Podmíněný přístup: podmínky

V rámci zásad podmíněného přístupu může správce využít signály z podmínek, jako je riziko, platforma zařízení nebo umístění, a zvýšit tak jejich rozhodování o zásadách.

Definování zásad podmíněného přístupu a určení podmínek

K vytvoření podrobných a specifických zásad podmíněného přístupu lze kombinovat více podmínek.

Například při přístupu k citlivé aplikaci může správce kromě dalších ovládacích prvků, jako je Multi-Factor Authentication, přihlašovat informace o riziku z ochrany identity a umístění do jejich rozhodnutí o přístupu.

Riziko přihlášení

Pro zákazníky s přístupem k Identity Protectionje možné vyhodnotit riziko přihlášení v rámci zásad podmíněného přístupu. Riziko přihlášení představuje pravděpodobnost, že daný požadavek na ověření není autorizovaný vlastníkem identity. Další informace o riziku při přihlašování najdete v článcích, co je to riziko a Postupy: konfigurace a povolení zásad rizik.

Riziko uživatele

Pro zákazníky, kteří mají přístup k Identity Protection, se dá vyhodnotit riziko uživatele v rámci zásad podmíněného přístupu. Riziko uživatele představuje pravděpodobnost zneužití dané identity nebo účtu. Další informace o rizikech uživatelů najdete v článcích, co je to riziko a Postupy: konfigurace a povolení zásad rizik.

Platformy zařízení

Platforma zařízení je charakterizována operačním systémem, který běží na zařízení. Azure AD identifikuje platformu pomocí informací poskytovaných zařízením, jako jsou řetězce uživatelských agentů. Vzhledem k tomu, že je možné upravit řetězce uživatelského agenta, tyto informace jsou neověřené. platforma zařízení by měla být používána společně s Microsoft Intune zásadami dodržování předpisů zařízením nebo jako součást příkazu block. Ve výchozím nastavení platí pro všechny platformy zařízení.

Podmíněný přístup Azure AD podporuje tyto platformy zařízení:

  • Android
  • iOS
  • telefon se systémem Windows
  • Windows
  • macOS

Pokud zablokujete starší ověřování pomocí podmínky ostatních klientů , můžete také nastavit podmínku pro platformu zařízení.

Důležité

Microsoft doporučuje, abyste měli zásady podmíněného přístupu pro nepodporované platformy zařízení. Pokud například chcete blokovat přístup k podnikovým prostředkům ze systému Linux nebo jiných nepodporovaných klientů, měli byste nakonfigurovat zásadu s podmínkou pro platformy zařízení, která zahrnuje jakékoli zařízení a vyloučí podporované platformy zařízení a udělí sadě řízení přístup k blokování přístupu.

Umístění

Při konfiguraci umístění jako podmínky se můžou organizace rozhodnout zahrnout nebo vyloučit umístění. Tato pojmenovaná umístění můžou zahrnovat informace o veřejné síti IPv4, zemi nebo oblasti nebo dokonce neznámé oblasti, které nejsou namapované na konkrétní země nebo oblasti. Pouze rozsahy IP adres lze označit jako důvěryhodné umístění.

Při zahrnutí libovolného umístění Tato možnost zahrnuje jakoukoli IP adresu na internetu, která není právě nakonfigurovaná pojmenovaná umístění. Když vyberete libovolné umístění, správci se můžou rozhodnout vyloučit všechna důvěryhodná nebo Vybraná umístění.

Některé organizace například mohou zvolit, že nevyžadují vícefaktorové ověřování, když jsou jejich uživatelé připojeni k síti v důvěryhodném umístění, jako je jejich fyzické ústředí. Správci mohou vytvořit zásadu, která zahrnuje libovolné umístění, ale vyloučí vybraná umístění pro své sítě centrály.

další informace o umístěních najdete v článku co je to podmínka umístění v Azure Active Directory podmíněný přístup.

Klientské aplikace

Ve výchozím nastavení se všechny nově vytvořené zásady podmíněného přístupu použijí na všechny typy klientských aplikací, i když není podmínka pro klientské aplikace nakonfigurovaná.

Poznámka

Chování podmínky klientských aplikací bylo aktualizováno v srpnu 2020. Pokud máte existující zásady podmíněného přístupu, zůstanou beze změny. Pokud ale kliknete na existující zásadu, odebere se přepínač konfigurace a budou vybrány klientské aplikace, pro které zásada platí.

Důležité

Přihlášení od starších klientů ověřování nepodporují MFA a nedávají informace o stavu zařízení službě Azure AD, takže se zablokují prostřednictvím ovládacích prvků pro udělení podmíněného přístupu, jako je třeba vyžadování zařízení s MFA nebo dodržování předpisů. Pokud máte účty, které musí používat starší verze ověřování, musíte tyto účty buď vyloučit ze zásady, nebo nakonfigurovat zásady tak, aby se použily jenom pro klienty moderních ověřování.

Přepínač Konfigurovat , pokud je nastaveno na hodnotu Ano , se vztahuje na kontrolované položky, pokud je nastavena hodnota ne pro všechny klientské aplikace, včetně moderních a starších ověřovacích klientů. Tento přepínač se nezobrazuje v zásadách vytvořených před srpna 2020.

  • Klienti moderních ověřování
    • Prohlížeč
      • mezi ně patří webové aplikace, které používají protokoly jako SAML, WS-Federation, OpenID Připojení nebo služby registrované jako důvěrného klienta OAuth.
    • Mobilní aplikace a klienti klasické pracovní plochy
      • tato možnost zahrnuje aplikace, jako jsou Office desktopové a telefonní aplikace.
  • Klienti starší verze ověřování
    • protokol Exchange ActiveSync klienti
      • tento výběr zahrnuje veškeré použití protokolu protokol Exchange ActiveSync (EAS).
      • když zásada blokuje použití protokol Exchange ActiveSync bude mít ovlivněný uživatel jeden e-mail o karanténě. Tento e-mail s informacemi o tom, proč jsou blokované, a obsahuje pokyny k nápravě, pokud je to možné.
      • správci můžou zásady použít jenom pro podporované platformy (například iOS, Android a Windows) prostřednictvím rozhraní API pro podmíněný přístup Microsoft Graph.
    • Ostatní klienti
      • Tato možnost zahrnuje klienty, kteří používají základní a starší ověřovací protokoly, které nepodporují moderní ověřování.
        • Ověřený protokol SMTP, pomocí kterého klient POP a IMAP odesílá e-mailové zprávy.
        • automatická konfigurace – používá klienti Outlook a EAS k vyhledání a připojení k poštovním schránkám v Exchange Online.
        • Exchange Online powershell – slouží k připojení k Exchange Online se vzdáleným prostředím powershell. pokud zablokujete základní ověřování pro Exchange Online PowerShell, musíte k připojení použít modul Exchange Online powershellu. pokyny najdete v tématu Připojení Exchange Online powershellu pomocí služby multi-factor authentication.
        • Exchange webové služby (EWS) – programovací rozhraní, které používá Outlook, Outlook pro Mac a aplikace třetích stran.
        • IMAP4 – používá e-mailové klienty IMAP.
        • rozhraní mapi přes protokol http (mapi/http) – používá Outlook 2010 a novější.
        • Adresář v režimu offline (OAB) – kopii kolekcí seznamu adres, které jsou staženy a používány Outlook.
        • Outlook odkudkoli (RPC over HTTP) – používá Outlook 2016 a dřívější verze.
        • Outlook Služba – používá se v aplikaci Pošta a kalendář pro Windows 10.
        • POP3 – používá e-mailové klienty POP.
        • Webové služby vytváření sestav – slouží k načtení dat sestavy v Exchange Online.

Tyto podmínky se běžně používají při vyžadování spravovaného zařízení, blokování starších verzí ověřování a blokování webových aplikací, ale umožňuje mobilní nebo desktopové aplikace.

Podporované prohlížeče

Toto nastavení funguje ve všech prohlížečích. Pokud ale chcete splnit zásadu zařízení, třeba požadavky na vyhovující zařízení, podporují se tyto operační systémy a prohlížeče:

Operační systém Browsers
Windows 10 Microsoft Edge, Internet Explorer, Chrome
Windows 8/8,1 Internet Explorer, Chrome
Windows 7 Internet Explorer, Chrome
iOS Microsoft Edge, Intune Managed Browser, Safari
Android Microsoft Edge, Intune Managed Browser, Chrome
telefon se systémem Windows Microsoft Edge, Internet Explorer
Windows Server 2019 Microsoft Edge, Internet Explorer, Chrome
Windows Server 2016 Internet Explorer
Windows Server 2012 R2 Internet Explorer
Windows Server 2008 R2 Internet Explorer
macOS Microsoft Edge, Chrome, Safari

Tyto prohlížeče podporují ověřování zařízení, což umožňuje, aby se zařízení identifikovalo a ověřilo podle zásad. Kontrola zařízení selže, pokud je prohlížeč spuštěný v privátním režimu nebo pokud jsou soubory cookie zakázané.

Poznámka

Edge 85+ vyžaduje, aby byl uživatel přihlášený k prohlížeči, aby správně předal identitu zařízení. V opačném případě se chová jako Chrome bez rozšíření účtů. K tomuto přihlášení nemusí dojít automaticky ve scénáři hybridního připojení k Azure AD. Safari se podporuje pro podmíněný přístup na základě zařízení, ale nemůže splňovat podmínky zásad Vyžadovat schválenou klientskou aplikaci nebo Vyžadovat ochranu aplikací. Spravovaný prohlížeč, jako je Microsoft Edge, bude splňovat schválené požadavky na klientskou aplikaci a zásady ochrany aplikací.

Proč se mi v prohlížeči zobrazí výzva k zadání certifikátu

V Windows 7 azure AD pro iOS, Android a macOS identifikuje zařízení pomocí klientského certifikátu, který je zřízen při registraci zařízení ve službě Azure AD. Když se uživatel poprvé přihlásí přes prohlížeč, zobrazí se uživateli výzva k výběru certifikátu. Uživatel musí tento certifikát vybrat před použitím prohlížeče.

Podpora chromu

Pro podporu Chromu Windows 10 Creators Update (verze 1703) nebo novější nainstalujte rozšíření Windows 10 Accounts. Toto rozšíření se vyžaduje, když zásady podmíněného přístupu vyžadují podrobnosti specifické pro zařízení.

Pokud chcete toto rozšíření automaticky nasadit do prohlížečů Chrome, vytvořte následující klíč registru:

  • Cesta HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Název 1
  • Typ REG_SZ (String)
  • Data ppnbnpeolgkicgegkbkbjmhlideji; https : //clients2.google.com/service/update2/crx

Pro podporu Chromu v Windows 8.1 a 7 vytvořte následující klíč registru:

  • Cesta HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Název 1
  • Typ REG_SZ (String)
  • Data {"pattern":" https://device.login.microsoftonline.com ","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Podporované mobilní aplikace a desktopové klienty

Organizace mohou jako klientskou aplikaci vybrat Mobilní aplikace a desktopové klienty.

Toto nastavení má vliv na pokusy o přístup z následujících mobilních aplikací a desktopových klientů:

Klientské aplikace Cílová služba Platforma
Aplikace Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS a Android
Aplikace Pošta/Kalendář/Lidé, Outlook 2016, Outlook 2013 (s moderním ověřováním) Exchange Online Windows 10
MFA a zásady umístění pro aplikace. Zásady založené na zařízeních se nepodporují. Všechny Moje aplikace app service Android a iOS
Microsoft Teams Služby – tato klientská aplikace řídí všechny služby, které podporují Microsoft Teams a všechny její klientské aplikace – Windows Desktop, iOS, Android, WP a webový klient. Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android a macOS
Office 2016, Office 2013 (s moderním ověřováním), synchronizační aplikace OneDrivu klient SharePoint Windows 8.1, Windows 7
Office 2016, univerzální aplikace Office, Office 2013 (s moderním ověřováním), synchronizační aplikace OneDrivu klient SharePoint Online Windows 10
Office 2016 (Word, Excel, PowerPoint, OneNote jenom) SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Office mobilních aplikací SharePoint Android, iOS
Office Yammer aplikace Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office pro macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (s moderním ověřováním), Skype pro firmy (s moderním ověřováním) Exchange Online Windows 8.1, Windows 7
Outlook mobilní aplikace Exchange Online Android, iOS
Aplikace Power BI Služba Power BI Windows 10, Windows 8.1, Windows 7, Android a iOS
Skype pro firmy Exchange Online Android, iOS
Visual Studio Team Services aplikace Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS a Android

protokol Exchange ActiveSync klienti

  • Organizace mohou při přiřazování zásad protokol Exchange ActiveSync nebo skupinám vybrat pouze klienty. Výběrem možnosti Všichni uživatelé , Všichni uživatelé host a externí uživatelé nebo Role adresáře budou zásady podléhat všem uživatelům.
  • Při vytváření zásad přiřazených protokol Exchange ActiveSync klientům by Exchange Online být jediná cloudová aplikace přiřazená k zásadám.
  • Organizace mohou pomocí podmínky Platformy zařízení zúžit rozsah těchto zásad na konkrétní platformy.

Pokud řízení přístupu přiřazené k zásadám používá možnost Vyžadovat schválenou klientskou aplikaci , bude uživatel přesměrován na instalaci a Outlook mobilního klienta. V případě, že se vyžaduje vícefaktorové ověřování , Podmínky použití, nebo vlastní ovládací prvky, jsou ovlivnění uživatelé zablokovaní, protože základní ověřování tyto ovládací prvky nepodporuje.

Další informace najdete v následujících článcích:

Ostatní klienti

Výběrem možnosti Další klienti můžete zadat podmínku, která bude mít vliv na aplikace, které používají základní ověřování s poštovními protokoly, jako jsou IMAP, MAPI, POP, SMTP a starší aplikace Office, které moderní ověřování nepou ují.

Stav zařízení (Preview)

Podmínku stavu zařízení můžete použít k vyloučení zařízení, která jsou připojená k hybridní službě Azure AD, nebo zařízení označená jako kompatibilní se zásadami dodržování předpisů Microsoft Intune ze zásad podmíněného přístupu organizace.

Například všichni uživatelé, kteří přistupují ke cloudové aplikaci Microsoft Azure Management, včetně všech stavů zařízení s výjimkou zařízení připojených k hybridní službě Azure AD a zařízení označeného jako vyhovující a pro řízení přístupu , Blokovat.

  • Tento příklad vytvoří zásadu, která povolí přístup ke správě Microsoft Azure ze zařízení, která jsou buď připojená k hybridní službě Azure AD, nebo ze zařízení označených jako vyhovující.

Důležité

Stav zařízení a filtry pro zařízení se nedají použít společně v zásadách podmíněného přístupu. Filtry pro zařízení poskytují podrobnější cílení, včetně podpory pro cílení informací o stavu zařízení prostřednictvím trustType isCompliant vlastnosti a.

Filtry pro zařízení (Preview)

V podmíněném přístupu s názvem filtry pro zařízení je k dispozici nová volitelná podmínka. Při konfiguraci filtrů pro zařízení jako podmínky si organizace můžou zvolit zahrnutí nebo vyloučení zařízení na základě filtrů pomocí výrazu pravidla ve vlastnostech zařízení. Výraz pravidla pro filtry pro zařízení můžete vytvářet pomocí Tvůrce pravidel nebo syntaxe pravidel. Toto prostředí se podobá tomu, že se používá pro pravidla dynamického členství pro skupiny. Další informace najdete v článku podmíněný přístup: filtry pro zařízení (Preview).

Další kroky