Требовать соответствующее устройство, Microsoft Entra гибридное присоединенное устройство или многофакторную проверку подлинности для всех пользователей

Обзор

Организации, которые развертывают Microsoft Intune, могут использовать сведения, возвращаемые на своих устройствах, чтобы определить устройства, соответствующие требованиям соответствия, например:

• обязательное использование ПИН-кода для разблокировки;
• обязательное шифрование устройства;
• Требование минимальной или максимальной версии операционной системы
• Требование, чтобы устройство не было взломано или лишено полной административной защиты.

Сведения о соответствии политик отправляются в Microsoft Entra ID, где Условный доступ решает предоставить или заблокировать доступ к ресурсам. Дополнительные сведения о политиках соответствия устройств можно найти в статье "Установите правила для устройств, чтобы разрешить доступ к ресурсам вашей организации с помощью Intune".

Требование гибридного присоединения устройства к Microsoft Entra зависит от того, что устройства уже были гибридно присоединены к Microsoft Entra. Дополнительные сведения см. в статье Настройка гибридного объединения Microsoft Entra.

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

• Аварийный доступ или обходные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
• Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.
  • Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа для обеспечения обязательной многофакторной аутентификации, чтобы устройства, обращающиеся к ресурсам, были помечены как соответствующие политикам соответствия Intune вашей организации или были гибридно присоединены к Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
2. Перейдите к Entra ID>Условный доступ>Политики.
3. Выберите Новая политика.
4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе исключить:
      1. Выберите Пользователи и группы
         1. Выберите аварийные или чрезвычайные учетные записи вашей организации.
         2. Если вы используете решения гибридного удостоверения, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите роли каталога, затем выберите Учетные записи для синхронизации каталогов.
6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>включите, выберите Все ресурсы (ранее "Все облачные приложения").
   1. Если необходимо исключить из политики определенные приложения, их можно выбрать на вкладке Исключение в разделе Выберите исключенные облачные приложения и нажмите кнопку Выбрать.
7. Выберите Элементы управления доступом>Предоставить разрешение.
   1. Выберите Требовать многофакторную аутентификацию, Требовать, чтобы устройство было отмечено как соответствующее и Требовать гибридное устройство, присоединенное к Microsoft Entra
   2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
   3. Выберите Выберите.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Известное поведение

В iOS, Android, macOS и некоторых веб-браузерах, отличных от Майкрософт, Microsoft Entra ID определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства в Microsoft Entra ID. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию активации подписки, чтобы пользователи могли перейти с одной версии Windows на другую и применять политики условного доступа для управления доступом, должны исключить одно из следующих облачных приложений из своих политик условного доступа с помощью Выберите Исключенные облачные приложения:

• API-интерфейсы службы универсального магазина и веб-приложение, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Windows Store для бизнеса, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Хотя идентификатор приложения совпадает в обоих экземплярах, имя облачного приложения зависит от клиента.

Если устройство находится в автономном режиме в течение длительного периода времени, устройство может не активироваться автоматически, если это исключение условного доступа не выполняется. Установка этого исключения условного доступа гарантирует, что активация подписки продолжает работать без проблем.

Начиная с Windows 11 версии 23H2 с KB5034848 или более поздней, пользователям предлагается выполнить проверку подлинности с всплывающее уведомление, когда активация подписки должна повторно активироваться. Всплывающее уведомление отображает следующее сообщение:

Для вашей учетной записи требуется проверка подлинности

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Кроме того, в области активации может появиться следующее сообщение:

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Запрос на проверку подлинности обычно возникает, когда устройство находится в автономном режиме в течение длительного периода времени. Это изменение устраняет необходимость в исключении в политике условного доступа для Windows 11 версии 23H2 с KB5034848 или более поздней. Политику условного доступа всё ещё можно использовать с Windows 11 версии 23H2 с KB5034848 или позднее, если не требуется запрос аутентификации пользователя через всплывающее уведомление.

Связанный контент

Шаблоны условного доступа

Определите эффект, используя отчетный режим условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.

Политики соответствия устройств работают с Microsoft Entra ID