件访问策略时选择隧道云应用。 还可以使用 Graph 将服务主体信息添加到租户。
脚本完成后,可以使用常规流程创建条件访问策略。
用于限制对 Microsoft Tunnel 的访问的条件访问
如果使用条件访问策略限制用户访问,则建议在预配租户以支持 Microsoft Tunnel 网关云应用后,但在安装 Tunnel 网关之前配置此策略。
登录到 Microsoft Intune 管理中心>Endpoint Security>条件访问>创建新策略。 管理中心提供了用于创建条件访问策略的Microsoft Entra界面。
为此策略指定名称。
若要配置用户和组访问权限,请在“分配”下选择“用户和组”。
- 选择“包含”>“所有用户”。
- 接下来,选择“ 排除”,并配置要 向其授予访问权限的组,然后保存用户和组配置。
在“云应用或操作”>“选择应用”中,选择“Microsoft Tunnel 网关应用”。
在“访问控制”下,依次选择“授权”和“阻止访问”,然后保存配置。
将“启用策略”设置为“开启”。
选择“创建”。
若要详细了解如何创建条件访问策略,请参阅创建基于设备的条件访问策略。