A feltételes hozzáférés használatának szokásos módjai az Intune-banCommon ways to use conditional access with Intune

A következőkre vonatkozik: Intune az Azure PortalonApplies to: Intune in the Azure portal
A klasszikus portálbeli Intune-ról keres dokumentációt?Looking for documentation about Intune in the classic portal? Lépjen tovább ide.Go here.

Ahhoz, hogy a cégénél ellenőrizhesse a feltételes hozzáférési megfelelőséget, konfigurálnia kell az Intune mobileszköz-megfelelőségi szabályzatát és az Intune mobilalkalmazás-kezelési (MAM) funkcióit.You need to configure Intune mobile device compliance policy, and the Intune mobile application management (MAM) capabilities to drive conditional access compliance at your organization. Ez a cikk a feltételes hozzáférés Intune-ban alkalmazott leggyakoribb módjait mutatja be.Let’s talk about the common ways to use conditional access with Intune.

Eszközalapú feltételes hozzáférésDevice-based conditional access

Az Intune és az Azure Active Directory együtt gondoskodik róla, hogy csak felügyelt és megfelelő eszközök férhessenek hozzá az e-mailekhez, az Office 365-szolgáltatásokhoz, a szolgáltatott szoftverként (SaaS) használt alkalmazásokhoz és a helyszíni alkalmazásokhoz.Intune and Azure Active Directory work together to make sure only managed and compliant devices are allowed access to email, Office 365 services, Software as a service (SaaS) apps, and on-premises apps. Ezenkívül olyan szabályzatot is beállíthat az Azure Active Directoryban, amely az Office 365-szolgáltatásokhoz való hozzáférést csak tartományhoz csatlakozó számítógépek vagy az Intune-ban regisztrált mobileszközök számára engedélyezi.Additionally, you can set a policy in Azure Active Directory to only enable computers that are domain-joined, or mobile devices that are enrolled in Intune to access Office 365 services.

Az Intune biztosítja az eszközök megfelelőségi állapotát értékelő eszközmegfelelőségi szabályzatokat.Intune provides device compliance policy capabilities that evaluate the compliance status of the devices. A rendszer jelenti a megfelelőségi állapotot az Azure Active Directorynak, amely azon szabályzat érvényre juttatásához fogja azt használni, amely akkor jön létre az Azure Active Directoryban, amikor a felhasználó kísérletet tesz a céges erőforrások elérésére.The compliance status is reported to Azure Active Directory that uses it to enforce the conditional access policy created in Azure Active Directory when the user tries to access company resources.

Az új Azure Portaltól kezdődően az Exchange Online és más Office 365-termékek eszközalapú feltételes hozzáférési szabályzatainak konfigurálása az Azure Portalon keresztül történik.Starting at the new Azure portal, device-based conditional access policies for Exchange online and other Office 365 products are configured through the Azure portal.

Feltételes hozzáférés a helyszíni Exchange-hezConditional access for Exchange on-premises

A feltételes hozzáférés használatával az eszközfelügyeleti szabályzatok és az eszközregisztráció állapota alapján engedélyezhető, illetve tiltható a hozzáférés a helyszíni Exchange-hez.Conditional access can be used to allow or block access to Exchange on-premises based on the device compliance policies and enrollment state. A feltételes hozzáférés és az eszközmegfelelőségi szabályzat együttes alkalmazásával elérheti, hogy csak megfelelő eszközök férhessenek hozzá a helyszíni Exchange-hez.When conditional access is used in combination with a device compliance policy, only compliant devices are allowed access to Exchange on-premises.

A részletesebb vezérléshez speciális feltételes hozzáférési beállításokat is megadhat, például:You can configure advanced settings in conditional access for more granular control such as:

  • Egyes platformok engedélyezése vagy letiltása.Allow or block certain platforms.

  • Az Intune által nem felügyelt eszközök azonnali letiltása.Immediately block devices that are not managed by Intune.

Az eszközmegfelelőségi és feltételes hozzáférési szabályzatok alkalmazása esetén a rendszer ellenőrzi a helyszíni Exchange elérésére használt összes eszköz megfelelőségét.Any device used to access Exchange on-premises is checked for compliance when device compliance and conditional access policies are applied.

Ha egy eszköz nem tesz eleget az adott feltételeknek, a rendszer végigvezeti a felhasználót az eszközregisztráció lépésein, hogy megszűnjön az eszköz megfelelőségét akadályozó probléma.When devices do not meet the conditions set, the end user is guided through the process of enrolling the device to fix the issue that is making the device non-compliant.

A feltételes hozzáférés működése helyszíni Exchange eseténHow conditional access for Exchange on-premises works

Az Intune Exchange Connector lekéri az Exchange-kiszolgálón lévő összes Exchange Active Sync- (EAS-) rekordot, amelyeket az Intune átvesz, és megfeleltet az Intune-eszközrekordoknak.The Intune Exchange connector pulls in all the Exchange Active Sync (EAS) records that exist at the Exchange server so Intune can take these EAS records and map them to Intune device records. Ezek a rekordok az Intune által regisztrált és felismert eszközöknek felelnek meg.These records are devices enrolled and recognized by Intune. A folyamat engedélyezi vagy tiltja a hozzáférést az e-mailekhez.This process allows or blocks e-mail access.

Ha az EAS-rekord olyan friss, hogy az Intune még nem ismeri fel, az Intune kiad egy olyan parancsmagot, amely letiltja az e-mailekhez való hozzáférést.If the EAS record is brand new, and Intune is not aware of it, Intune issues a command-let that blocks access to e-mail. Az alábbi ábrán részletesen látható a folyamat:Here are more details on how this process works:

Folyamatábra: Feltételes hozzáférés helyszíni Exchange esetén

  1. A felhasználó megkísérel hozzáférni a helyszíni Exchange 2010 SP1-es vagy későbbi verziójában tárolt céges e-mailekhez.User tries to access corporate e-mail, which is hosted on Exchange on-premises 2010 SP1 or later.

  2. Ha az Intune által nem felügyelt eszközt használ, a rendszer letiltja az eszköz e-mail-hozzáférését.If the device is not managed by Intune, it will be blocked access to e-mail. Az Intune letiltási értesítést küld az EAS-ügyfélnek.Intune sends block notification to the EAS client.

  3. Az EAS megkapja a letiltási értesítést, karanténba helyezi az eszközt, majd karanténüzenetet küld a korrekciós lépésekkel és azon hivatkozásokkal, amelyekkel a felhasználó regisztrálhatja az eszközt.EAS receives block notification, moves the device to quarantine, and sends the quarantine e-mail with remediation steps that contain links so the users can enroll their devices.

  4. A munkahelyi csatlakozás létrejöttével megtörténik az első lépés ahhoz, hogy az eszköz az Intune felügyelete alá kerüljön.The Workplace join process happens, which is the first step to have the device managed by Intune.

  5. A rendszer regisztrálja az eszközt az Intune-ban.The device gets enrolled into Intune.

  6. Az Intune egy eszközrekordba képezi le az EAS-rekordot, és menti az eszközmegfelelőségi állapotot.Intune maps the EAS record to a device record, and saves the device compliance state.

  7. Az eszközök Azure AD-beli regisztrációjának folyamata során a rendszer regisztrálja az EAS-es ügyfél-azonosítót, ami kapcsolatot létesít az Intune-eszközrekord és az EAS-es ügyfél-azonosító között.The EAS client ID gets registered by the Azure AD Device Registration process, which creates a relationship between the Intune device record, and the EAS client ID.

  8. Az eszközök Azure AD-beli regisztrációja menti az eszköz állapotadatait.The Azure AD Device Registration saves the device state information.

  9. Ha a felhasználó teljesíti a feltételes hozzáférési szabályzatok feltételeit, az Intune parancsmagot ad ki az Intune Exchange Connectoron keresztül, amely lehetővé teszi a postaláda szinkronizálását.If the user meets the conditional access policies, Intune issues a command-let through the Intune Exchange connector that allows the mailbox to sync.

  10. Az Exchange-kiszolgáló elküldi az értesítést az EAS-ügyfélhez, hogy a felhasználó hozzáférhessen az e-mailjeihez.Exchange server sends the notification to EAS client so the user can access e-mail.

Mi az Intune szerepe?What’s the Intune role?

Az Intune értékeli és felügyeli az eszközök állapotát.Intune evaluates and manage the device state.

Mi az Exchange-kiszolgáló szerepe?What’s the Exchange server role?

Az Exchange-kiszolgáló biztosítja az API-t és az infrastruktúrát az eszközök karanténba helyezéséhez.Exchange server provides API and infrastructure to move devices to its quarantine.

Fontos

Ne feledje, hogy az eszközmegfelelőség értékeléséhez az eszköz felhasználójának rendelkeznie kell egy hozzárendelt megfelelőségi profillal.Keep in mind that the user who’s using the device must have a compliance profile assigned to them so the device to be evaluated for compliance. Amennyiben a felhasználóra nem vonatkozik megfelelőségi szabályzat, a rendszer megfelelőként kezeli az eszközt, és egyáltalán nem korlátozza a hozzáférést.If no compliance policy is deployed to the user, the device is treated as compliant and no access restrictions are applied.

Hálózati hozzáférés-vezérlésen alapuló feltételes hozzáférésConditional access based on network access control

Az Intune-nak számos integrált partnere van (köztük a Cisco ISE, az Aruba Clear Pass és a Citrix NetScaler), amelyek segítségével biztosítja az Intune-regisztráción és az eszközmegfelelőségi állapoton alapuló hozzáférés-vezérlést.Intune integrated with partners like Cisco ISE, Aruba Clear Pass, and Citrix NetScaler to provide access controls based on the Intune enrollment and the device compliance state.

A rendszer attól függően engedélyezheti vagy tilthatja a felhasználók hozzáférését a céges Wi-Fi-hez vagy VPN-erőforrásokhoz, hogy az eszközüket felügyelik-e az Intune eszközmegfelelőségi szabályzatai, illetve az eszköz megfelel-e azoknak.Users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources based on whether the device is managed and compliant with Intune device compliance policies.

Eszközkockázaton alapuló feltételes hozzáférésConditional access based on device risk

Az Intune partnerkapcsolatot kötött a Mobile Threat Defense forgalmazóival. Ez a szolgáltatás biztonsági megoldást nyújt a mobileszközökön megjelenő kártevők, trójai vírusok és egyéb fenyegetések észleléséhez.Intune partnered with Mobile Threat Defense vendors that provides a security solution to detect malwares, Trojans, and other threats on mobile devices.

Hogy működik az Intune és a Mobile Threat Defense integrációja?How the Intune and mobile threat defense integration works

Ha a mobileszközökön telepítve van a Mobile Threat Defense ügynöke, az ügynök megfelelőségiállapot-üzenetekben jelentheti az Intune-nak, hogy fenyegetés jelent meg az eszközön.When mobile devices have the mobile threat defense agent installed, the agent can send compliance state messages back to Intune reporting if a threat has been found in the mobile device itself.

Az Intune és a Mobile Threat Defense integrációja fontos szerepet játszik az eszközkockázat alapján hozott feltételes hozzáférési döntésekben.The Intune and mobile threat defense integration plays a factor at the conditional access decisions based on device risk.

Feltételes hozzáférés Windows rendszerű számítógépekenConditional access for Windows PCs

A Windows rendszerű számítógépek feltételes hozzáférése hasonló képességeket biztosít, mint a mobileszközöké.Conditional access for PCs provide similar capabilities available for mobile devices. Ez a szakasz a feltételes hozzáférés Intune által felügyelt Windows rendszerű gépeken alkalmazható módjait tekinti át.Let’s talk about the ways you can use conditional access when managing PCs with Intune.

Céges tulajdonú eszközökCorporate-owned

  • Helyszíni AD-tartományhoz csatlakoztatott eszköz: Ez a feltételes hozzáférés leggyakoribb rendszerbe állítási megoldása azon szervezeteknél, amelyek megfelelőnek tartják, hogy Windows rendszerű számítógépeiket eleve AD-csoportházirendekkel és/vagy a System Center Configuration Managerrel felügyelik.On premises AD domain joined: This has been the most common conditional access deployment option for organizations, whose are reasonable comfortable with the fact they’re already managing their PCs through AD group policies and/or with System Center Configuration Manager.

  • Azure AD-tartományhoz csatlakoztatott és Intune által felügyelt eszköz: Ez a megoldás általában a saját eszközök választásán (CYOD) alapuló és laptophordozásos forgatókönyvekhez kapcsolódik, ahol az eszközök csak ritkán csatlakoznak a céges hálózatra.Azure AD domain joined and Intune management: This scenario is typically geared to Choose Your Own Device (CYOD), and roaming laptop scenarios where these devices are rarely connected to corporate-network. Az eszköz az Azure AD-hoz csatlakozik, és az Intune-ban regisztrálják, ami eltávolít minden, a helyszíni AD-tól és tartományvezérlőktől való függőséget.The device joins to the Azure AD and gets enrolled to Intune, which removes any dependency on on-premises AD, and domain controllers. A céges erőforrások kezelésekor ez lehet a feltételes hozzáférés feltétele.This can be used as a conditional access criteria when accessing corporate resources.

  • AD-tartományhoz csatlakoztatott eszköz és System Center Configuration Manager: A System Center Configuration Manager aktuális ága feltételes hozzáférési képességeket nyújt bizonyos – a gép tartományhoz való csatlakoztatásán kívüli – megfelelőségi feltételek ellenőrzésére:AD domain joined and System Center Configuration Manager: As of current branch, System Center Configuration Manager provides conditional access capabilities that can evaluate specific compliance criteria, in addition to be a domain-joined PC:

    • Titkosították-e a számítógépet?Is the PC encrypted?

    • Telepítve van-e rajta kártevő szoftver?Is Malware installed? Frissítették az eszközt?Is it up-to-date?

    • Jailbreakelték vagy rootolták az eszközt?Is the device jailbroken or rooted?

Saját eszközök használata (BYOD)Bring your own device (BYOD)

  • Munkahelyi csatlakozás és Intune-felügyelet: A felhasználók ebben az esetben a saját eszközeiket csatlakoztatva érhetik el a céges erőforrásokat és szolgáltatásokat.Workplace join and Intune management: Here the user can join their personal devices to access corporate resources and services. A munkahelyi csatlakozás használatával és az eszközök Intune-regisztrációjával eszközszintű szabályzatokat kaphat, ami újabb lehetőséget nyújt a feltételes hozzáférés feltételeinek értékeléséhez.You can use Workplace join and enroll devices into Intune to receive device-level policies, which is also another option to evaluate conditional access criteria.

Alkalmazásalapú feltételes hozzáférésApp-based conditional access

Az Intune és az Azure Active Directory együtt biztosítja, hogy csak felügyelt alkalmazások férhessenek hozzá a céges e-mailekhez vagy más Office 365-szolgáltatásokhoz.Intune and Azure Active Directory work together to make sure only managed apps can access corporate e-mail or other Office 365 services.

További lépésekNext steps

Feltételes hozzáférés konfigurálása az Azure Active DirectorybanHow to configure conditional access in Azure Active Directory

Helyszíni Exchange Connector telepítése az Intune-nal.How to install on-premises Exchange connector with Intune.

Feltételes hozzáférési szabályzat létrehozása a helyszíni Exchange-hezHow to create a conditional access policy for Exchange on-premises