Rugalmasság kiépítése eszközállapotokkal
Az eszközállapotok Microsoft Entra-azonosítóval való engedélyezésével a rendszergazdák feltételes hozzáférési szabályzatokat hozhatnak létre, amelyek az eszközállapot alapján szabályozzák az alkalmazásokhoz való hozzáférést. Az eszközállapotok engedélyezése kielégíti az erőforrás-hozzáférés erős hitelesítési követelményeit, csökkenti a többtényezős hitelesítési kérelmeket, és javítja a rugalmasságot.
Az alábbi folyamatábra bemutatja az eszközállapotokat engedélyező Eszközök előkészítésének módját a Microsoft Entra ID-ban. A szervezetben több is használható.
Eszközállapotok használatakor a felhasználók a legtöbb esetben egyszeri bejelentkezést tapasztalnak az erőforrásokra egy elsődleges frissítési jogkivonaton (PRT) keresztül. A PRT jogcímeket tartalmaz a felhasználóról és az eszközről. Ezekkel a jogcímekkel lekérheti a hitelesítési jogkivonatokat az eszközök alkalmazásainak eléréséhez. A PRT 14 napig érvényes, és folyamatosan megújul, amíg a felhasználó aktívan használja az eszközt, rugalmas felhasználói élményt biztosítva. További információ arról, hogy a PRT hogyan szerezhet be többtényezős hitelesítési jogcímeket, lásd : Mikor kap egy PRT MFA-jogcímet.
Hogyan segítenek az eszközállapotok?
Amikor egy PRT hozzáférést kér egy alkalmazáshoz, annak eszköz-, munkamenet- és MFA-jogcímeit a Microsoft Entra ID megbízhatónak tekinti. Ha a rendszergazdák eszközalapú vagy többtényezős hitelesítési vezérlőt igénylő házirendeket hoznak létre, akkor a szabályzatkövetelmény az eszközállapotán keresztül teljesíthető az MFA megkísérlése nélkül. A felhasználók nem fognak több MFA-kérést látni ugyanazon az eszközön. Ez növeli a Rugalmasságot a Microsoft Entra többtényezős hitelesítési szolgáltatás vagy függőségek, például a helyi távközlési szolgáltatók leállásával szemben.
Hogyan eszközállapotokat implementálni?
- Engedélyezze a Microsoft Entra hibrid csatlakoztatását és a Microsoft Entra-csatlakozást a vállalati tulajdonban lévő Windows-eszközökhöz, és szükség esetén szükség van a csatlakozásukra. Ha nem lehetséges, regisztrálja őket. Ha a szervezetben a Windows régebbi verziói vannak, frissítse ezeket az eszközöket a Windows 10 használatára.
- Szabványosítsa a felhasználói böngésző hozzáférését a Microsoft Edge vagy a Google Chrome használatához a Microsoft Egyszeri bejelentkezés kiterjesztéssel, amely lehetővé teszi a közvetlen egyszeri bejelentkezést a webalkalmazások számára a PRT használatával.
- Személyes vagy vállalati tulajdonú iOS- és Android-eszközök esetén telepítse a Microsoft Authenticator alkalmazást. Az MFA és a jelszó nélküli bejelentkezési képességek mellett a Microsoft Authenticator alkalmazás lehetővé teszi az egyszeri bejelentkezést a natív alkalmazások között közvetítő hitelesítéssel, kevesebb hitelesítési kéréssel a végfelhasználók számára.
- Személyes vagy céges tulajdonú iOS- és Android-eszközök esetén a mobilalkalmazás-kezeléssel biztonságosan elérheti a vállalati erőforrásokat kevesebb hitelesítési kéréssel.
- MacOS-eszközök esetén az Apple-eszközökhöz készült Microsoft Enterprise SSO beépülő modul (előzetes verzió) segítségével regisztrálhatja az eszközt, és SSO-t biztosíthat böngészőben és natív Microsoft Entra-alkalmazásokban. Ezután a környezete alapján kövesse a Microsoft Intune-ra vagy a Jamf Pro-ra vonatkozó lépéseket.
Következő lépések
Erőforrások rugalmassága rendszergazdák és építészek számára
- Rugalmasság kiépítése hitelesítő adatok kezelésével
- Rugalmasság kiépítése folyamatos hozzáférés-kiértékeléssel (CAE)
- Rugalmasság kiépítése külső felhasználói hitelesítésben
- Rugalmasság kiépítése a hibrid hitelesítésben
- Rugalmasság kiépítése az alkalmazáshozzáférésben a alkalmazásproxy
Rugalmassági erőforrások fejlesztőknek
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: