Běžné způsoby použití podmíněného přístupu s Intune

Existují dva typy zásad podmíněného přístupu, které můžete použít s Intune: podmíněný přístup na základě zařízení a podmíněný přístup založený na aplikacích. Abyste je mohli podporovat, budete muset nakonfigurovat související zásady Intune. Když jsou zásady Intune zavedené a nasazené, můžete pomocí podmíněného přístupu provádět akce, jako je povolení nebo blokování přístupu k Exchange, řízení přístupu k síti nebo integrace s řešením Mobile Threat Defense.

Informace v tomto článku vám pomůžou pochopit, jak používat funkce dodržování předpisů Intune mobilních zařízení a možnosti správy mobilních aplikací (MAM) Intune.

Poznámka

Podmíněný přístup je funkce Azure Active Directory (Azure AD), která je součástí licence Azure AD Premium. Intune tuto funkci vylepšuje přidáním dodržování předpisů mobilních zařízení a správy mobilních aplikací do řešení. Uzel podmíněného přístupu přístupný z Intune je stejný uzel jako z Azure AD.

Podmíněný přístup na základě zařízení

Intune a Azure AD spolupracují, aby měli přístup k e-mailu, Microsoft 365 službám, aplikacím SaaS (Software jako služba) a místním aplikacím jenom spravovaná a vyhovující zařízení. Kromě toho můžete v Azure AD nastavit zásady tak, aby umožňovaly přístup k Microsoft 365 službám jenom počítačům připojeným k doméně nebo mobilním zařízením zaregistrovaným v Intune.

S Intune nasadíte zásady dodržování předpisů zařízením, abyste zjistili, jestli zařízení splňuje očekávané požadavky na konfiguraci a zabezpečení. Vyhodnocení zásad dodržování předpisů určuje stav dodržování předpisů zařízením, který se hlásí Intune i Azure AD. Ve službě Azure AD můžou zásady podmíněného přístupu použít stav dodržování předpisů zařízení k rozhodování, jestli z tohoto zařízení povolí nebo zablokuje přístup k prostředkům vaší organizace.

Zásady podmíněného přístupu na základě zařízení pro Exchange online a další produkty Microsoft 365 se konfigurují prostřednictvím centra pro správu Microsoft Endpoint Manager.

Poznámka

Když povolíte přístup na základě zařízení pro obsah, ke kterému uživatelé přistupují z prohlížečových aplikací na svých zařízeních s pracovním profilem v osobním vlastnictví Androidu, musí uživatelé zaregistrovaní před lednem 2021 povolit přístup k prohlížeči následujícím způsobem:

  1. Spusťte aplikaci Portál společnosti.
  2. Z nabídky přejděte na stránku Nastavení.
  3. V části Povolit přístup k prohlížeči klepněte na tlačítko POVOLIT .
  4. Zavřete a restartujte aplikaci prohlížeče.

To umožňuje přístup v prohlížečových aplikacích, ale ne k webovým zobrazením prohlížeče, která se otevřou v aplikacích.

Aplikace dostupné v podmíněném přístupu pro řízení Microsoft Intune

Při konfiguraci podmíněného přístupu na portálu Azure AD máte na výběr ze dvou aplikací:

  1. Microsoft Intune – Tato aplikace řídí přístup ke konzole Microsoft Endpoint Manager a zdrojům dat. Pokud chcete cílit na konzolu Microsoft Endpoint Manager a zdroje dat, nakonfigurujte u této aplikace granty nebo ovládací prvky.
  2. Microsoft Intune registrace – Tato aplikace řídí pracovní postup registrace. Pokud chcete cílit na proces registrace, nakonfigurujte u této aplikace granty nebo ovládací prvky. Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro Intune registrace zařízení.

Podmíněný přístup založený na řízení přístupu k síti

Intune se integruje s partnery, jako jsou Cisco ISE, Aruba Clear Pass a Citrix NetScaler, a poskytuje řízení přístupu na základě registrace Intune a stavu dodržování předpisů zařízením.

Uživatelům je možné povolit nebo zakázat přístup k podnikovým Wi-Fi nebo prostředkům VPN na základě toho, jestli je zařízení, které používají, spravované a kompatibilní se zásadami dodržování předpisů Intune zařízeními.

Podmíněný přístup na základě rizika zařízení

Intune partnery s dodavateli ochrany před mobilními hrozbami, kteří poskytují bezpečnostní řešení pro detekci malwaru, trojských koní a dalších hrozeb na mobilních zařízeních.

Jak funguje integrace Intune a ochrany před mobilními hrozbami

Pokud má mobilní zařízení nainstalovaného agenta Mobile Threat Defense, agent odesílá zprávy o stavu dodržování předpisů zpět do Intune hlášení, když se na samotném mobilním zařízení najde hrozba.

Integrace Intune a ochrany před mobilními hrozbami hraje při rozhodování o podmíněném přístupu faktor na základě rizika zařízení.

Podmíněný přístup pro Windows počítače

Podmíněný přístup pro počítače nabízí funkce podobné funkcím dostupným pro mobilní zařízení. Pojďme si promluvit o tom, jak můžete podmíněný přístup používat při správě počítačů s Intune.

Vlastněné společností

  • Hybridní připojení ke službě Azure AD: Tuto možnost běžně používají organizace, které jsou přiměřeně spokojené se správou svých počítačů prostřednictvím zásad skupiny AD nebo Configuration Manager.

  • Připojení k doméně Azure AD a správa Intune: Tento scénář je určený pro organizace, které chtějí být na prvním místě v cloudu (to znamená primárně používat cloudové služby s cílem omezit používání místní infrastruktury) nebo jenom v cloudu (bez místní infrastruktury). Azure AD Join funguje dobře v hybridním prostředí a umožňuje přístup ke cloudovým i místním aplikacím a prostředkům. Zařízení se připojí k Azure AD a zaregistruje se do Intune, která se dá použít jako kritéria podmíněného přístupu při přístupu k podnikovým prostředkům.

Přineste si vlastní zařízení (BYOD)

  • Připojení k pracovišti a správa Intune: Tady se uživatel může připojit ke svým osobním zařízením a získat přístup k podnikovým prostředkům a službám. Pomocí připojení k síti na pracovišti a registrace zařízení do Intune MDM můžete přijímat zásady na úrovni zařízení, což je další možnost, jak vyhodnotit kritéria podmíněného přístupu.

Přečtěte si další informace o Správa zařízení v Azure Active Directory.

Podmíněný přístup na základě aplikace

Intune a Azure AD spolupracují, aby přístup k podnikovému e-mailu nebo jiným Microsoft 365 službám mohly přistupovat jenom spravované aplikace.

Intune podmíněný přístup pro místní Exchange

Podmíněný přístup se dá použít k povolení nebo blokování přístupu k Exchange místně na základě zásad dodržování předpisů zařízení a stavu registrace. Pokud se podmíněný přístup používá v kombinaci se zásadami dodržování předpisů zařízením, mají k místnímu Exchange povolený přístup jenom zařízení dodržující předpisy.

V podmíněném přístupu můžete nakonfigurovat upřesňující nastavení pro podrobnější řízení, například:

  • Povolí nebo zablokují určité platformy.

  • Okamžitě zablokujte zařízení, která nespravuje Intune.

Při použití zásad dodržování předpisů zařízením a podmíněného přístupu se kontroluje dodržování předpisů u všech zařízení používaných pro přístup k místnímu Exchange.

Pokud zařízení nevyhovují nastaveným podmínkám, provede se koncový uživatel procesem registrace zařízení, aby vyřešil problém, kvůli kterému zařízení nedodržuje předpisy.

Poznámka

Od července 2020 je podpora konektoru Exchange zastaralá a nahrazená Exchange hybridním moderním ověřováním (HMA). Použití HMA nevyžaduje Intune k nastavení a použití konektoru Exchange. S touto změnou se uživatelské rozhraní pro konfiguraci a správu konektoru Exchange pro Intune odebralo z centra pro správu Microsoft Endpoint Manager, pokud s předplatným nepoužíváte konektor Exchange.

Pokud máte ve svém prostředí nastavený konektor Exchange, váš tenant Intune zůstane podporovaný pro jeho použití a budete mít i nadále přístup k uživatelskému rozhraní, které podporuje jeho konfiguraci. Další informace najdete v tématu Instalace Exchange místního konektoru. Konektor můžete dál používat nebo nakonfigurovat HMA a potom konektor odinstalovat.

Hybridní moderní ověřování poskytuje funkce, které dříve poskytl konektor Exchange pro Intune: Mapování identity zařízení na jeho záznam Exchange. Toto mapování se teď provádí mimo konfiguraci, kterou vytvoříte v Intune, nebo požadavek konektoru Intune na přemísťování Intune a Exchange. U HMA se odebral požadavek na použití konkrétní konfigurace "Intune" (konektor).

Jaká je role Intune?

Intune vyhodnotí a spravuje stav zařízení.

Jaká je role serveru Exchange?

Exchange server poskytuje rozhraní API a infrastrukturu pro přesun zařízení do karantény.

Důležité

Mějte na paměti, že uživatel, který zařízení používá, musí mít přiřazený profil dodržování předpisů a Intune licenci, aby bylo možné zařízení vyhodnotit dodržování předpisů. Pokud se uživateli nenasadí žádná zásada dodržování předpisů, zařízení se považuje za vyhovující a nepoužijí se žádná omezení přístupu.

Další kroky

Konfigurace podmíněného přístupu v Azure Active Directory

Nastavení zásad podmíněného přístupu na základě aplikace

Vytvoření zásad podmíněného přístupu pro místní Exchange