建立以裝置為基礎的條件式存取

  • 文章

Microsoft Intune裝置合規性原則可以評估受控裝置的狀態,以確保它們符合您的需求,然後才將貴組織的應用程式和服務存取權授與它們。 Microsoft Entra條件式存取原則可以使用裝置合規性政策所產生的狀態結果,以強制執行安全性與合規性標準。 此組合稱為裝置型條件式存取。

提示

除了裝置型條件式存取原則之外,您還可以搭配 Intune 使用以應用程式為基礎的條件式存取

您可以從 Intune 系統管理中心記憶體取條件式存取原則 UI,如Microsoft Entra識別碼中所示。 如果您要從Azure 入口網站內設定原則,此存取會包含您擁有的所有條件式存取選項。 您建立的原則可以指定您想要保護的應用程式或服務、可存取應用程式或服務的條件,以及套用原則的使用者。

若要建立裝置型條件式存取原則,您的帳戶必須在 Microsoft Entra 中具有下列其中一個許可權:

  • 全域管理員
  • 安全性系統管理員
  • 條件式存取系統管理員

若要利用裝置合規性狀態,請將條件式存取原則設定 為 [要求裝置標示為符合規範]。 在下列程式的步驟 6 期間設定 與存取權時,會設定此選項。

重要事項

設定條件式存取之前,您必須設定 Intune 裝置合規性原則,以根據裝置是否符合特定需求來評估裝置。 請參閱 在 Intune 中開始使用裝置合規性政策

建立條件式存取原則

  1. 登入Microsoft Intune系統管理中心

  2. 取 [端點安全>性條件式存取>][建立新原則]建立新的條件式存取原則

    [新增]窗格隨即開啟,這是來自Microsoft Entra的組態窗格。 您要建立的原則是條件式存取的Microsoft Entra原則。 若要深入瞭解此窗格和條件式存取原則,請參閱Microsoft Entra內容中的條件式存取原則元件

  3. 在 [ 指派] 底下,將 [使用者 ] 設定為選取套用原則之目錄中的 [身分識別]。 若要深入瞭解,請參閱Microsoft Entra檔中的使用者和群組

    • 在 [ 包含] 索引標籤上,設定您想要包含的使用者和群組。
    • 如果您想要從此原則排除任何使用者、角色或群組,請使用 [ 排除 ] 索引標籤。

    提示

    針對較小的使用者群組測試原則,以確定原則在部署到較大的群組之前如預期般運作。

  4. 接下來,在 [指派] 底下設定[目標資源]。 使用 [ 選取此原則適用于哪些 專案] 的下拉式清單來選取 [雲端應用程式]

    • 在 [ 包含] 索引標籤上,使用可用的選項來識別您想要使用此條件式存取原則保護的應用程式和服務。

      如果您選擇 [選取應用程式],請使用可用的 UI 來選取要使用此原則保護的應用程式和服務。

      注意

      請勿將自己鎖定。如果您選擇[所有雲端應用程式],請務必檢閱警告,然後從此原則中排除您的使用者帳戶或其他應保留存取權的相關使用者和群組,以在此原則生效後使用Azure 入口網站或Microsoft Intune系統管理中心。

    • 如果您想要從此原則排除任何應用程式或服務,請使用 [ 排除 ] 索引標籤。

    如需詳細資訊,請參閱Microsoft Entra檔中的雲端應用程式或動作

  5. 接下來,設定 條件。 選取您要作為此原則條件的訊號。 選項包括:

    • 使用者風險
    • 登入風險
    • 裝置平臺
    • 位置
    • 用戶端應用程式
    • 篩選裝置

    如需這些選項的相關資訊,請參閱Microsoft Entra檔中的條件

    提示

    如果您想要保護新式驗證用戶端和Exchange ActiveSync客戶端,請建立兩個不同的條件式存取原則,每個用戶端類型各一個。 雖然Exchange ActiveSync支援新式驗證,但Exchange ActiveSync唯一支援的條件是平臺。 不支援其他條件,包括多重要素驗證。 若要有效保護Exchange Online的存取Exchange ActiveSync,請建立條件式存取原則,以指定雲端應用程式 Microsoft 365 Exchange Online和用戶端應用程式,Exchange ActiveSync僅將原則套用至選取的支援平臺。

  6. [存取控制] 下,設定 [授 與] 以選取一或多個需求。 若要瞭解授與的選項,請參閱Microsoft Entra檔中的與。

    重要事項

    若要讓此原則使用裝置合規性狀態,針對 [授與存取權 ],您必須選取 [ 需要將裝置標示為符合規範]

    • 封鎖存取:在您指定的條件下,此原則中指定的使用者會遭到拒絕存取應用程式或服務。

    • 授與存取權:此原則中指定的使用者會被授與存取權,但您可以要求下列任何進一步的動作:

      • 需要多重要素驗證
      • 需要驗證強度
      • 需要將裝置標示為符合規範 - 原則必須有此選項才能使用裝置合規性狀態。
      • 需要Microsoft Entra混合式加入裝置
      • 需要核准的用戶端應用程式
      • 需要應用程式防護原則
      • 需要密碼變更

      [授與] 設定介面和選項的螢幕擷取畫面

  7. 在 [ 啟用原則]底下,選取 [ 開啟]。 根據預設,原則會設定為 僅限報表

  8. 選取 [建立]

後續步驟