Hur används villkorlig åtkomst vanligtvis med Intune?

  • Artikel
  • 5 minuter för att läsa

Det finns två typer av villkorlig åtkomst som används med Intune: enhetsbaserad villkorlig åtkomst och appbaserad villkorlig åtkomst. Du måste konfigurera de relaterade efterlevnadsprinciperna för att få en villkorlig åtkomst som följer standard i din organisation. Villkorlig åtkomst används vanligtvis för att tillåta eller blockera åtkomst till Exchange, styra åtkomsten till nätverket eller integrering med en Mobile Thread Defense-lösning.

Informationen i den här artikeln visar hur du ska använda Intunes funktioner för mobil enhets efterlevnad och hantering av mobil program (MAM).

Anteckning

Villkorlig åtkomst är en funktion i Azure Active Directory som ingår i Azure Active Directory Premium-licenser. Intune utökar den här funktionen genom att lägga till efterlevnad för mobila enheter och hantering av mobilappar i lösningen. Den nod för villkorsstyrd åtkomst som nås från Intune är samma nod som den som nås från Azure AD.

Enhetsbaserad villkorlig åtkomst

Intune och Azure Active Directory ser tillsammans till att endast hanterade och kompatibla enheter får åtkomst till e-post, Microsoft 365-tjänster, SaaS-appar (Software as a Service) och lokala appar. Dessutom kan du konfigurera en princip i Azure Active Directory så att endast datorer som är anslutna till en domän, eller mobila enheter som är registrerade i Intune, kan få åtkomst till Microsoft 365-tjänster.

Intune innehåller funktioner för enhetskompatibilitetprinciper som utvärderar enheternas efterlevnadsstatus. Kompatibilitetsstatusen rapporteras till Azure Active Directory som använder den för att verkställa den princip för villkorlig efterlevnad som skapas i Azure Active Directory när användaren försöker få åtkomst till företagets resurser.

Enhetsbaserade principer för villkorlig åtkomst för Exchange online och andra Microsoft 365-produkter konfigureras via Microsoft Endpoint Manager administrationscenter.

Anteckning

När du aktiverar enhetsbaserad åtkomst för innehåll som användare kommer åt från webbläsarappar på sina personligt ägda Android-arbetsprofilenheter måste användare som registrerats före januari 2021 aktivera webbläsaråtkomst på följande sätt:

  1. Starta företagsportalappen.
  2. Gå till Inställningar på menyn.
  3. I avsnittet Aktivera webbläsaråtkomst trycker du på knappen AKTIVERA.
  4. Stäng och starta sedan om webbläsarappen.

Program som är tillgängliga i villkorlig åtkomst för att kontrollera Microsoft Intune

När du konfigurerar villkorlig åtkomst i Azure Active Directory portalen har du två tillgängliga program:

  1. Microsoft Intune – Det här programmet styr åtkomsten till Microsoft Endpoint Manager konsolen och datakällorna. Konfigurera bidrag/kontroller för det här programmet när du vill rikta Microsoft Endpoint Manager konsolen och datakällorna.
  2. Microsoft Intune registrering – det här programmet styr registreringsarbetsflödet. Konfigurera bidrag/kontroller för det här programmet när du vill rikta in dig på registreringsprocessen. Mer information finns i Kräv multifaktorautentisering för Enhetsregistreringar i Intune.

Villkorlig åtkomst baserad på åtkomstkontroll för nätverk

Intune har integrerats med partner som Cisco ISE, Aruba Clear Pass och Citrix NetScaler för att kunna ge åtkomstkontroll baserad på Intune-registreringen och enhetsefterlevnadstillståndet.

Användare kan tillåtas eller nekas åtkomst till företagets Wi-Fi- eller VPN-resurser baserat på huruvida enheten hanteras eller är kompatibel med Intunes enhetsefterlevnadsprinciper eller inte.

Villkorlig åtkomst baserad på enhetsrisk

Intune samarbetar med Mobile Threat Defense-leverantörer om att tillhandahålla en säkerhetslösning som identifierar skadlig kod, trojaner och andra hot på mobila enheter.

Så här fungerar Intune med Mobile Threat Defense-integrering

När mobila enheter har Mobile Threat Defense-agenten installerad, kan denna skicka meddelanden om efterlevnadstillstånd till Intune om ett hot har identifierats i själva den mobila enheten.

Intune och integrerat mobilhotsskydd spelar en viktig roll vid beslut om villkorlig åtkomst baserat på enhetsrisk.

Villkorlig åtkomst för Windows-datorer

Villkorlig åtkomst för datorer har ungefär samma funktioner som för mobila enheter. Låt oss tala om hur du kan använda villkorlig åtkomst när du hanterar datorer med Intune.

Företagsägd

  • Hybrid Azure AD-ansluten: Det här alternativet används ofta av organisationer som är relativt nöjda med sitt sätt att hantera datorer via AD-grupprinciper eller Configuration Manager.

  • Domänansluten Azure AD och Intune-hantering: Det här scenariot är avsett för organisationer som vill vara delvis molnbaserade (som huvudsakligen använder molntjänster med målet för att minska användningen av en lokal infrastruktur) eller enbart molnbaserade (ingen lokal infrastruktur). Azure AD Join fungerar bra i en hybridmiljö, vilket ger åtkomst till såväl molnet som lokala appar och resurser. Enheten ansluter till Azure AD och registreras i Intune som kan användas som ett villkor för villkorlig åtkomst till företagsresurser.

BYOD (Bring Your Own Device)

  • Arbetsplatsanslutning och Intune-hantering: Här kan användaren ansluta sina personliga enheter och få åtkomst till företagets resurser och tjänster. Du kan använda arbetsplatsanslutning och registrera enheter i Intune MDM och ta emot principer på enhetsnivå, vilket är ett annat alternativ för att utvärdera kriterier för villkorlig åtkomst.

Läs mer om enhetshantering i Azure Active Directory.

Appbaserad villkorlig åtkomst

Intune och Azure Active Directory fungerar tillsammans så att endast hanterade appar har åtkomst till företagets e-post eller andra Microsoft 365-tjänster.

Villkorlig åtkomst för Intune till Exchange lokalt

Villkorlig åtkomst kan användas för att tillåta eller blockera åtkomst till Exchange On-premises baserat på enhetsefterlevnadsprinciperna och registreringsstatusen. När villkorlig åtkomst använd i kombination med en enhetsefterlevnadsprincip ges endast kompatibla enheter åtkomst till Exchange On-premises.

Du kan konfigurera avancerade inställningar för villkorlig åtkomst om du vill ha mer detaljerad kontroll, som t.ex.:

  • Tillåta eller blockera vissa plattformar.

  • Blockera enheter omedelbart som inte hanteras av Intune.

Efterlevnaden för alla enheter som används för att få åtkomst till Exchange lokalt kontrolleras när principerna för enhetsefterlevnad och villkorlig åtkomst tillämpas.

När en enhet inte uppfyller de angivna villkoren leds slutanvändaren genom en process för att registrera enheten och åtgärda de problem som gör att enheten inte är kompatibel.

Anteckning

Från och med juli 2020 är stödet för Exchange-anslutningsprogrammet inaktuellt och ersätts av modern hybridautentisering (HMA) i Exchange. Om du använder HMA behöver inte Intune installera och använda Exchange-anslutningsprogrammet. Med den här ändringen tas gränssnittet för att konfigurera och hantera Exchange-anslutningsprogram för Intune bort från administrationscentret för Microsoft Endpoint Manager, om du inte redan använder ett Exchange-anslutningsprogram i din prenumeration.

Om du har konfigurerat ett Exchange-anslutningsprogram i din miljö kan Intune-klientorganisationen fortsätta att använda det, och du fortsätter att ha tillgång till det gränssnitt som har stöd för konfigurationen. Mer information finns i Installera Exchange-anslutningsprogram lokalt. Du kan fortsätta att använda anslutningsprogrammet eller konfigurera modern hybridanslutning (HMA) och sedan avinstallera anslutningsprogrammet.

Modern hybridautentisering ger tillgång till funktioner som tidigare fanns i Exchange Connector för Intune: Mappning av en enhets identitet till Exchange-posten. Den här mappningen sker nu utanför konfigurationer du skapar i Intune eller kravet på att Intune-anslutningsprogrammet ska vara en brygga mellan Intune och Exchange. Med HMA behöver du inte längre använda den Intune-specifika konfigurationen (anslutningsprogrammet).

Vad är Intune-rollen?

Intune utvärderar och hanterar enhetens tillstånd.

Vad är Exchange-serverrollen?

Exchange-servern tillhandahåller det API och den infrastruktur som krävs för att flytta enheter till karantänen.

Viktigt

Tänk på att en efterlevnadsprofil och en Intune-licens måste tilldelas enhetsanvändaren för att enhetens efterlevnad ska kunna utvärderas. Om ingen efterlevnadsprincip har distribuerats till användaren behandlas enheten som kompatibel och inga åtkomstbegränsningar tillämpas.

Nästa steg

Konfigurera villkorlig åtkomst i Azure Active Directory

Konfigurera principer för appbaserad villkorlig åtkomst

Skapa en princip för villkorlig åtkomst för Exchange lokalt