Блокировка неизвестной или неподдерживаемой платформы устройств

Пользователям блокируется доступ к ресурсам компании, если тип устройства неизвестен или не поддерживается.

Условие платформы устройства основано на строках агента пользователя. Политики условного доступа, использующие это условие, рекомендуется использовать в сочетании с другой политикой, например, политикой, требующей соответствия устройства или политикой защиты приложений, чтобы снизить риск подмены агента пользователя.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или аварийные учетные записи, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и служебные принципалы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами служб, не будут ограничиваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, нацеленные на принципалы службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
2. Перейдите к Entra ID>условному доступу>политикам.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>включитевсе ресурсы (ранее "Все облачные приложения").
7. В разделе "Условия" выберите платформы устройств
   1. Задайте для параметра Настроить значение Да.
   2. В разделе "Включить" выберите любое устройство
   3. В разделе "Исключить" выберите Android, iOS, Windows и macOS.

      Примечание.

      Для этого исключения выберите все платформы, которые использует ваша организация, и оставьте остальные не выбранные.

   4. Нажмите кнопку "Готово".
8. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После того как администраторы оценивают параметры политики с помощью режима оценки влияния политики или режима только отчетов, они могут переместить переключатель Включить политику из Только отчеты в Включено.

Следующие шаги

• Шаблоны условного доступа

• Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.