使用裝置狀態建置復原能力
藉由使用 Microsoft Entra ID 啟用 裝置狀態 ,系統管理員可以撰寫 條件式存取原則 ,以根據裝置狀態控制應用程式的存取。 啟用裝置狀態符合資源存取的強式驗證需求、減少多重要素驗證要求,並改善復原能力。
下列流程圖提供在啟用裝置狀態的 Microsoft Entra 標識碼中將裝置上線的方式。 您可以在組織中使用多個 。
當您使用裝置狀態時,在大部分情況下,使用者將會透過主要重新整理令牌 (PRT) 體驗資源單一登錄。 PRT 包含使用者和裝置的相關宣告。 您可以使用這些宣告來取得驗證令牌,以從裝置存取應用程式。 PRT 有效期限為 14 天,只要用戶主動使用裝置,就會持續更新,為使用者提供復原體驗。 如需PRT如何取得多重要素驗證宣告的詳細資訊,請參閱 PRT取得 MFA 宣告的時機。
裝置狀態如何協助?
當 PRT 要求存取應用程式時,Microsoft Entra ID 會信任其裝置、會話和 MFA 宣告。 當系統管理員建立需要裝置型控件或多重要素驗證控件的原則時,即可透過其裝置狀態滿足原則需求,而不需要嘗試 MFA。 使用者不會在同一部裝置上看到更多 MFA 提示。 這會增加 Microsoft Entra 多重要素驗證服務中斷或本機電信提供者等相依性的復原能力。
如何? 實作裝置狀態?
- 針對公司擁有的 Windows 裝置啟用 Microsoft Entra 混合式加入 和 Microsoft Entra Join ,並盡可能要求他們加入。 如果不可能,則需要註冊它們。 如果您的組織中有舊版的 Windows,請將這些裝置升級為使用 Windows 10。
- 將使用者瀏覽器存取標準化,以搭配使用 Microsoft Edge 或 Google Chrome 與 Microsoft 單一登入 延伸模組,以使用 PRT 無縫 SSO 至 Web 應用程式。
- 針對個人或公司擁有的 iOS 和 Android 裝置,部署 Microsoft Authenticator 應用程式。 除了 MFA 和無密碼登入功能之外,Microsoft Authenticator 應用程式還透過代理驗證跨原生應用程式 啟用單一登錄,且終端使用者的驗證 提示較少。
- 針對個人或公司擁有的 iOS 和 Android 裝置,請使用 行動應用程式管理 ,以較少的驗證要求安全地存取公司資源。
- 針對 macOS 裝置,請使用 Apple 裝置的 Microsoft Enterprise SSO 外掛程式(預覽版) 來註冊裝置,並在瀏覽器和原生 Microsoft Entra 應用程式之間提供 SSO。 然後,根據您的環境,遵循 Microsoft Intune 或 Jamf Pro 特有的步驟。