Běžné způsoby použití podmíněného přístupu s Intune
S Intune můžete použít dva typy zásad podmíněného přístupu: podmíněný přístup založený na zařízení a podmíněný přístup založený na aplikacích. Abyste je mohli podporovat, budete muset nakonfigurovat související zásady Intune. Když jsou zásady Intune zavedené a nasazené, můžete pomocí podmíněného přístupu provádět akce, jako je povolení nebo blokování přístupu k Exchangi, řízení přístupu k síti nebo integrace s řešením ochrany před mobilními hrozbami.
Informace v tomto článku vám můžou pomoct pochopit, jak používat funkce dodržování předpisů mobilních zařízení Intune a možnosti správy mobilních aplikací (MAM) Intune.
Poznámka
Podmíněný přístup je funkce Microsoft Entra, která je součástí licence Microsoft Entra ID P1 nebo P2. Intune tuto funkci vylepšuje tím, že do řešení přidává dodržování předpisů pro mobilní zařízení a správu mobilních aplikací. Uzel podmíněného přístupu, ke který se přistupuje z Intune, je stejný jako uzel, ke který se přistupuje z ID Microsoft Entra.
Podmíněný přístup na základě zařízení
Intune a id Microsoft Entra společně zajišťují, aby k e-mailu vaší organizace, službám Microsoftu 365, aplikacím SaaS (Software jako služba) a místním aplikacím měli přístup jenom spravovaná a vyhovující zařízení. Kromě toho můžete v Microsoft Entra ID nastavit zásadu tak, aby přístup ke službám Microsoft 365 povolovaly jenom počítače připojené k doméně nebo mobilní zařízení zaregistrovaná v Intune.
S Intune nasadíte zásady dodržování předpisů zařízením, abyste zjistili, jestli zařízení splňuje vaše očekávané požadavky na konfiguraci a zabezpečení. Vyhodnocení zásad dodržování předpisů určuje stav dodržování předpisů zařízením, který se hlásí do Intune i id Microsoft Entra. Zásady podmíněného přístupu můžou v Microsoft Entra ID používat stav dodržování předpisů zařízení k rozhodování, jestli z tohoto zařízení povolí nebo zablokuje přístup k prostředkům vaší organizace.
Zásady podmíněného přístupu na základě zařízení pro Exchange Online a další produkty Microsoft 365 se konfigurují prostřednictvím Centra pro správu Microsoft Intune.
Přečtěte si další informace o vyžadování spravovaných zařízení s podmíněným přístupem v id Microsoft Entra.
Přečtěte si další informace o dodržování předpisů zařízením v Intune.
Přečtěte si další informace o podporovaných prohlížečích s podmíněným přístupem v Microsoft Entra ID.
Poznámka
Když povolíte přístup na základě zařízení pro obsah, ke kterému uživatelé přistupují z aplikací prohlížeče na zařízeních s osobním profilem Androidu, musí uživatelé zaregistrovaní před lednem 2021 povolit přístup v prohlížeči následujícím způsobem:
- Spusťte aplikaci Portál společnosti.
- V nabídce přejděte na stránku Nastavení .
- V části Povolit přístup v prohlížeči klepněte na tlačítko POVOLIT .
- Zavřete a restartujte aplikaci prohlížeče.
To umožňuje přístup v prohlížečových aplikacích, ale ne k webovým zobrazením v prohlížeči, které se otevírají v rámci aplikací.
Aplikace dostupné v podmíněném přístupu pro řízení Microsoft Intune
Při konfiguraci podmíněného přístupu v Centru pro správu Microsoft Entra máte na výběr ze dvou aplikací:
- Microsoft Intune – Tato aplikace řídí přístup k Centru pro správu Microsoft Intune a zdrojům dat. Pokud chcete cílit na centrum pro správu Microsoft Intune a zdroje dat, nakonfigurujte u této aplikace udělení a řízení.
- Microsoft Intune Registrace – Tato aplikace řídí pracovní postup registrace. Pokud chcete cílit na proces registrace, nakonfigurujte u této aplikace udělení nebo řízení. Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro registrace zařízení v Intune.
Podmíněný přístup na základě řízení přístupu k síti
Intune se integruje s partnery, jako jsou Cisco ISE, Aruba Clear Pass a Citrix NetScaler, a poskytuje řízení přístupu na základě registrace Intune a stavu dodržování předpisů zařízením.
Uživatelům je možné povolit nebo odepřít přístup k podnikovým Wi-Fi nebo prostředkům VPN na základě toho, jestli zařízení, které používají, je spravované a vyhovuje zásadám dodržování předpisů pro zařízení v Intune.
- Přečtěte si další informace o integraci NAC s Intune.
Podmíněný přístup na základě rizika zařízení
Intune spolupracuje s dodavateli ochrany před mobilními hrozbami, kteří poskytují bezpečnostní řešení pro detekci malwaru, trojských koní a dalších hrozeb na mobilních zařízeních.
Jak funguje integrace Intune a ochrany před mobilními hrozbami
Když mají mobilní zařízení nainstalovaného agenta Mobile Threat Defense, odešle agent zprávy o stavu dodržování předpisů zpět do Intune, když se na mobilním zařízení najde hrozba.
Integrace Intune a ochrany před mobilními hrozbami hraje roli v rozhodování o podmíněném přístupu na základě rizika zařízení.
- Přečtěte si další informace o ochraně před mobilními hrozbami v Intune.
Podmíněný přístup pro počítače s Windows
Podmíněný přístup pro počítače poskytuje funkce podobné těm, které jsou k dispozici pro mobilní zařízení. Pojďme si promluvit o způsobech použití podmíněného přístupu při správě počítačů pomocí Intune.
Vlastněné společností
Microsoft Entra hybridní připojení: Tuto možnost běžně používají organizace, které jsou přiměřeně obeznámené s tím, jak už spravují své počítače prostřednictvím zásad skupiny AD nebo Configuration Manager.
Microsoft Entra připojené k doméně a správa Intune: Tento scénář je určený pro organizace, které chtějí být primárně cloudové (to znamená primárně používat cloudové služby s cílem omezit používání místní infrastruktury) nebo výhradně cloudové (bez místní infrastruktury). Microsoft Entra join funguje dobře v hybridním prostředí a umožňuje přístup ke cloudovým i místním aplikacím a prostředkům. Zařízení se připojí k ID Microsoft Entra a zaregistruje se do Intune, které se dá použít jako kritérium podmíněného přístupu při přístupu k podnikovým prostředkům.
Přineste si vlastní zařízení (BYOD)
- Připojení k pracovišti a správa Intune: Tady se uživatel může připojit ke svým osobním zařízením a získat přístup k podnikovým prostředkům a službám. Pomocí připojení k pracovišti a registrace zařízení v Intune MDM můžete přijímat zásady na úrovni zařízení, což je další možnost vyhodnocení kritérií podmíněného přístupu.
Přečtěte si další informace o Správa zařízení v Microsoft Entra ID.
Podmíněný přístup na základě aplikace
Intune a Microsoft Entra ID společně zajišťují, aby k podnikovému e-mailu nebo jiným službám Microsoftu 365 mohly přistupovat jenom spravované aplikace.
- Přečtěte si další informace o podmíněném přístupu založeném na aplikacích s Intune.
Podmíněný přístup Intune pro místní Exchange
Podmíněný přístup je možné použít k povolení nebo blokování přístupu k místnímu Exchangi na základě zásad dodržování předpisů zařízením a stavu registrace. Pokud se podmíněný přístup používá v kombinaci se zásadami dodržování předpisů zařízením, budou mít přístup k místnímu Exchangi povolen pouze vyhovujícím zařízením.
V části Podmíněný přístup můžete nakonfigurovat upřesňující nastavení pro podrobnější řízení, například:
Povolte nebo zablokujte určité platformy.
Zařízení, která nespravuje Intune, můžete okamžitě zablokovat.
Při použití zásad dodržování předpisů zařízením a podmíněného přístupu se kontroluje dodržování předpisů u všech zařízení používaných pro přístup k místnímu Exchangi.
Pokud zařízení nesplňují nastavené podmínky, provede se koncový uživatel procesem registrace zařízení, aby vyřešil problém, kvůli kterému zařízení nedodržuje předpisy.
Poznámka
Od července 2020 je podpora exchange connectoru zastaralá a nahrazená hybridním moderním ověřováním Exchange (HMA). Použití HMA nevyžaduje, aby Intune nastavil a používal Exchange Connector. Po této změně se uživatelské rozhraní pro konfiguraci a správu Exchange Connectoru pro Intune odebralo z Centra pro správu Microsoft Intune, pokud už s předplatným nepoužíváte Exchange Connector.
Pokud máte ve svém prostředí nastavený Exchange Connector, váš tenant Intune zůstane podporovaný pro jeho použití a budete mít i nadále přístup k uživatelskému rozhraní, které podporuje jeho konfiguraci. Další informace najdete v tématu Instalace konektoru Exchange On-Premises Connector. Můžete dál používat konektor nebo nakonfigurovat HMA a pak konektor odinstalovat.
Hybridní moderní ověřování poskytuje funkce, které dříve poskytoval Exchange Connector pro Intune: Mapování identity zařízení na záznam Exchange. K tomuto mapování teď dochází mimo konfiguraci, kterou jste udělali v Intune, nebo požadavku konektoru Intune na přemostit Intune a Exchange. U HMA se požadavek na použití konfigurace specifické pro Intune (konektor) odstranil.
Jaká je role Intune?
Intune vyhodnocuje a spravuje stav zařízení.
Jaká je role serveru Exchange?
Exchange Server poskytuje rozhraní API a infrastrukturu pro přesun zařízení do karantény.
Důležité
Mějte na paměti, že uživatel, který zařízení používá, musí mít přiřazený profil dodržování předpisů a licenci Intune, aby bylo možné vyhodnotit dodržování předpisů u zařízení. Pokud se pro uživatele nenasadí žádné zásady dodržování předpisů, zařízení se považuje za vyhovující a neuplatní se žádná omezení přístupu.
Další kroky
Konfigurace podmíněného přístupu v ID Microsoft Entra
Nastavení zásad podmíněného přístupu na základě aplikací
Jak vytvořit zásady podmíněného přístupu pro místní Exchange
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro