使用裝置狀態打造復原能力
藉由啟用 Microsoft Entra ID 的裝置狀態,系統管理員可以撰寫條件式存取原則,以根據裝置狀態控制應用程式的存取權。 啟用裝置狀態可符合資源存取的強式驗證需求、減少多重要素驗證要求,並改善復原能力。
下列流程圖顯示在 Microsoft Entra ID 中讓裝置上線以啟用裝置狀態的方式。 您可以在組織中使用多種方法。
當您使用裝置狀態時,在大部分情況下,使用者會透過主要重新整理權杖 (PRT) 獲得資源的單一登入體驗。 PRT 包含使用者和裝置的相關宣告。 您可使用這些宣告來取得驗證權杖,以從裝置存取應用程式。 PRT 的有效期為 14天,而且只要使用者主動使用裝置就會持續更新,為使用者提供復原體驗。 如需 PRT 如何取得多重要素驗證宣告的詳細資訊,請參閱 PRT 何時取得 MFA 宣告。
裝置狀態如何提供協助?
當 PRT 要求存取應用程式時,Microsoft Entra ID 即會信任其裝置、工作階段和 MFA 宣告。 當系統管理員建立需要依據裝置或多重要素驗證進行控制的原則時,即可透過裝置狀態來符合原則需求,而不需嘗試進行 MFA。 使用者不會在同一部裝置上看到更多 MFA 提示。 這會提升 Microsoft Entra 多重要素驗證服務或當地電信提供者等相依性中斷的復原能力。
如何實作裝置狀態?
- 針對公司擁有的 Windows 裝置啟用已進行 Microsoft 混合式聯結和 Microsoft Entra 聯結,並要求他們聯結 (可能的話)。 如果不可行,請要求這些裝置進行註冊。 如果組織中有較舊版本的 Windows,請將這些裝置升級為使用 Windows 10。
- 使用 Microsoft Edge 或 Google Chrome 搭配 Microsoft 單一登入延伸模組,將使用者瀏覽器的存取標準化,以使用 PRT 進行 Web 應用程式的順暢 SSO。
- 針對個人或公司擁有的 iOS 和 Android 裝置,部署 Microsoft Authenticator 應用程式。 除了 MFA 和無密碼登入功能之外,Microsoft Authenticator 應用程式可透過代理驗證,以較少的終端使用者驗證提示方式,啟用各原生應用程式之間的單一登入。
- 針對個人或公司所擁有的 iOS 和 Android 裝置,使用行動應用程式管理,以較少的驗證要求方式,安全地存取公司資源。
- 針對 macOS 裝置,使用適用於 Apple 裝置的 Microsoft Enterprise SSO 外掛程式 (預覽版) 來註冊裝置,並提供跨瀏覽器與原生 Microsoft Entra 應用程式的 SSO。 然後,根據您的環境,遵循 Microsoft Intune 或 Jamf Pro 的特定步驟。