Dostęp warunkowy: warunki

W ramach zasad dostępu warunkowego administrator może wykorzystać sygnały z warunków, takich jak ryzyko, platforma urządzenia lub lokalizacja, aby zwiększyć swoje decyzje dotyczące zasad.

Definiowanie zasad dostępu warunkowego i określanie warunków

Można połączyć wiele warunków w celu utworzenia szczegółowych i specyficznych zasad dostępu warunkowego.

Na przykład podczas uzyskiwania dostępu do poufnej aplikacji administrator może oprócz innych kontroli, takich jak uwierzytelnianie wieloskładnikowe, uwzględniać informacje o ryzyku logowania z usługi Identity Protection i jego lokalizacji.

Ryzyko związane z logowaniem

W przypadku klientów z dostępem do usługi Identity Protectionryzyko logowania można ocenić w ramach zasad dostępu warunkowego. Ryzyko logowania reprezentuje prawdopodobieństwo, że dane żądanie uwierzytelniania nie zostało autoryzowane przez właściciela tożsamości. Więcej informacji na temat ryzyka związanego z logowaniem można znaleźć w artykułach What is risk and How To: Configure and enable risk policies (Co to jest ryzyko i Jak skonfigurować i włączyć zasady ryzyka).

Ryzyko związane z użytkownikiem

W przypadku klientów z dostępem do usługi Identity Protectionryzyko użytkownika można ocenić w ramach zasad dostępu warunkowego. Ryzyko związane z użytkownikiem reprezentuje prawdopodobieństwo naruszenia zabezpieczeń danej tożsamości lub konta. Więcej informacji na temat ryzyka związanego z użytkownikiem można znaleźć w artykułach What is risk and How To: Configure and enable risk policies (Co to jest ryzyko i Jak skonfigurować i włączyć zasady ryzyka).

Platformy urządzeń

Platforma urządzenia charakteryzuje się systemem operacyjnym uruchomionym na urządzeniu. Usługa Azure AD identyfikuje platformę przy użyciu informacji dostarczonych przez urządzenie, takich jak ciągi agenta użytkownika. Ponieważ ciągi agenta użytkownika mogą być modyfikowane, te informacje są niezweryfikowane. Platforma urządzenia powinna być używana razem z Microsoft Intune zasadami zgodności urządzeń lub jako część instrukcji bloku. Wartość domyślna to stosowanie do wszystkich platform urządzeń.

Dostęp warunkowy usługi Azure AD obsługuje następujące platformy urządzeń:

  • Android
  • iOS
  • Windows Phone
  • Windows
  • macOS

Jeśli zablokujesz starsze uwierzytelnianie przy użyciu warunku Inni klienci, możesz również ustawić warunek platformy urządzenia.

Ważne

Firma Microsoft zaleca stosowanie zasad dostępu warunkowego dla nieobsługiwanych platform urządzeń. Jeśli na przykład chcesz zablokować dostęp do zasobów firmy z systemu Linux lub innych nieobsługiwanych klientów, skonfiguruj zasady przy użyciu warunku Platformy urządzeń, który zawiera dowolne urządzenie i wyklucza obsługiwane platformy urządzeń, a dla ustawienia Uświęć kontrolę ustaw wartość Blokuj dostęp.

Lokalizacje

Podczas konfigurowania lokalizacji jako warunku organizacje mogą zdecydować się na dołączenie lub wykluczenie lokalizacji. Te nazwane lokalizacje mogą zawierać informacje o publicznej sieci IPv4, kraju lub regionu, a nawet nieznane obszary, które nie są mapowe na określone kraje lub regiony. Tylko zakresy adresów IP mogą być oznaczone jako zaufana lokalizacja.

W przypadku uwzględnienia dowolnej lokalizacji ta opcja zawiera dowolny adres IP w Internecie, a nie tylko skonfigurowane nazwane lokalizacje. Podczas wybierania dowolnej lokalizacji administratorzy mogą wykluczyć wszystkie zaufane lub wybrane lokalizacje.

Na przykład niektóre organizacje mogą nie wymagać uwierzytelniania wieloskładnikowego, gdy ich użytkownicy są połączeni z siecią w zaufanej lokalizacji, takiej jak fizyczna centrala. Administratorzy mogą utworzyć zasady, które obejmują dowolną lokalizację, ale wykluczają wybrane lokalizacje dla swoich sieci centrali.

Więcej informacji na temat lokalizacji można znaleźć w artykule What is the location condition in Azure Active Directory Conditional Access (Jaki jest waruneklokalizacji w Azure Active Directory warunkowym).

Aplikacje klienckie

Domyślnie wszystkie nowo utworzone zasady dostępu warunkowego będą stosowane do wszystkich typów aplikacji klienckich, nawet jeśli warunek aplikacji klienckich nie został skonfigurowany.

Uwaga

Zachowanie warunku aplikacji klienckich zostało zaktualizowane w sierpniu 2020 r. Jeśli masz istniejące zasady dostępu warunkowego, pozostaną one niezmienione. Jeśli jednak klikniesz istniejące zasady, przełącznik konfiguracji zostanie usunięty, a aplikacje klienckie, których dotyczą zasady, zostaną wybrane.

Ważne

Logowania ze starszych klientów uwierzytelniania nie obsługują uwierzytelniania wieloskładnikowego i nie przechodzą informacji o stanie urządzenia do usługi Azure AD, więc będą blokowane przez kontrole udzielania dostępu warunkowego, takie jak wymaganie uwierzytelniania wieloskładnikowego lub zgodnych urządzeń. Jeśli masz konta, które muszą korzystać ze starszego uwierzytelniania, musisz wykluczyć te konta z zasad lub skonfigurować zasady do stosowania tylko do nowoczesnych klientów uwierzytelniania.

Przełącznik Konfiguruj ustawiony na Tak ma zastosowanie do elementów zaznaczone, gdy jest ustawiona na nie ma zastosowanie do wszystkich aplikacji klienckich, w tym nowoczesnych i starszych klientów uwierzytelniania. Ten przełącznik nie jest wyświetlany w zasadach utworzonych przed sierpniem 2020 r.

  • Klienci nowoczesnego uwierzytelniania
    • Przeglądarka
      • Należą do nich aplikacje internetowe, które używają protokołów, takich jak SAML, WS-Federation, OpenID Połączenie, lub usług zarejestrowanych jako poufnego klienta OAuth.
    • Aplikacje mobilne i klienci pulpitu
      • Ta opcja obejmuje aplikacje, takie jak Office klasyczne i telefoniczne.
  • Starsi klienci uwierzytelniania
    • Exchange ActiveSync klientów
      • Ten wybór obejmuje wszystkie użycie Exchange ActiveSync (EAS).
      • Gdy zasady blokną użycie Exchange ActiveSync użytkownik, którego dotyczy problem, otrzyma pojedynczą wiadomość e-mail o kwarantannie. Ta wiadomość e-mail z informacjami o tym, dlaczego są blokowane, i zawiera instrukcje korygowania, jeśli jest to możliwe.
      • Administratorzy mogą stosować zasady tylko do obsługiwanych platform (takich jak iOS, Android i Windows) za pośrednictwem interfejsu API dostępu warunkowego Graph Microsoft.
    • Inni klienci
      • Ta opcja obejmuje klientów, którzy korzystają z podstawowych/starszych protokołów uwierzytelniania, które nie obsługują nowoczesnego uwierzytelniania.
        • Uwierzytelniony protokół SMTP — używany przez klienta POP i IMAP do wysyłania wiadomości e-mail.
        • Odnajdowanie automatyczne — używane przez klientów Outlook i EAS do znajdowanie skrzynek pocztowych i łączenie się z Exchange Online.
        • Exchange Online PowerShell — służy do nawiązywania połączenia z Exchange Online za pomocą zdalnego programu PowerShell. Jeśli zablokujesz uwierzytelnianie podstawowe dla Exchange Online PowerShell, musisz użyć modułu Exchange Online PowerShell, aby nawiązać połączenie. Aby uzyskać instrukcje, zobacz Połączenie aby Exchange Online PowerShell przy użyciu uwierzytelniania wieloskładnikowego.
        • Exchange Web Services (EWS) — interfejs programowania używany przez aplikacje Outlook, Outlook dla komputerów Mac i aplikacje innych firm.
        • IMAP4 — używany przez klientów poczty e-mail IMAP.
        • MAPI za pośrednictwem protokołu HTTP (MAPI/HTTP) — używany przez Outlook 2010 i nowsze.
        • Offline Książka adresowa (OAB) — kopia kolekcji listy adresów, które są pobierane i używane przez Outlook.
        • Outlook Dowolne miejsce (RPC za pośrednictwem protokołu HTTP) — używane Outlook 2016 i starsze.
        • Outlook Usługa — używana przez aplikację Poczta i kalendarz na Windows 10.
        • POP3 — używany przez klientów poczty e-mail POP.
        • Reporting Web Services — używane do pobierania danych raportu w Exchange Online.

Te warunki są często używane w przypadku wymagania urządzenia zarządzanego, blokowania starszego uwierzytelniania i blokowania aplikacji internetowych, ale zezwalania na aplikacje mobilne lub klasyczne.

Obsługiwane przeglądarki

To ustawienie działa we wszystkich przeglądarkach. Jednak w celu spełnienia zasad urządzenia, takich jak zgodne wymagania dotyczące urządzeń, obsługiwane są następujące systemy operacyjne i przeglądarki:

System operacyjny Przeglądarki
Windows 10 Microsoft Edge, Internet Explorer, Chrome, Firefox 91+
Windows 8 / 8.1 Internet Explorer, Chrome
Windows 7 Internet Explorer, Chrome
iOS Microsoft Edge, Intune Managed Browser, Safari
Android Microsoft Edge, Intune Managed Browser, Chrome
Windows Phone Microsoft Edge, Internet Explorer
Windows Server 2019 Microsoft Edge, Internet Explorer, Chrome
Windows Server 2016 Internet Explorer
Windows Server 2012 z dodatkiem R2 Internet Explorer
Windows Server 2008 z dodatkiem R2 Internet Explorer
macOS Microsoft Edge, Chrome, Safari

Te przeglądarki obsługują uwierzytelnianie urządzenia, co umożliwia identyfikowanie i weryfikowanie urządzenia pod względem zasad. Sprawdzanie urządzenia kończy się niepowodzeniem, jeśli przeglądarka jest uruchomiona w trybie prywatnym lub jeśli pliki cookie są wyłączone.

Uwaga

Przeglądarka Edge 85+ wymaga zalogowania użytkownika w przeglądarce w celu prawidłowego przekazania tożsamości urządzenia. W przeciwnym razie zachowuje się jak przeglądarka Chrome bez rozszerzenia kont. To logowanie może nie wystąpić automatycznie w scenariuszu dołączenia hybrydowego do usługi Azure AD. Przeglądarka Safari jest obsługiwana w przypadku dostępu warunkowego opartego na urządzeniach, ale nie może spełniać warunków zasad Wymagaj zatwierdzonej aplikacji klienckiej ani Wymagaj zasad ochrony aplikacji. Przeglądarka zarządzana, Microsoft Edge spełnia wymagania dotyczące zatwierdzonych aplikacji klienckich i zasad ochrony aplikacji.

Dlaczego w przeglądarce jest wyświetlany monit o certyfikat

W Windows 7 usługi Azure AD dla systemów iOS, Android i macOS identyfikują urządzenie przy użyciu certyfikatu klienta, który jest aprowowany podczas rejestrowania urządzenia w usłudze Azure AD. Gdy użytkownik po raz pierwszy się za pośrednictwem przeglądarki wyświetli monit o wybranie certyfikatu. Użytkownik musi wybrać ten certyfikat przed użyciem przeglądarki.

Obsługa przeglądarki Chrome

Aby uzyskać pomoc techniczną dla programu Chrome Aktualizacja systemu Windows 10 dla twórców (wersja 1703) lub nowsza, zainstaluj rozszerzenie Windows 10 Accounts. To rozszerzenie jest wymagane, gdy zasady dostępu warunkowego wymagają szczegółów specyficznych dla urządzenia.

Aby automatycznie wdrożyć to rozszerzenie w przeglądarkach Chrome, utwórz następujący klucz rejestru:

  • Ścieżka HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Nazwa 1
  • Typ REG_SZ (ciąg)
  • Dane ppnbnpeolgkicgegkbkbjmhlideopiji;https : //clients2.google.com/service/update2/crx

W przypadku obsługi przeglądarek Chrome Windows 8.1 i 7 utwórz następujący klucz rejestru:

  • Ścieżka HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Nazwa 1
  • Typ REG_SZ (ciąg)
  • Dane {"pattern":" https://device.login.microsoftonline.com ","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Obsługiwane aplikacje mobilne i klienci desktop

Organizacje mogą wybrać aplikacje mobilne i klientów klasycznych jako aplikacje klienckie.

To ustawienie ma wpływ na próby dostępu z następujących aplikacji mobilnych i klientów klasycznych:

Aplikacje klienckie Usługa docelowa Platforma
Aplikacja Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS i Android
Aplikacja Mail/Calendar/People, Outlook 2016, Outlook 2013 (z nowoczesnym uwierzytelnianiem) Exchange Online Windows 10
Uwierzytelniania wieloskładnikowego i zasad lokalizacji dla aplikacji. Zasady oparte na urządzeniach nie są obsługiwane. Wszystkie Moje aplikacje app service Android i iOS
Microsoft Teams Usługi — ta aplikacja klienca kontroluje wszystkie usługi, które obsługują usługę Microsoft Teams i wszystkie jej aplikacje klienckie — Windows Desktop, iOS, Android, WP i klienta internetowego Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android i macOS
Office 2016, Office 2013 (z nowoczesnym uwierzytelnianiem), synchronizacja usługi OneDrive klienta SharePoint Windows 8.1, Windows 7
Office 2016, Aplikacje Office uniwersalne, Office 2013 (z nowoczesnym uwierzytelnianiem), synchronizacja usługi OneDrive klienta SharePoint Online Windows 10
Office 2016 r. (word, Excel, PowerPoint, OneNote tylko). SharePoint macOS
Office 2019 r. SharePoint Windows 10, macOS
Office aplikacji mobilnych SharePoint Android, iOS
Office Yammer aplikacji Yammer Windows 10, iOS, Android
Outlook 2019 r. SharePoint Windows 10, macOS
Outlook 2016 (Office dla systemu macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (z nowoczesnym uwierzytelnianiem), Skype dla firm (z nowoczesnym uwierzytelnianiem) Exchange Online Windows 8.1, Windows 7
Aplikacja mobilna Outlook Exchange Online Android, iOS
Aplikacja Power BI w usłudze Power BI Windows 10, Windows 8.1, Windows 7, Android i iOS
Skype dla firm Exchange Online Android, iOS
Visual Studio Team Services aplikacji Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS i Android

Exchange ActiveSync klientów

  • Organizacje mogą wybierać klientów Exchange ActiveSync tylko podczas przypisywania zasad do użytkowników lub grup. Wybranie opcji Wszyscy użytkownicy, Wszyscy użytkownicy-goście i użytkownicy zewnętrzni lub Role katalogu spowoduje, że wszyscy użytkownicy będą podlegali zasadom.
  • Podczas tworzenia zasad przypisanych do Exchange ActiveSync, Exchange Online powinna być jedyną aplikacją w chmurze przypisaną do zasad.
  • Organizacje mogą zawęzić zakres tych zasad do określonych platform przy użyciu warunku Platformy urządzeń.

Jeśli kontrola dostępu przypisana do zasad używa ustawienia Wymagaj zatwierdzonej aplikacji klienckiej, użytkownik jest przekierowywowany do zainstalowania Outlook klienta mobilnego. W przypadku, gdy wymagane jest uwierzytelnianie wieloskładnikowe , Warunki użytkowania lub kontrolki niestandardowe, użytkownicy, których to dotyczy, są blokowani, ponieważ uwierzytelnianie podstawowe nie obsługuje tych kontrolek.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Inni klienci

Wybierając pozycję Inni klienci, można określić warunek, który ma wpływ na aplikacje korzystające z uwierzytelniania podstawowego z protokołami poczty, takich jak IMAP, MAPI, POP, SMTP i starsze aplikacje Office, które nie korzystają z nowoczesnego uwierzytelniania.

Stan urządzenia (wersja zapoznawcza)

Przestroga

Ta funkcja w wersji zapoznawczej jest przestarzała. Klienci powinni użyć funkcji Filtruj dla warunku urządzeń w dostępie warunkowym, aby spełnić warunki scenariuszy, które zostały wcześniej osiągnięte przy użyciu warunku stanu urządzenia (wersja zapoznawcza).

Warunek stanu urządzenia może służyć do wykluczania urządzeń, które są przyłączone hybrydowo do usługi Azure AD i/lub urządzeń oznaczonych jako zgodne z zasadami zgodności usługi Microsoft Intune z zasad dostępu warunkowego organizacji.

Na przykład wszyscy użytkownicy, którzy mają dostęp do aplikacji w chmurze Microsoft Azure Management, w tym wszystkie stan urządzenia z wyjątkiem urządzeń przyłączone do hybrydowej usługi Azure AD i urządzenia oznaczone jako zgodne oraz dla kontrolek dostępu , blokuj.

  • W tym przykładzie utworzysz zasady, które zezwalają na dostęp do usługi Microsoft Azure Management tylko z urządzeń, które są przyłączone do hybrydowej usługi Azure AD lub urządzenia oznaczone jako zgodne.

Powyższy scenariusz można skonfigurować przy użyciu ustawienia Wszyscy użytkownicy korzystający z aplikacji w chmurze usługi Microsoft Azure Management z wyłączeniem warunku Filtruj dla urządzeń z następującą regułą device.trustType -ne "ServerAD" -lub device.isCompliant -ne True i dla kontrolek dostępu blokuj .

  • W tym przykładzie utworzysz zasady, które zezwalają na dostęp do usługi Microsoft Azure Management tylko z urządzeń, które są przyłączone do hybrydowej usługi Azure AD lub urządzenia oznaczone jako zgodne.

Ważne

Stan urządzenia i filtry dla urządzeń nie mogą być używane razem w zasadach dostępu warunkowego. Filtry dla urządzeń zapewniają bardziej szczegółowe określania wartości docelowej, w tym obsługę określania wartości docelowej informacji o stanie urządzenia za pomocą trustType właściwości isCompliant i .

Filtrowanie urządzeń

W dostępie warunkowym istnieje nowy warunek opcjonalny nazywany filtrem dla urządzeń. Podczas konfigurowania filtru dla urządzeń jako warunku organizacje mogą zdecydować się na dołączenie lub wykluczenie urządzeń na podstawie filtru przy użyciu wyrażenia reguły we właściwościach urządzenia. Wyrażenie reguły dla filtru dla urządzeń można utworzyć przy użyciu konstruktora reguł lub składni reguł. To środowisko jest podobne do tego używanego w przypadku reguł członkostwa dynamicznego dla grup. Aby uzyskać więcej informacji, zobacz artykuł Dostęp warunkowy: filtrowanie urządzeń (wersja zapoznawcza).

Następne kroki