Требовать совместимое устройство, гибридное устройство Microsoft Entra или многофакторную проверку подлинности для всех пользователей

Организации, которые развертывают Microsoft Intune, могут использовать сведения, возвращаемые на своих устройствах, чтобы определить устройства, соответствующие требованиям соответствия, например:

• обязательное использование ПИН-кода для разблокировки;
• обязательное шифрование устройства;
• Требование минимальной или максимальной версии операционной системы
• Требование, чтобы устройство не было взломано или лишено полной административной защиты.

Сведения о соответствии политик отправляются в Microsoft Entra ID, где условный доступ решает предоставить или заблокировать доступ к ресурсам. Дополнительные сведения о политиках соответствия устройств можно найти в статье "Установите правила для устройств, чтобы разрешить доступ к ресурсам вашей организации с помощью Intune".

Требование, чтобы устройство было гибридно присоединено к Microsoft Entra, зависит от того, что ваши устройства уже присоединены к Microsoft Entra. Дополнительные сведения см. в статье "Настройка гибридного соединения Microsoft Entra".

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или обходные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными субъектами, не блокируются политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для учетных записей рабочих нагрузок, чтобы создать политики, направленные на служебные принципы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа для требования многофакторной аутентификации, чтобы устройства, получающие доступ к ресурсам, были отмечены как соответствующие политикам соответствия Intune вашей организации или были присоединены к гибридной среде Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
2. Перейдите к защите>условного доступа>политикам.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе исключить:
      1. Выберите Пользователи и группы
         1. Выберите аварийные или чрезвычайные учетные записи вашей организации.
         2. Если вы используете решения гибридной идентификации, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите роли директорий, а затем выберите учетные записи синхронизации директорий
6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>включите, выберите Все ресурсы (ранее "Все облачные приложения").
   1. Если необходимо исключить из политики определенные приложения, их можно выбрать на вкладке Исключение в разделе Выберите исключенные облачные приложения и нажмите кнопку Выбрать.
7. Выберите Элементы управления доступом>Предоставить разрешение.
   1. Выберите "Требовать многофакторную проверку подлинности", "Требовать, чтобы устройство было помечено как соответствующее требованиям" и "Требовать гибридное присоединенное устройство Microsoft Entra"
   2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
   3. Выберите Выберите.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

После того как администраторы оценивают параметры политики с помощью режима оценки влияния политики или режима только отчетов, они могут переместить переключатель Включить политику из Только отчеты в Включено.

Известное поведение

В iOS, Android, macOS и некоторых веб-браузерах, отличных от Майкрософт, идентификатор Microsoft Entra определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию активации подписки, чтобы пользователи могли "шагнуть" из одной версии Windows в другую и использовать политики условного доступа для управления доступом, чтобы исключить одно из следующих облачных приложений из политик условного доступа с помощью выбора исключенных облачных приложений:

• API-интерфейсы службы универсального магазина и веб-приложение, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Магазин Windows для бизнеса, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Хотя идентификатор приложения совпадает в обоих экземплярах, имя облачного приложения зависит от клиента.

Если устройство находится в автономном режиме в течение длительного периода времени, устройство может не активироваться автоматически, если это исключение условного доступа не выполняется. Установка этого исключения условного доступа гарантирует, что активация подписки продолжает работать без проблем.

Начиная с Windows 11 версии 23H2 с KB5034848 или более поздней, пользователям предлагается выполнить проверку подлинности с помощью всплывающего уведомления, когда необходимо повторно активировать подписку. Всплывающее уведомление отображает следующее сообщение:

Для вашей учетной записи требуется проверка подлинности

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Кроме того, в области активации может появиться следующее сообщение:

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Запрос на проверку подлинности обычно возникает, когда устройство находится в автономном режиме в течение длительного периода времени. Это изменение устраняет необходимость исключения в политике условного доступа для Windows 11, версии 23H2 с KB5034848 или более поздней. Политика условного доступа по-прежнему может использоваться с Windows 11 версии 23H2 с KB5034848 или более поздней, если не требуется запрос на проверку подлинности пользователя через всплывающее уведомление.

Следующие шаги

Шаблоны условного доступа

Определите эффект, используя отчетный режим условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.

Политики соответствия устройств работают с идентификатором Microsoft Entra