Podmíněný přístup: Udělení

V rámci zásad podmíněného přístupu může správce použít řízení přístupu k udělení nebo blokování přístupu k prostředkům.

Snímek obrazovky se zásadami podmíněného přístupu s řízením udělení vyžadujícím vícefaktorové ověřování

Blokování přístupu

Blokování bere v úvahu všechna přiřazení a brání přístupu na základě konfigurace zásad podmíněného přístupu.

Blok je výkonný ovládací prvek, který by měl být vybaven odpovídajícími znalostmi. Zásady s příkazy bloku můžou mít nežádoucí účinky. Správné testování a ověřování je důležité před povolením ve velkém měřítku. Správci by měli při provádění změn využívat nástroje, jako je režim sestavy podmíněného přístupu a nástroj What If v podmíněném přístupu .

Udělení přístupu

Správci se můžou rozhodnout vynutit jeden nebo více ovládacích prvků při udělování přístupu. Mezi tyto ovládací prvky patří následující možnosti:

Když se správci rozhodnou tyto možnosti kombinovat, můžou zvolit následující metody:

  • Vyžadovat všechny vybrané ovládací prvky (ovládací prvek AND )
  • Vyžadovat jeden z vybraných ovládacích prvků (ovládací prvek NEBO )

Ve výchozím nastavení podmíněný přístup vyžaduje všechny vybrané ovládací prvky.

Vyžadovat vícefaktorové ověřování

Zaškrtnutím tohoto políčka budou uživatelé muset provádět Azure AD vícefaktorové ověřování. Další informace o nasazení Azure AD vícefaktorového ověřování najdete v článku Plánování cloudového nasazení Azure AD vícefaktorového ověřování.

Windows Hello pro firmy splňuje požadavek na vícefaktorové ověřování v zásadách podmíněného přístupu.

Vyžadovat, aby zařízení bylo označeno jako vyhovující

Organizace, které nasadily Microsoft Intune, můžou pomocí informací vrácených ze svých zařízení identifikovat zařízení, která splňují konkrétní požadavky na dodržování předpisů. Informace o dodržování zásad se odesílají z Intune do Azure AD, aby se podmíněný přístup mohl rozhodnout udělit nebo blokovat přístup k prostředkům. Další informace o zásadách dodržování předpisů najdete v článku Nastavení pravidel na zařízeních, která umožňují přístup k prostředkům ve vaší organizaci pomocí Intune.

Zařízení je možné označit jako vyhovující Intune (pro jakýkoli operační systém zařízení) nebo systémem MDM třetích stran pro Windows 10 zařízení. Seznam podporovaných systémů MDM třetích stran najdete v článku Podpora partnerů dodržování předpisů pro zařízení třetích stran v Intune.

Zařízení musí být zaregistrovaná v Azure AD, aby je bylo možné označit jako vyhovující. Další informace o registraci zařízení najdete v článku Co je identita zařízení.

Poznámky

  • Vyžadovat, aby zařízení bylo označeno jako požadavky na dodržování předpisů:

Poznámka

Ve Windows 7, iOS, Androidu, macOS a některých webových prohlížečích třetích stran Azure AD identifikuje zařízení pomocí klientského certifikátu zřízeného při registraci zařízení v Azure AD. Když se uživatel poprvé přihlásí v prohlížeči, zobrazí se výzva k výběru certifikátu. Koncový uživatel musí tento certifikát vybrat předtím, než bude moct dál používat prohlížeč.

Vyžadovat zařízení připojené k hybridnímu Azure AD

Organizace se můžou rozhodnout používat identitu zařízení jako součást zásad podmíněného přístupu. Organizace můžou vyžadovat, aby zařízení byla hybridní Azure AD připojená pomocí tohoto zaškrtávacího políčka. Další informace oidentitch

Při použití toku OAuth kódu zařízení se nepodporuje řízení udělení spravovaného zařízení nebo podmínka stavu zařízení. Důvodem je to, že zařízení, které provádí ověřování, nemůže zařízení poskytnout stav zařízení poskytující kód a stav zařízení v tokenu je uzamčen pro zařízení provádějící ověřování. Místo toho použijte ovládací prvek udělení vícefaktorového ověřování.

Poznámky

  • Požadavek vyžadovat hybridní Azure AD připojené zařízení:
    • Podporuje pouze zařízení windows připojená k doméně (před Windows 10) a aktuální zařízení s Windows (Windows 10+).
    • Podmíněný přístup nemůže zvážit Microsoft Edge v režimu InPrivate jako hybridní zařízení připojené k Azure AD.

Vyžadovat schválenou klientskou aplikaci

Organizace můžou vyžadovat, aby se z schválené klientské aplikace vyžadoval přístup k vybraným cloudovým aplikacím. Tyto schválené klientské aplikace podporují Intune zásady ochrany aplikací nezávisle na řešení správy mobilních zařízení (MDM).

Aby bylo možné toto řízení udělení použít, podmíněný přístup vyžaduje, aby zařízení bylo zaregistrované v Azure Active Directory, které vyžaduje použití zprostředkované aplikace. Zprostředkační aplikace může být Microsoft Authenticator pro iOS nebo Microsoft Authenticator nebo Portál společnosti Microsoft pro zařízení s Androidem. Pokud se na zařízení při pokusu uživatele o ověření nenainstaluje zprostředkovaná aplikace, uživatel se přesměruje do příslušného obchodu s aplikacemi, aby nainstaloval požadovanou zprostředkovanou aplikaci.

Pro podporu tohoto nastavení byly potvrzeny následující klientské aplikace:

  • Microsoft Azure Information Protection
  • Microsoft Bookings
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Seznamy Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Skype for Business
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Správa Microsoftu 365

Poznámky

  • Schválené klientské aplikace podporují funkci správy mobilních aplikací Intune.
  • Požadavek na schválenou klientskou aplikaci :
    • Podporuje pouze podmínku platformy pro zařízení s iOSem a Androidem.
    • K registraci zařízení se vyžaduje zprostředkovaná aplikace. Zprostředkační aplikace může být Microsoft Authenticator pro iOS nebo Microsoft Authenticator nebo Portál společnosti Microsoft pro zařízení s Androidem.
  • Podmíněný přístup nemůže zvážit Microsoft Edge v režimu InPrivate schválené klientské aplikace.
  • Použití Azure AD proxy aplikací k povolení připojení mobilní aplikace Power BI k místním Server sestav Power BI se nepodporuje pomocí zásad podmíněného přístupu, které vyžadují aplikaci Microsoft Power BI jako schválenou klientskou aplikaci.

Projděte si článek Postupy: Vyžadování schválených klientských aplikací pro přístup ke cloudovým aplikacím pomocí podmíněného přístupu pro příklady konfigurace.

Vyžadování zásad ochrany aplikací

V zásadách podmíněného přístupu můžete před zpřístupněním přístupu vybraným cloudovým aplikacím vyžadovat, aby v klientské aplikaci byly k dispozici zásady ochrany aplikací Intune.

Aby bylo možné použít toto řízení udělení, podmíněný přístup vyžaduje, aby zařízení bylo zaregistrované v Azure Active Directory, které vyžaduje použití zprostředkované aplikace. Zprostředkující aplikací může být buď Microsoft Authenticator pro zařízení s iOSem, nebo Portál společnosti Microsoft pro zařízení s Androidem. Pokud se na zařízení při pokusu uživatele o ověření nenainstaluje zprostředkovaná aplikace, uživatel se přesměruje do App Storu a nainstaluje zprostředkovanou aplikaci.

Aplikace musí mít implementovanou sadu INTUNE SDK se zásadou Assurance a musí splňovat určité další požadavky na podporu tohoto nastavení. Vývojáři, kteří implementují aplikace se sadou Intune SDK, můžou najít další informace v dokumentaci k sadě SDK o těchto požadavcích.

Pro podporu tohoto nastavení byly potvrzeny následující klientské aplikace:

  • Microsoft Cortana
  • Microsoft Edge
  • Microsoft Excel
  • Seznamy Microsoft
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • Microsoft To Do
  • Microsoft Word
  • MultiLine pro Intune
  • Devět e-mailů – e-mailový & kalendář

Poznámka

Microsoft Kaizala, Microsoft Skype pro firmy a Microsoft Visio nepodporují udělení zásad ochrany aplikací. Pokud požadujete, aby tyto aplikace fungovaly, použijte výhradně schválené aplikace . Použití klauzule or mezi těmito dvěma granty nebude pro tyto tři aplikace fungovat.

Poznámky

  • Aplikace pro zásady ochrany aplikací podporují funkci správy Intune mobilních aplikací pomocí ochrany zásad.
  • Požadavky na zásady ochrany aplikací :
    • Podporuje jenom podmínku platformy zařízení s iOSem a Androidem.
    • K registraci zařízení se vyžaduje zprostředkovaná aplikace. V iOSu je zprostředkovatelská aplikace Microsoft Authenticator a v Androidu, je to Portál společnosti Intune aplikace.

Projděte si článek Postupy: Vyžadování zásad ochrany aplikací a schválené klientské aplikace pro přístup ke cloudovým aplikacím s podmíněným přístupem pro příklady konfigurace.

Vyžadovat změnu hesla

Když se zjistí riziko uživatele, můžou správci pomocí podmínek zásad rizik uživatelů zvolit, aby uživatel bezpečně změnil heslo pomocí samoobslužného resetování hesla Azure AD. Pokud se zjistí riziko uživatelů, můžou uživatelé provést samoobslužné resetování hesla k samoobslužné nápravě, tento proces zavře událost rizika uživatele, aby se zabránilo zbytečnému šumu pro správce.

Když se uživateli zobrazí výzva ke změně hesla, bude nejprve nutné k dokončení vícefaktorového ověřování. Budete chtít zajistit, aby všichni vaši uživatelé zaregistrovali vícefaktorové ověřování, takže jsou připravení v případě zjištění rizika pro svůj účet.

Upozornění

Uživatelé musí mít před aktivací zásad rizik uživatelů dříve zaregistrované samoobslužné resetování hesla.

Omezení při konfiguraci zásady pomocí ovládacího prvku pro změnu hesla

  1. Zásady musí být přiřazené ke všem cloudovým aplikacím. Tento požadavek brání útočníkovi v použití jiné aplikace ke změně rizika uživatelského hesla a resetování účtu tím, že se přihlásí k jiné aplikaci.
  2. Vyžadovat změnu hesla nejde použít s jinými ovládacími prvky, jako je vyžadování zařízení vyhovující předpisům.
  3. Ovládací prvek změny hesla lze použít pouze s podmínkou přiřazení uživatele a skupiny, podmínkou přiřazení cloudové aplikace (která musí být nastavena na všechny) a podmínkami rizika uživatele.

Podmínky použití

Pokud vaše organizace vytvořila podmínky použití, mohou být v ovládacích prvcích udělení viditelné další možnosti. Tyto možnosti umožňují správcům vyžadovat potvrzení podmínek použití jako podmínku přístupu k prostředkům chráněným zásadami. Další informace o podmínkách použití najdete v článku o podmínkách použití služby Azure Active Directory.

Další kroky