分享方式:


搭配 Intune 使用條件式存取的常見方式

您可以搭配 Intune 使用兩種類型的條件式存取原則:裝置型條件式存取和應用程式型條件式存取。 若要支援每個原則,您必須設定相關的 Intune 原則。 當 Intune 原則就緒並部署時,您可以接著使用條件式存取來執行一些動作,例如允許或封鎖對 Exchange 的存取、控制對網路的存取,或與 Mobile Threat Defense 解決方案整合。

本文中的資訊可協助您瞭解如何使用 Intune 行動 裝置 合規性功能,以及 Intune 行動 應用程式 管理 (MAM) 功能。

注意事項

條件式存取是 Microsoft Entra ID P1 或 P2 授權隨附的 Microsoft Entra 功能。 Intune 藉由將行動裝置合規性和行動裝置應用程式管理新增至解決方案,來增強這項功能。 從 Intune 存取的條件式存取節點與從 Microsoft Entra ID 存取的節點相同。

裝置型條件式存取

Intune 和 Microsoft Entra ID 一起運作,以確保只有受管理且相容的裝置可以存取您組織的電子郵件、Microsoft 365 服務、軟體即服務 (SaaS) 應用程式,以及 內部部署應用程式。 此外,您可以在 Microsoft Entra ID 中設定原則,只讓已加入網域的電腦或在 Intune 中註冊的行動裝置存取 Microsoft 365 服務。

使用 Intune,您可以部署裝置合規性原則,以判斷裝置是否符合您預期的設定和安全性需求。 合規性政策評估會決定裝置的合規性狀態,這會向Intune和 Microsoft Entra ID 報告。 條件式存取原則位於 Microsoft Entra ID 中,可以使用裝置的合規性狀態來決定是否允許或封鎖從該裝置存取貴組織的資源。

Exchange Online 和其他 Microsoft 365 產品的裝置型條件式存取原則是透過 Microsoft Intune 系統管理中心來設定。

注意事項

當您針對使用者從其 Android 個人擁有工作設定檔案裝置上的瀏覽器應用程式存取的內容啟用裝置型存取時,在 2021 年 1 月之前註冊的使用者必須啟用瀏覽器存取,如下所示:

  1. 啟動 公司入口網站 應用程式。
  2. 從選單移至 [ 設定] 頁面。
  3. 在 [ 啟用瀏覽器存取] 區段中,點選 [ 啟用 ] 按鈕。
  4. 關閉瀏覽器應用程式,然後重新啟動。

這可讓您存取瀏覽器應用程式,但無法存取在應用程式內開啟的瀏覽器 WebView。

條件式存取中可用來控制 Microsoft Intune 的應用程式

當您在 Microsoft Entra 系統管理中心設定條件式存取時,您有兩個應用程式可供選擇:

  1. Microsoft Intune - 此應用程式會控制對 Microsoft Intune 系統管理中心和數據源的存取。 當您想要以 Microsoft Intune 系統管理中心和數據源為目標時,請在此應用程式上設定授與/控制。
  2. Microsoft Intune 註冊 - 此應用程式會控制註冊工作流程。 當您想要以註冊程式為目標時,請在此應用程式上設定授與/控制。 如需詳細資訊,請參閱 Intune 裝置註冊需要多重要素驗證

以網路存取控制為基礎的條件式存取

Intune 與 Cisco ISE、Aruba Clear Pass 和 Citrix NetScaler 等合作夥伴整合,以根據 Intune 註冊和裝置合規性狀態提供訪問控制。

根據使用者使用的裝置是否受管理且符合 Intune 裝置合規性政策,可以允許或拒絕使用者存取公司 Wi-Fi 或 VPN 資源。

根據裝置風險的條件式存取

Intune 與 Mobile Threat Defense 廠商合作,提供安全性解決方案來偵測行動裝置上的惡意代碼、特洛伊木馬程式和其他威脅。

Intune 與 Mobile Threat Defense 整合的運作方式

當行動裝置安裝Mobile Threat Defense 代理程式時,代理程式會在行動裝置本身找到威脅時,將合規性狀態消息傳送回 Intune 報告。

Intune 和行動威脅防禦整合會根據裝置風險在條件式存取決策中扮演重要因素。

Windows 計算機的條件式存取

計算機的條件式存取所提供的功能與行動裝置的功能類似。 讓我們來討論使用 Intune 管理計算機時,您可以使用條件式存取的方式。

公司擁有

  • Microsoft混合式聯結: 此選項通常由組織使用,這些組織相當熟悉其已透過AD組策略或 Configuration Manager 管理電腦的程度。

  • Microsoft加入 Entra 網域和 Intune 管理: 此案例適用於想要成為雲端優先 (的組織,也就是主要使用雲端服務,目標是減少使用內部部署基礎結構) 或僅限雲端 (沒有內部部署基礎結構) 。 Microsoft Entra Join 在混合式環境中運作良好,可讓您存取雲端和內部部署應用程式和資源。 裝置會加入 Microsoft Entra ID 並註冊至 Intune,這可在存取公司資源時作為條件式存取準則使用。

將您自己的裝置 (BYOD)

  • 加入工作場所和 Intune 管理: 在此,使用者可以加入其個人裝置,以存取公司資源和服務。 您可以使用 Workplace Join,並將裝置註冊到 Intune MDM 以接收裝置層級原則,這是評估條件式存取準則的另一個選項。

深入瞭解 Microsoft Entra ID 中的裝置管理

應用程式型條件式存取

Intune 和 Microsoft Entra ID 可一起合作,以確保只有受控應用程式可以存取公司電子郵件或其他 Microsoft 365 服務。

Exchange 內部部署的 Intune 條件式存取

條件式存取可用來根據裝置合規性原則和註冊狀態來允許或封鎖 對 Exchange 內部 部署的存取。 當條件式存取與裝置合規性政策搭配使用時,只允許符合規範的裝置存取 Exchange 內部部署。

您可以在條件式存取中設定進階設定,以取得更細微的控制,例如:

  • 允許或封鎖特定平臺。

  • 立即封鎖不受 Intune 管理的裝置。

套用裝置合規性和條件式存取原則時,會檢查用來存取 Exchange 內部部署的任何裝置是否符合規範。

當裝置不符合設定的條件時,系統會引導使用者完成註冊裝置的程式,以修正導致裝置不符合規範的問題。

注意事項

從 2020 年 7 月開始,Exchange 連接器的支援已過時,並由 Exchange 混合式新式驗證 (HMA) 取代。 使用 HMA 不需要 Intune 即可設定及使用 Exchange Connector。 透過這項變更,除非您已在訂用帳戶中使用 Exchange 連接器,否則已從 Microsoft Intune 系統管理中心移除設定和管理適用於 Intune 的 Exchange Connector 的 UI。

如果您已在環境中設定 Exchange Connector,您的 Intune 租使用者仍受支援供其使用,而且您將可繼續存取支援其設定的 UI。 如需詳細資訊,請 參閱安裝 Exchange 內部部署連接器。 您可以繼續使用連接器或設定 HMA,然後卸載您的連接器。

混合式新式驗證提供先前由 Exchange Connector for Intune 提供的功能:將裝置身分識別對應至其 Exchange 記錄。 此對應現在發生在您在 Intune 中所做的設定之外,或是 Intune 連接器用來橋接 Intune 和 Exchange 的需求之外。 使用 HMA 時,已移除在連接器) (使用 『Intune』 特定設定的需求。

Intune 角色是什麼?

Intune 會評估和管理裝置狀態。

什麼是 Exchange 伺服器角色?

Exchange Server 提供 API 和基礎結構,可將裝置移至隔離區。

重要事項

請記住,使用裝置的用戶必須獲指派合規性配置檔和 Intune 授權,才能評估裝置的合規性。 如果未將合規性政策部署至使用者,則會將裝置視為符合規範,且不會套用任何存取限制。

後續步驟

如何在 Microsoft Entra ID 中設定條件式存取

設定以應用程式為基礎的條件式存取原則

如何建立 Exchange 內部部署的條件式存取原則