Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует два типа политик условного доступа, которые можно использовать в Intune: условный доступ на основе устройств и условный доступ на основе приложений. Для поддержки каждой из них необходимо настроить связанные политики Intune. Когда политики Intune развернуты и применены, вы можете использовать условный доступ для таких действий, как разрешение или блокировка доступа к Exchange, управление доступом к вашей сети или интеграция с решением защиты от угроз на мобильных устройствах.
Сведения в этой статье помогут вам понять, как использовать возможности соответствия требованиям мобильного устройства Intune и возможности управления мобильным приложением Intune (MAM).
Примечание.
Условный доступ — это возможность Microsoft Entra, включенная в лицензию Microsoft Entra С идентификатором P1 или P2. Intune расширяет эту возможность, добавляя в решение средства для обеспечения соответствия мобильных устройств и для управления мобильными приложениями. Узел условного доступа, к который обращается из Intune, является тем же узлом, что и из Microsoft Entra идентификатора.
Условный доступ на основе устройств
Intune и идентификатор Microsoft Entra работают вместе, чтобы только управляемые и соответствующие устройства могли получать доступ к электронной почте вашей организации, службам Microsoft 365, приложениям SaaS (программное обеспечение как услуга) и локальным приложениям. Кроме того, можно настроить политику в Microsoft Entra идентификаторе, чтобы разрешить доступ к службам Microsoft 365 только присоединенным к домену компьютерам или мобильным устройствам, зарегистрированным в Intune.
С помощью Intune вы можете развернуть политики соответствия устройств требованиям, чтобы определить, соответствует ли устройство ожидаемым требованиям к конфигурации и безопасности. Оценка политики соответствия требованиям определяет состояние соответствия устройства, которое сообщается Intune и идентификатору Microsoft Entra. Именно в Microsoft Entra идентификаторе политики условного доступа могут использовать состояние соответствия устройства для принятия решений о том, следует ли разрешать или блокировать доступ к ресурсам вашей организации с этого устройства.
Политики условного доступа на основе устройств для Exchange Online и других продуктов Microsoft 365 настраиваются в Центре администрирования Microsoft Intune.
Дополнительные сведения см. в статье Требовать управляемые устройства с условным доступом в Microsoft Entra id.
Дополнительные сведения см. в разделе о соответствии требованиям устройств Intune.
Дополнительные сведения о поддерживаемых браузерах с условным доступом в Microsoft Entra id.
Примечание.
При включении доступа на основе устройств для содержимого, доступ к которому пользователи получают из браузерных приложений на устройствах с личным рабочим профилем Android, пользователи, зарегистрированные до января 2021 г., должны включить доступ в браузере следующим образом:
- Запустите приложение Корпоративный портал.
- Откройте в меню страницу Параметры.
- В разделе Включить доступ в браузере коснитесь кнопки Включить.
- Закройте и перезапустите приложение браузера.
Это позволяет получить доступ к приложениям браузера, но не к представлениям WebViews браузера, которые открываются в приложениях.
Приложения, доступные в рамках условного доступа для управления Microsoft Intune
При настройке условного доступа в Центре администрирования Microsoft Entra у вас есть два приложения на выбор:
- Microsoft Intune — это приложение управляет доступом к Центру администрирования Microsoft Intune и источникам данных. Настройте разрешения и элементы управления в этом приложении, если вы хотите нацелиться на Центр администрирования Microsoft Intune и источники данных.
- Microsoft Intune Enrollment — приложение для управления рабочим процессом регистрации. Настраивайте предоставление разрешений и элементы управления для этого приложения, ориентированные на процесс регистрации. Дополнительные сведения см. в статье Требование многофакторной проверки подлинности для регистрации устройств Intune.
Условный доступ на основе управления доступом к сети
Intune интегрируется с такими партнерами, как Cisco ISE, Aruba Clear Pass и Citrix NetScaler, чтобы обеспечить контроль доступа на основе регистрации Intune и состояния соответствия устройств.
Пользователям может быть разрешен или запрещен доступ к корпоративным ресурсам Wi-Fi или VPN в зависимости от того, управляется ли используемое ими устройство и соответствует ли оно политикам соответствия устройств Intune.
- Дополнительные сведения см. в разделе об интеграции NAC с Intune.
Условный доступ на основе рисках для устройств
Служба Intune работает в партнерстве с поставщиками защиты от угроз на мобильных устройствах, которые предлагают решения для обеспечения безопасности, позволяющие обнаруживать вредоносные программы, трояны и другие угрозы на мобильных устройствах.
Принципы интеграции защиты от угроз на мобильных устройствах с Intune
Если на мобильных устройствах установлен агент Mobile Threat Defense, он отправляет сообщения о состоянии соответствия требованиям обратно в Intune, чтобы сообщить об обнаружении угрозы на самом мобильном устройстве.
Интеграция Intune с защитой от угроз на мобильных устройствах является одним из факторов, определяющих решение о предоставлении условного доступа на основе сведений о рисках для устройства.
- Дополнительные сведения см. в разделе о защите от угроз на мобильных устройствах в Intune.
Условный доступ для компьютеров с Windows
Условный доступ для компьютеров позволяет использовать возможности, аналогичные тем, что доступны для мобильных устройств. Рассмотрим способы использования условного доступа при управлении компьютерами с помощью Intune.
Корпоративные устройства
Microsoft Entra гибридное присоединение. Этот вариант обычно используется организациями, которые достаточно хорошо знакомы с тем, как они уже управляют своими компьютерами с помощью групповых политик AD или Configuration Manager.
Microsoft Entra присоединение к домену и управление Intune. Этот сценарий предназначен для организаций, которые хотят использовать облачные службы в первую очередь с целью сократить использование локальной инфраструктуры) или только для облака (без локальной инфраструктуры). Microsoft Entra объединение хорошо работает в гибридной среде, обеспечивая доступ как к облачным, так и локальным приложениям и ресурсам. Устройство присоединяется к идентификатору Microsoft Entra и регистрируется в Intune, который можно использовать в качестве условия условного доступа при доступе к корпоративным ресурсам.
Принеси свое устройство (BYOD)
- Workplace Join и управление Intune. Здесь пользователь может подключить свои личные устройства для доступа к корпоративным ресурсам и службам. Workplace Join и регистрацию устройств в Intune MDM можно использовать для получения политик на уровне устройства, что является одним из способов оценить соблюдение критериев условного доступа.
Дополнительные сведения о Управление устройствами в идентификаторе Microsoft Entra.
Условный доступ на основе приложения
Intune и Microsoft Entra ID работают вместе, чтобы гарантировать, что только управляемые приложения могут получить доступ к корпоративной электронной почте или другим службам Microsoft 365. Дополнительные сведения см. в разделе об условном доступе на основе приложений с помощью Intune.
Дальнейшие действия
Настройка условного доступа в идентификаторе Microsoft Entra