Условный доступ: фильтр для устройств

Обзор

Когда администраторы создают политики условного доступа, возможность нацеливать или исключать определенные устройства в своей среде является общей задачей. Фильтр условий для устройств предоставляет администраторам возможность нацеливать на определенные устройства. Администраторы могут использовать поддерживаемые операторы и свойства для фильтров устройств вместе с другими доступными условиями назначения в политиках условного доступа.

Создание фильтра для устройства в условиях политики условного доступа

Распространенные сценарии

Есть несколько сценариев, в которых организации теперь могут использовать фильтр для состояния устройств. В следующих сценариях приведены примеры использования этого нового условия.

  • Ограничение доступа к привилегированным ресурсам. В этом примере предположим, что вы хотите разрешить доступ к API управления службами Windows Azure от пользователя, который:
    • Назначается привилегированная роль.
    • Завершена многофакторная проверка подлинности.
    • Устройство находится на привилегированной или безопасной рабочей станции администрирования и подтверждено как соответствующее требованиям.
    • В этом сценарии организации создадут две политики условного доступа:
      • Политика 1: Все пользователи с ролью администратора, которые имеют доступ к облачному приложению API управления службами Windows Azure, а для управления доступом следует предоставить доступ, но требуется многофакторная аутентификация и устройство должно быть отмечено как соответствующее.
      • Политика 2. Все пользователи с правами администратора, обращающиеся к облачному приложению API управления службами Windows Azure, за исключением фильтра для устройств, где выражение правила device.extensionAttribute1 равно SAW, блокируются элементами управления доступом. Узнайте, как обновить атрибуты расширения в объекте устройства Microsoft Entra.
  • Блокировать доступ к ресурсам организации с устройств с неподдерживаемой операционной системой. В этом примере предположим, что вы хотите заблокировать доступ к ресурсам из ос Windows более старой, чем Windows 10. В этом сценарии организации создадут следующую политику условного доступа:
    • Все пользователи, обращающиеся ко всем ресурсам, за исключением тех, у кого устройства, где применяется выражение правила device.operatingSystem == 'Windows' и device.operatingSystemVersion startsWith '10.0', должны быть заблокированы контролем доступа.
  • Не требуется многофакторная проверка подлинности для определенных учетных записей на определенных устройствах. В этом примере предположим, что при использовании учетных записей служб на определенных устройствах, таких как Телефоны Teams или устройства Surface Hub, не требуется многофакторная проверка подлинности. В этом сценарии организации создадут следующие две политики условного доступа:
    • Политика 1. Все пользователи, за исключением служебных учетных записей, имеют доступ ко всем ресурсам и элементам управления доступом; предоставляется доступ, но требуется многофакторная аутентификация.
    • Политика 2: Выберите пользователей и группы, включая группу, содержащую только учетные записи служб, с доступом ко всем ресурсам, за исключением устройств, использующих выражение правила device.extensionAttribute2, не равных TeamsPhoneDevice, и для контроля доступа установите блокировку.

Примечание.

Microsoft Entra ID использует проверку подлинности устройства для оценки правил фильтрации устройств. Для устройства, незарегистрированного с Microsoft Entra ID, все свойства устройства считаются значениями NULL, а атрибуты устройства не могут быть определены, так как устройство не существует в каталоге. Лучший способ нацелить политики для незарегистрированных устройств — это использовать отрицательный оператор, поскольку благодаря этому применится настроенное правило фильтрации. Если вы использовали положительный оператор, правило фильтрации будет применяться только в том случае, если устройство существует в каталоге, а настроенное правило соответствует атрибуту на устройстве.

Создание политики условного доступа

Фильтр для устройств является необязательным элементом управления при создании политики условного доступа.

Следующие шаги помогут создать две политики условного доступа для поддержки первого сценария в общих сценариях.

Политика 1: Все пользователи с ролью администратора, которые имеют доступ к облачному приложению API управления службами Windows Azure, а для управления доступом следует предоставить доступ, но требуется многофакторная аутентификация и устройство должно быть отмечено как соответствующее.

  1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к Entra ID>условному доступу>политикам.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".

    1. В разделе "Включить" выберите роли каталога, а затем все роли с администратором в имени.

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются для других типов ролей, включая роли с областью действия административной единицы или пользовательские роли.

    2. В разделе Исключить выберите Пользователи и группы и выберите учетные записи аварийного доступа вашей организации или учетные записи для экстренного доступа.

    3. Нажмите кнопку "Готово".

  6. В разделе Target resources>Resources (ранее облачные приложения)>Include>Select resources, выберите Windows Azure API управления службами и выберите Select.
  7. В разделе ">Предоставление доступа" выберите "Предоставить доступ", "Требовать многофакторную проверку подлинности" и "Требовать, чтобы устройство было помечено как соответствующее" и нажмите кнопку "Выбрать".
  8. Подтвердите параметры и установите Включить политику на Вкл.
  9. Щелкните Создать, чтобы включить эту политику.

Политика 2. Все пользователи с ролью администратора, обращающиеся к облачному приложению API управления службами Windows Azure, за исключением фильтра для устройств, использующих выражение правила device.extensionAttribute1, равно SAW и для элементов управления доступом, блокировать.

  1. Выберите новую политику.
  2. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  3. В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".

    1. В разделе "Включить" выберите роли каталога, а затем все роли с администратором в имени

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются для других типов ролей, включая роли с областью действия административной единицы или пользовательские роли.

    2. В разделе Исключить выберите Пользователи и группы и выберите учетные записи аварийного доступа вашей организации или учетные записи для экстренного доступа.

    3. Нажмите кнопку "Готово".

  4. В разделе Target resources>Resources (ранее облачные приложения)>Include>Select resources, выберите Windows Azure API управления службами и выберите Select.
  5. При условияхфильтр для устройств.
    1. Переключите "Настроить" на "Да".
    2. Задайте для устройств, соответствующих правилу параметр Исключить отфильтрованные устройства из политики.
    3. Укажите свойство ExtensionAttribute1, оператор Equals и значение SAW.
    4. Нажмите кнопку "Готово".
  6. В разделе "Предоставление элементов управления доступом>" выберите "Блокировать доступ", а затем нажмите кнопку "Выбрать".
  7. Подтвердите параметры и установите Включить политику на Вкл.
  8. Щелкните Создать, чтобы включить эту политику.

Предупреждение

Политики, требующие совместимых устройств, могут запрашивать пользователей в Mac, iOS и Android выбрать сертификат устройства во время оценки политики, даже если соответствие устройств не применяется. Эти запросы могут повторяться до тех пор, пока устройство не будет приведено в соответствие с требованиями.

Указание значений атрибутов

Настройка атрибутов расширения возможна с помощью Microsoft Graph API. Дополнительные сведения о настройке атрибутов устройства см. в статье "Обновление устройства".

Фильтрация для устройств Graph API

Фильтр для API устройств доступен в конечной точке Microsoft Graph версии 1.0 и может быть доступен с помощью конечной точки https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Вы можете настроить фильтр для устройств при создании новой политики условного доступа или обновить доступную политику, чтобы настроить фильтр для состояния устройств. Чтобы обновить существующую политику, можно выполнить патч-запрос для конечной точки Microsoft Graph версии 1.0, добавив идентификатор существующей политики и выполнив следующий запрос. В этом примере показано, как настроить фильтр, чтобы исключить устройства, которые не помечены как устройства SAW. Синтаксис правила позволяет использовать несколько выражений. Чтобы узнать больше о синтаксисе, см. раздел правила для динамических групп членства в Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Поддерживаемые операторы и свойства устройств для фильтров

В условном доступе можно использовать следующие атрибуты устройства с фильтром для состояния устройств.

Это важно

Корпорация Майкрософт рекомендует использовать по крайней мере одно системное или настраиваемое администратором свойство устройства при использовании фильтра для условий устройств в условном доступе.

Примечание.

Microsoft Entra ID использует проверку подлинности устройства для оценки правил фильтрации устройств. Для устройства, незарегистрированного с Microsoft Entra ID, все свойства устройства считаются значениями NULL, а атрибуты устройства не могут быть определены, так как устройство не существует в каталоге. Лучший способ нацелить политики для незарегистрированных устройств — это использовать отрицательный оператор, поскольку благодаря этому применится настроенное правило фильтрации. Если вы использовали положительный оператор, правило фильтрации будет применяться только в том случае, если устройство существует в каталоге, а настроенное правило соответствует атрибуту на устройстве.

Поддерживаемые атрибуты устройств Система определяет или администратор настраивает Поддерживаемые операторы Поддерживаемые значения Пример
идентификатор устройства Да Равно, Не равно, В, Не в Допустимый идентификатор deviceId, являющийся GUID. (device.deviceid -eq "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb")
отображаемое имя Нет Равно, НеРавно, НачинаетсяС, НеНачинаетсяС, ЗаканчиваетсяНа, НеЗаканчиваетсяНа, Содержит, НеСодержит, Входит, НеВходит Любая строка. (device.displayName содержит "ABC")
владение устройством Да Равно, Не равно Поддерживаемые значения — "Личные" для собственных устройств и "Корпоративные" для корпоративных устройств. (device.deviceOwnership -eq "Компания")
имяПрофиляРегистрации Да Равно, НеРавно, НачинаетсяС, НеНачинаетсяС, ЗаканчиваетсяНа, НеЗаканчиваетсяНа, Содержит, НеСодержит, Входит, НеВходит Это устанавливается Microsoft Intune на основе профиля, в который устройство было зарегистрировано во время регистрации. Это строковое значение, созданное администратором Microsoft Intune, и соответствующее Windows Autopilot, Apple Automated Device Enrollment (ADE) или профилю регистрации Google, примененному к устройству. (device.enrollmentProfileName -startsWith "AutoPilot Профиль")
соответствует Да Равно, Не равно Поддерживаются значения True для совместимых устройств и False для несовместимых устройств (device.isCompliant -eq "Истина")
производитель Нет Равно, НеРавно, НачинаетсяС, НеНачинаетсяС, ЗаканчиваетсяНа, НеЗаканчиваетсяНа, Содержит, НеСодержит, Входит, НеВходит Любая строка. (device.manufacturer -начинаетсяС "Microsoft")
идентификатор приложения MDM (mdmAppId) Да Равно, Не равно, В, Не в Действительный идентификатор приложения MDM. (device.mdmAppId -in ["00001111-aaaa-2222-bbbb-3333cccc4444"])
модель Нет Равно, НеРавно, НачинаетсяС, НеНачинаетсяС, ЗаканчиваетсяНа, НеЗаканчиваетсяНа, Содержит, НеСодержит, Входит, НеВходит Любая строка. (модель устройства -notContains "Surface")
операционная система Да Равно, НеРавно, НачинаетсяС, НеНачинаетсяС, ЗаканчиваетсяНа, НеЗаканчиваетсяНа, Содержит, НеСодержит, Входит, НеВходит Допустимая операционная система (например, Windows, iOS или Android) (device.operatingSystem -eq "Windows")
ВерсияОперационнойСистемы Да Равно, НеРавно, НачинаетсяС, НеНачинаетсяС, ЗаканчиваетсяНа, НеЗаканчиваетсяНа, Содержит, НеСодержит, Входит, НеВходит Допустимая версия операционной системы (например, 6.1 для Windows 7, 6.2 для Windows 8 или 10.0 для Windows 10 и Windows 11) (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Да Содержит, Не содержит В качестве примера все устройства Windows Autopilot хранят ZTDId (уникальное значение, назначенное всем импортированным устройствам Windows Autopilot) в свойстве physicalIds устройства. (device.physicalIds -contains "[ZTDId]:value")
тип профиля Да Равно, Не равно Допустимый тип профиля, заданный для устройства. Поддерживаемые значения: RegisteredDevice (по умолчанию), SecureVM (используется для виртуальных машин Windows в Azure, включенных с поддержкой входа Microsoft Entra), Принтер (используется для принтеров), Shared (используется для общих устройств), IoT (используется для IoT-устройств) (device.profileType -eq "Принтер")
системные метки Да Содержит, Не содержит Список меток, примененных к устройству системой. Ниже приведены некоторые поддерживаемые значения: AzureResource (используется для виртуальных машин Windows в Azure с функцией входа Microsoft Entra), M365Managed (используется для устройств, управляемых Microsoft Managed Desktop), MultiUser (используется для общих устройств) (устройство.systemLabels -содержит "M365Managed")
тип доверия Да Равно, Не равно Действительное зарегистрированное состояние для устройств. Поддерживаемые значения: AzureAD (используется для Microsoft Entra присоединенных устройств), ServerAD (используется для гибридных устройств, присоединенных к Microsoft Entra), Workplace (используется для зарегистрированных устройств Microsoft Entra) (device.trustType -eq "ServerAD")
расширенныйАтрибут1-15 Да Равно, НеРавно, НачинаетсяС, НеНачинаетсяС, ЗаканчиваетсяНа, НеЗаканчиваетсяНа, Содержит, НеСодержит, Входит, НеВходит extensionAttributes1-15 — это атрибуты, которые клиенты могут использовать для объектов устройств. Клиенты могут обновлять любой из атрибутов extensionAttributes1-15, задавая пользовательские значения и используя их в фильтре для состояния устройств в Условном доступе. Можно использовать любое строковое значение. (device.extensionAttribute1 -eq "SAW")

Предупреждение

Устройства должны быть под управлением Microsoft Intune, соответствовать требованиям безопасности или иметь гибридное соединение с Microsoft Entra, чтобы значение было доступно в extensionAttributes1-15 на момент оценки политики условного доступа.

Примечание.

При создании сложных правил или использовании слишком большого количества отдельных идентификаторов, таких как deviceid для идентификаторов устройств, помните, что максимальная длина фильтрующего правила составляет 3072 символов.

Примечание.

Операторы Contains и NotContains работают по-разному в зависимости от типов атрибутов. Для строковых атрибутов, таких как operatingSystem и model, оператор Contains указывает, имеется ли заданная подстрока в атрибуте. Для атрибутов строковых коллекций, таких как physicalIds и systemLabels, оператор Contains указывает, совпадает ли заданная строка целиком с одной из строк в коллекции.

Поведение политики с фильтром для устройств

Фильтр для условий устройств в условном доступе оценивает политику на основе атрибутов устройств зарегистрированного устройства в Microsoft Entra ID, поэтому важно понимать, в каких обстоятельствах политика применяется или не применяется. В следующей таблице показано поведение при настройке фильтра для условий устройств.

Фильтр для состояния устройств Состояние регистрации устройства Фильтр устройств применен
Режим включения/исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование любых атрибутов Незарегистрированное устройство Нет
Режим включения или исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использованием атрибутов, за исключением extensionAttributes1-15. Зарегистрированное устройство Да, если условия соблюдены
Режим включения/исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использованием атрибутов, включая extensionAttributes1-15. Зарегистрированное устройство под управлением Intune Да, если условия соблюдены
Режим включения/исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использованием атрибутов, включая extensionAttributes1-15. Зарегистрированное устройство не под управлением Intune Да, если условия соблюдены. Если используются extensionAttributes1-15, политика применяется, если устройство соответствует требованиям или Microsoft Entra в гибридном присоединении.
Режим включения/исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) и возможность использования любых атрибутов. Незарегистрированное устройство Да
Режим включения/исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) и использование любых атрибутов, кроме extensionAttributes1-15. Зарегистрированное устройство Да, если условия соблюдены
Режим включения и исключения с отрицательными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn), а также использование любых атрибутов, включая extensionAttributes1-15. Зарегистрированное устройство под управлением Intune Да, если условия соблюдены
Режим включения и исключения с отрицательными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn), а также использование любых атрибутов, включая extensionAttributes1-15. Зарегистрированное устройство не под управлением Intune Да, если условия соблюдены. Если используются extensionAttributes1-15, политика применяется, если устройство соответствует требованиям или Microsoft Entra в гибридном присоединении.

Связанный контент

  • Last updated on