Podmíněný přístup: Filtrování pro zařízení

Při vytváření zásad podmíněného přístupu správci požádali o možnost cílit nebo vyloučit konkrétní zařízení ve svém prostředí. Filtr podmínek pro zařízení poskytuje správcům tuto funkci. Teď můžete cílit na konkrétní zařízení pomocí podporovaných operátorů a vlastností pro filtry zařízení a další dostupné podmínky přiřazení v zásadách podmíněného přístupu.

Creating a filter for device in Conditional Access policy conditions

Obvyklé scénáře

Organizace teď můžou pomocí filtru pro podmínku zařízení povolit několik scénářů. Níže jsou uvedeny některé základní scénáře s příklady použití této nové podmínky.

  • Omezte přístup k privilegovaným prostředkům, jako je Microsoft Azure Management, privilegovaným uživatelům, přístup z privilegovaných nebo zabezpečených pracovních stanic pro správu. V tomto scénáři by organizace vytvořily dvě zásady podmíněného přístupu:
    • Zásada 1: Všichni uživatelé s rolí adresáře Globální správce, přístup ke cloudové aplikaci Microsoft Azure Management a pro řízení přístupu, udělení přístupu, ale vyžadují vícefaktorové ověřování a vyžadují, aby zařízení bylo označeno jako vyhovující.
    • Zásada 2: Všichni uživatelé s rolí adresáře Globální správce, kteří přistupují ke cloudové aplikaci Microsoft Azure Management, s výjimkou filtru pro zařízení s použitím výrazu pravidla device.extensionAttribute1 se rovná SAW a pro řízení přístupu, Blokovat.
  • Zablokujte přístup k prostředkům organizace ze zařízení s nepodporovanou verzí operačního systému, jako je Windows 7. V tomto scénáři by organizace vytvořily následující dvě zásady podmíněného přístupu:
    • Zásada 1: Všichni uživatelé, přístup ke všem cloudovým aplikacím a pro řízení přístupu, Udělení přístupu, ale vyžadují, aby zařízení bylo označené jako vyhovující nebo vyžaduje, aby zařízení bylo připojené k hybridní službě Azure AD.
    • Zásada 2: Všichni uživatelé, kteří přistupují ke všem cloudovým aplikacím, včetně filtru pro zařízení používající výraz pravidla device.operatingSystem se rovná Windows a device.operatingSystemVersion startWith "6.1" a pro řízení přístupu, blokovat.
  • Nevyžaduje vícefaktorové ověřování pro konkrétní účty, jako jsou účty služeb při použití na konkrétních zařízeních, jako jsou Teams telefony nebo Surface Hub zařízení. V tomto scénáři by organizace vytvořily následující dvě zásady podmíněného přístupu:
    • Zásada 1: Všichni uživatelé kromě účtů služeb, přistupují ke všem cloudovým aplikacím a pro řízení přístupu, udělují přístup, ale vyžadují vícefaktorové ověřování.
    • Zásada 2: Vyberte uživatele a skupiny a zahrňte skupinu, která obsahuje pouze účty služeb, přístup ke všem cloudovým aplikacím, s výjimkou filtru pro zařízení používající výraz pravidla device.extensionAttribute2 se nerovná TeamsPhoneDevice a pro ovládací prvky Accessu, Blokovat.

Vytvoření zásady podmíněného přístupu

Filtr pro zařízení je možnost při vytváření zásad podmíněného přístupu v Azure Portal nebo pomocí microsoft Graph API.

Důležité

Stav a filtrování zařízení se nedají použít společně v zásadách podmíněného přístupu.

Následující kroky vám pomůžou vytvořit dvě zásady podmíněného přístupu, které podporují první scénář v běžných scénářích.

Zásada 1: Všichni uživatelé s rolí adresáře Globální správce, přístup ke cloudové aplikaci Microsoft Azure Management a pro řízení přístupu, udělení přístupu, ale vyžadují vícefaktorové ověřování a vyžadují, aby zařízení bylo označeno jako vyhovující.

  1. Přihlaste se k Azure Portal jako globální správce, správce zabezpečení nebo správce podmíněného přístupu.
  2. Přejděte na Azure Active Directory>SecurityConditional> Access.
  3. Vyberte Nové zásady.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  5. V části Přiřazení vyberte Uživatelé a skupiny.
    1. V části Zahrnout vyberte role adresáře a zvolte Globální správce.

      Upozornění

      Zásady podmíněného přístupu podporují předdefinované role. Zásady podmíněného přístupu se nevynucují pro jiné typy rolí, včetně jednotek pro správu nebo vlastních rolí.

    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů vaší organizace.

    3. Vyberte Hotovo.

  6. V části Cloudové aplikace neboakceInclude> vyberte Vybrat aplikace a vyberte Microsoft Azure Správa.
  7. V části Řízení>přístupuGrant vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a Vyžadovat, aby zařízení bylo označeno jako vyhovující, a pak vyberte Vybrat.
  8. Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
  9. Výběrem možnosti Vytvořit vytvořte zásadu.

Zásada 2: Všichni uživatelé s rolí adresáře Globální správce, kteří přistupují ke cloudové aplikaci Microsoft Azure Management, s výjimkou filtru pro zařízení s použitím výrazu pravidla device.extensionAttribute1 se rovná SAW a pro řízení přístupu, Blokovat.

  1. Vyberte Nové zásady.
  2. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  3. V části Přiřazení vyberte Uživatelé a skupiny.
    1. V části Zahrnout vyberte role adresáře a zvolte Globální správce.

      Upozornění

      Zásady podmíněného přístupu podporují předdefinované role. Zásady podmíněného přístupu se nevynucují pro jiné typy rolí, včetně jednotek pro správu nebo vlastních rolí.

    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů vaší organizace.

    3. Vyberte Hotovo.

  4. V části Cloudové aplikace neboakceInclude> vyberte Vybrat aplikace a vyberte Microsoft Azure Správa.
  5. Za podmínekvyfiltrujte zařízení.
    1. Přepněte konfigurovat na ano.
    2. Nastavte zařízení odpovídající pravidlu pro vyloučení filtrovaných zařízení ze zásad.
    3. Nastavte vlastnost na ExtensionAttribute1, operátor na Equals a hodnotu na SAW.
    4. Vyberte Hotovo.
  6. V části Řízení>přístupuGrant vyberte Blokovat přístup a pak vyberte Vybrat.
  7. Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
  8. Výběrem možnosti Vytvořit vytvořte zásadu.

Nastavení hodnot atributů

Nastavení atributů rozšíření je možné prostřednictvím Graph API. Další informace o nastavení atributů zařízení najdete v článku Aktualizace zařízení.

Filtrování Graph API zařízení

Filtr rozhraní API pro zařízení je k dispozici v koncovém bodu Microsoft Graph verze 1.0 a je přístupný pomocí https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Filtr pro zařízení můžete nakonfigurovat při vytváření nových zásad podmíněného přístupu nebo můžete aktualizovat existující zásadu a nakonfigurovat filtr pro podmínku zařízení. Pokud chcete aktualizovat existující zásady, můžete volání opravy provést u koncového bodu Microsoft Graph verze 1.0 uvedeného výše tak, že připojíte ID zásady existující zásady a spustíte následující text požadavku. Tady je příklad znázorňující konfiguraci filtru pro podmínku zařízení s výjimkou zařízení, která nejsou označená jako zařízení SAW. Syntaxe pravidla se může skládat z více než jednoho výrazu. Další informace o syntaxi najdete v tématu Pravidla dynamického členství pro skupiny v Azure Active Directory.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Podporované operátory a vlastnosti zařízení pro filtry

Následující atributy zařízení lze použít s filtrem pro podmínku zařízení v podmíněném přístupu.

Podporované atributy zařízení Podporované operátory Podporované hodnoty Příklad
deviceId Rovná se, NotEquals, In, NotIn Platné ID zařízení, které je IDENTIFIKÁTOR GUID (device.deviceid -eq "498c4de7-1aee-4ded-8d5d-0000000000000")
displayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Libovolný řetězec (device.displayName -contains "ABC")
deviceOwnership Rovná se, NotEquals Podporované hodnoty jsou "Osobní" pro používání vlastních zařízení a "Společnost" pro zařízení vlastněná corprate (device.deviceOwnership -eq "Company")
isCompliant Rovná se, NotEquals Podporované hodnoty jsou "True" pro zařízení vyhovující předpisům a "False" pro nevyhovující zařízení (device.isCompliant -eq "True")
manufacturer Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Libovolný řetězec (device.manufacturer -startsWith "Microsoft")
mdmAppId Rovná se, NotEquals, In, NotIn Platné ID aplikace MDM (device.mdmAppId -in ["0000000a-0000-0000-c000-000000000"]
model Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Libovolný řetězec (device.model -notContains "Surface")
Operatingsystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Platný operační systém (například Windows, iOS nebo Android) (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Platná verze operačního systému (například 6.1 pro Windows 7, 6.2 pro Windows 8 nebo 10.0 pro Windows 10 a Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Obsahuje, NotContains Jako příklad všechny Windows zařízení Autopilot ukládají ZTDId (jedinečná hodnota přiřazená všem importovaným zařízením Windows Autopilot) ve vlastnosti physicalIds zařízení. (device.devicePhysicalIDs -contains "[ZTDId]:value")
profileType Rovná se, NotEquals Platný typ profilu nastavený pro zařízení. Podporované hodnoty jsou: RegisteredDevice (výchozí), SecureVM (používá se pro virtuální počítače Windows v Azure s povoleným přihlášením k Azure AD.), Tiskárna (použitá pro tiskárny), Sdílená (použitá pro sdílená zařízení), IoT (používá se pro zařízení IoT) (device.profileType -notIn ["Printer", "Shared", "IoT"]
systemLabels Obsahuje, NotContains Seznam popisků použitých na zařízení systémem Mezi podporované hodnoty patří: AzureResource (používá se pro virtuální počítače Windows v Azure s povoleným přihlášením k Azure AD), M365Managed (používá se pro zařízení spravovaná pomocí Microsoft Managed Desktop), MultiUser (používá se pro sdílená zařízení). (device.systemLabels -contains "M365Managed")
trustType Rovná se, NotEquals Platný registrovaný stav pro zařízení. Podporované hodnoty jsou: AzureAD (používá se pro zařízení připojená k Azure AD), ServerAD (používá se pro zařízení připojená k hybridní službě Azure AD), pracoviště (používané pro registrovaná zařízení Azure AD). (device.trustType -ne 'Workplace')
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn extensionAttributes1-15 jsou atributy, které můžou zákazníci používat pro objekty zařízení. Zákazníci mohou aktualizovat libovolné rozšířeníAttributes1 až 15 vlastními hodnotami a použít je ve filtru pro podmínku zařízení v podmíněném přístupu. Lze použít libovolnou řetězcovou hodnotu. (device.extensionAttribute1 -eq 'SAW')

Poznámka

Operátory Contains a NotContains operátory fungují odlišně v závislosti na typech atributů. U atributů řetězce, jako operatingSystem je a model, operátor označuje, Contains zda zadaný podřetězce dochází v rámci atributu. U atributů kolekce řetězců, jako physicalIds je například a systemLabels, operátor označuje, Contains zda zadaný řetězec odpovídá jednomu z celých řetězců v kolekci.

Chování zásad s filtrem pro zařízení

Filtr pro podmínku zařízení v podmíněném přístupu vyhodnocuje zásady na základě atributů zařízení zaregistrovaného zařízení v Azure AD, a proto je důležité pochopit, za jakých okolností se zásada použije nebo nepoužije. Následující tabulka znázorňuje chování při konfiguraci filtru pro podmínku zařízení.

Filtr pro podmínku zařízení Stav registrace zařízení Použitý filtr zařízení
Zahrnout/vyloučit režim s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití všech atributů Neregistrované zařízení No
Režim zahrnutí/vyloučení s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů s výjimkou extensionAttributes1-15 Zaregistrované zařízení Ano, pokud jsou splněna kritéria
Zahrnout/vyloučit režim s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů včetně extensionAttributes1-15 Zaregistrované zařízení spravované službou Intune Ano, pokud jsou splněna kritéria
Zahrnout/vyloučit režim s kladnými operátory (Equals, StartsWith, EndsWith, Contains, In) a použití atributů včetně extensionAttributes1-15 Zaregistrované zařízení, které nespravuje Intune Ano, pokud jsou splněna kritéria. Při použití rozšířeníAttributes1-15 se zásada použije, pokud zařízení dodržuje předpisy nebo je připojené k hybridní službě Azure AD.
Režim zahrnutí/vyloučení se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použití jakýchkoli atributů Neregistrované zařízení Yes
Režim zahrnutí/vyloučení se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použití všech atributů s výjimkou extensionAttributes1-15 Zaregistrované zařízení Ano, pokud jsou splněna kritéria
Zahrnout/vyloučit režim se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použití všech atributů včetně extensionAttributes1-15 Zaregistrované zařízení spravované službou Intune Ano, pokud jsou splněna kritéria
Zahrnout/vyloučit režim se zápornými operátory (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) a použití všech atributů včetně extensionAttributes1-15 Zaregistrované zařízení, které nespravuje Intune Ano, pokud jsou splněna kritéria. Při použití rozšířeníAttributes1-15 se zásada použije, pokud zařízení dodržuje předpisy nebo je připojené k hybridní službě Azure AD.

Další kroky