Vytvoření zásad podmíněného přístupu na základě zařízení

Díky Microsoft Intune zásadám dodržování předpisů zařízením můžou zásady podmíněného přístupu Azure Active Directory (Azure AD) používat stav zařízení k udělení nebo odepření přístupu k aplikacím a službám vaší organizace.

Ke konfiguraci zásad podmíněného přístupu na základě zařízení můžete použít centrum pro správu Microsoft Endpoint Manager. V centru pro správu máte přístup k uživatelskému rozhraní zásad podmíněného přístupu, jak je uvedeno v Azure AD. Použití uživatelského rozhraní Azure AD poskytuje přístup ke všem možnostem, které byste měli, pokud byste zásady nakonfigurovali v rámci Azure Portal. Zásady, které vytvoříte, můžou určovat aplikace nebo služby, které chcete chránit, podmínky, za kterých jsou aplikace nebo služby přístupné, a uživatele, na které se zásada vztahuje.

Pokud chcete vytvořit zásadu podmíněného přístupu na základě zařízení, musí mít váš účet v Azure AD jedno z následujících oprávnění:

  • Globální správce
  • Správce zabezpečení
  • Správce podmíněného přístupu

Pokud chcete využít výhod stavu dodržování předpisů zařízením, nakonfigurujte zásady podmíněného přístupu tak, aby vyžadovaly, aby zařízení bylo označeno jako vyhovující. Tato možnost je nastavená při konfiguraci udělení přístupu během kroku 6 následujícího postupu.

Důležité

Před nastavením podmíněného přístupu budete muset nastavit Intune zásady dodržování předpisů zařízením, které budou vyhodnocovat zařízení na základě toho, jestli splňují konkrétní požadavky. Projděte si Začínáme se zásadami dodržování předpisů zařízeními v Intune.

Vytvoření zásady podmíněného přístupu

  1. Přihlaste se k Centru pro správu Microsoft Endpoint Manageru.

  2. Vyberte Nové zásady podmíněného přístupu > zabezpečení > > koncového bodu. Vytvoření nové zásady podmíněného přístupu

    Otevře se podokno Nový, což je podokno konfigurace z Azure AD. Zásady, které vytváříte, jsou Azure AD zásady podmíněného přístupu. Další informace o tomto podokně a zásadách podmíněného přístupu najdete v části Součásti zásad podmíněného přístupu v obsahu Azure AD.

  3. V části Přiřazení vyberte Uživatele nebo identity úloh a nakonfigurujte identity v adresáři, na který se zásada vztahuje. Další informace najdete v tématu Uživatelé a skupiny v dokumentaci k Azure AD.

    • Na kartě Zahrnout nakonfigurujte uživatele a skupiny, které chcete zahrnout.
    • Pokud z této zásady chcete vyloučit nějaké uživatele, role nebo skupiny, použijte kartu Vyloučit .

    Tip

    Otestujte zásady u menší skupiny uživatelů a ujistěte se, že fungují podle očekávání.

  4. Dále vyberte cloudové aplikace nebo akci, která je také v části Přiřazení. Nakonfigurujte tuto zásadu tak, aby se použila pro cloudové aplikace.

    • Na kartě Zahrnout použijte dostupné možnosti k identifikaci aplikací a služeb, které chcete chránit pomocí této zásady podmíněného přístupu.

      Pokud zvolíte Vybrat aplikace, vyberte aplikace a služby, které chcete pomocí této zásady chránit.

      Upozornění

      Pokud zvolíte Všechny cloudové aplikace, nezapomeňte si prostudovat upozornění a pak z této zásady vyloučit svůj účet nebo jiné relevantní uživatele a skupiny, které by si měly zachovat přístup k používání Azure Portal nebo centra pro správu Microsoft Endpoint Manager poté, co se tyto zásady projeví.

    • Pokud chcete z této zásady vyloučit nějaké aplikace nebo služby, použijte kartu Vyloučit .

    Další informace najdete v části Cloudové aplikace nebo akce v dokumentaci k Azure AD.

  5. Dále nakonfigurujte podmínky. Vyberte signály, které chcete použít jako podmínky pro tuto zásadu. Mezi možnosti patří:

    • Riziko uživatele
    • Riziko přihlášení
    • Platformy zařízení
    • Umístění
    • Klient jako
    • Filtrování zařízení

    Informace o těchto možnostech najdete v tématu Podmínky v dokumentaci k Azure AD.

    Tip

    Pokud chcete chránit klienty moderního ověřování i klienty protokol Exchange ActiveSync, vytvořte dvě samostatné zásady podmíněného přístupu, jednu pro každý typ klienta. I když protokol Exchange ActiveSync podporuje moderní ověřování, jedinou podmínkou, kterou protokol Exchange ActiveSync podporuje, je platforma. Jiné podmínky, včetně vícefaktorového ověřování, se nepodporují. Pokud chcete efektivně chránit přístup k Exchange Online před protokol Exchange ActiveSync, vytvořte zásadu podmíněného přístupu, která určuje Microsoft 365 Exchange Online cloudové aplikace a protokol Exchange ActiveSync klientské aplikace. s vybranou možnost použít zásady pouze na podporované platformy

  6. V části Řízení přístupu vyberte Udělit a pak jeden nebo více požadavků. Další informace o možnostech grantu najdete v tématu Udělení v dokumentaci k Azure AD.

    • Blokovat přístup: Uživatelům zadaným v této zásadě bude odepřen přístup k aplikacím nebo službám za zadaných podmínek.

    • Udělení přístupu: Uživatelům zadaným v této zásadě bude udělen přístup, ale můžete vyžadovat některou z následujících dalších akcí:

      • Vyžadování vícefaktorového ověřování
      • Vyžadovat, aby zařízení bylo označeno jako vyhovující – Tato možnost je vyžadována, aby zásady používaly stav dodržování předpisů zařízením.
      • Vyžadování zařízení připojeného k hybridní Azure AD
      • Vyžadovat schválenou klientskou aplikaci
      • Vyžadování zásad ochrany aplikací
      • Vyžadovat změnu hesla

      Snímek obrazovky s konfigurační plochou a možnostmi grantu

  7. V části Povolit zásadu vyberte Zapnuto. Ve výchozím nastavení je zásada nastavená jenom na Sestavu.

  8. Vyberte Vytvořit.

Další kroky

Podmíněný přístup na základě aplikace s Intune

Řešení potíží s podmíněným přístupem Intune