Условный доступ: требование соответствия или гибридного присоединения устройств к Azure AD

Организации, в которых развернута служба Microsoft Intune, могут использовать возвращенную с устройств информацию для определения устройств, соответствующих требованиям, например:

  • обязательное использование ПИН-кода для разблокировки;
  • обязательное шифрование устройства;
  • минимально или максимально допустимая версии операционной системы;
  • отсутствие взлома или полного административного доступа.

Сведения о соответствии политике отправляются в Azure AD, где на основе правил условного доступа определяется, предоставить или заблокировать доступ к ресурсам. Дополнительные сведения о политиках соответствия см. в статье "Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune".

Необходимость использования устройства, с гибридным присоединением к Azure AD, зависит от устройств, для которых уже используется гибридное присоединение к Azure AD. Дополнительные сведения см. в статье Настройка гибридного присоединения к Azure AD.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив действия, описанные ниже, или воспользоваться шаблонами условного доступа (предварительная версия).

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа для требования, чтобы устройства, обращающиеся к ресурсам, были помечены как соответствующие политикам соответствия организации Intune.

  1. Войдите на портал Azure с учетными данными глобального администратора, администратора безопасности или администратора условного доступа.
  2. Выберите Azure Active Directory>Безопасность>Условный доступ.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Пользователи и группы.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе Облачные приложения или действия>Включить выберите Все облачные приложения.
    1. Если необходимо исключить из политики определенные приложения, их можно выбрать на вкладке Исключение в разделе Выберите исключенные облачные приложения и нажмите кнопку Выбрать.
    2. Нажмите кнопку Готово.
  7. Выберите Элементы управления доступомПредоставить разрешение.
    1. Выберите Требовать, чтобы устройство было помечено как соответствующее или Требовать устройство с гибридным присоединением к Azure AD.
    2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
    3. Щелкните Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Примечание

Вы можете зарегистрировать новые устройства в Intune, даже если выбрали параметр Требовать, чтобы устройство было отмечено как соответствующее для групп Все пользователи и Все облачные приложения, выполнив описанные выше действия. Флажок Требовать, чтобы устройство было отмечено как соответствующее не блокирует развертывание Intune.

Известное поведение

В Windows 7, iOS, Android, macOS и некоторых сторонних веб-браузерах Azure AD определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства в Azure AD. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию Активации подписки для предоставления пользователям возможности поэтапного перехода из одной версии Windows в другую, могут исключать API Службы универсального магазина приложений и Веб-приложения, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из их политики соответствия требованиям устройств.

Дальнейшие действия

Распространенные политики условного доступа

Определение влияния условного доступа в режиме "только отчет"

Моделирование поведения входа с помощью средства What If условного доступа

Политики соответствия устройства работают с Azure AD