Создание политики условного доступа на основе устройства
Microsoft Intune политики соответствия устройств могут оценить состояние управляемых устройств, чтобы убедиться, что они соответствуют вашим требованиям, прежде чем предоставлять им доступ к приложениям и службам вашей организации. Состояние, полученное в результате политик соответствия устройств, может использоваться политиками условного доступа Microsoft Entra для применения стандартов безопасности и соответствия требованиям. Это сочетание называется условным доступом на основе устройств.
Совет
Помимо политик условного доступа на основе устройств, можно использовать условный доступ на основе приложений с Intune.
В Центре администрирования Intune вы можете получить доступ к пользовательскому интерфейсу политики условного доступа, как показано в Microsoft Entra ID. Этот доступ включает все параметры условного доступа, которые можно было бы использовать, если бы вы настроили политику из портал Azure. Создаваемые политики могут указывать приложения или службы, которые вы хотите защитить, условия, при которых к приложениям или службам можно получить доступ, а также пользователей, к которым применяется политика.
Чтобы создать политику условного доступа на основе устройств, ваша учетная запись должна иметь одно из следующих разрешений в Microsoft Entra:
- Администратор безопасности
- Администратор условного доступа
Чтобы воспользоваться состоянием соответствия устройств требованиям, настройте для политик условного доступа параметр Требовать, чтобы устройство было отмечено как соответствующее. Этот параметр устанавливается при настройке предоставления доступа на этапе 6 следующей процедуры.
Важно!
Перед настройкой условного доступа необходимо настроить политики соответствия устройств Intune, чтобы оценивать устройства на основе их соответствия определенным требованиям. Ознакомьтесь со статьей Начало работы с политиками соответствия устройств в Intune.
Создание политики условного доступа
Войдите в Центр администрирования Microsoft Intune.
Выберите Безопасность конечной точки>Условный доступ>Создать политику.
Откроется панель Создать, которая является областью конфигурации из Microsoft Entra. Создаваемая политика — это политика Microsoft Entra для условного доступа. Дополнительные сведения об этой области и политиках условного доступа см. в статье Компоненты политики условного доступа в содержимом Microsoft Entra.
В разделе Назначения настройте пользователи , чтобы выбрать удостоверения в каталоге, к которому применяется политика. Дополнительные сведения см. в разделе Пользователи и группы в документации по Microsoft Entra.
- На вкладке Включить настройте пользователя и группы, которые вы хотите включить.
- Используйте вкладку Исключить, если есть пользователи, роли или группы, которые вы хотите исключить из этой политики.
Совет
Протестируйте политику для небольшой группы пользователей, чтобы убедиться, что она работает должным образом, прежде чем развертывать ее в больших группах.
Затем настройте целевые ресурсы, который также находится в разделе Назначения. Используйте раскрывающийся список Выберите, к чему применяется эта политика , чтобы выбрать Облачные приложения.
На вкладке Включить используйте доступные параметры, чтобы определить приложения и службы, которые необходимо защитить с помощью этой политики условного доступа.
При выборе выбора приложений используйте доступный пользовательский интерфейс для выбора приложений и служб для защиты с помощью этой политики.
Предостережение
Не блокируйте себя. Если вы выбрали Все облачные приложения, обязательно просмотрите предупреждение, а затем исключите из этой политики учетную запись пользователя или других соответствующих пользователей и группы, которые должны сохранить доступ для использования портал Azure или Microsoft Intune центра администрирования после того, как эта политика вступит в силу.
Используйте вкладку Исключить, если у вас есть любые приложения или службы, которые нужно исключить из этой политики.
Дополнительные сведения см. в разделе Облачные приложения или действия в документации по Microsoft Entra.
Затем настройте Условия. Выберите сигналы, которые вы хотите использовать в качестве условий для этой политики. Варианты:
- Риск пользователя
- Риск при входе
- Платформы устройств
- Locations
- Клиентские приложения
- Фильтр для устройств
Дополнительные сведения об этих параметрах см. в разделе Условия документации по Microsoft Entra.
Совет
Если вы хотите защитить клиенты современной проверки подлинности и клиенты Exchange ActiveSync, создайте две отдельные политики условного доступа, по одной для каждого типа клиента. Хотя Exchange ActiveSync поддерживает современную проверку подлинности, единственное условие, которое поддерживает Exchange ActiveSync, это платформа. Другие условия, включая многофакторную проверку подлинности, не поддерживаются. Для эффективной защиты доступа к Exchange Online из Exchange ActiveSync создайте политику условного доступа, которая определяет облачное приложение Microsoft 365 Exchange Online и клиентское приложение Exchange ActiveSync с политикой применения только для выбранных поддерживаемых платформ.
В разделе Элементы управления доступом настройте Параметр , чтобы выбрать одно или несколько требований. Дополнительные сведения о параметрах grant см. в статье Grant в документации по Microsoft Entra.
Важно!
Чтобы эта политика применяла состояние соответствия устройств, для параметра Предоставление доступа необходимо выбрать Требовать, чтобы устройство было отмечено как соответствующее.
Блокировать доступ. Пользователям, указанным в этой политике, запрещается доступ к приложениям или службам в соответствии с указанными вами условиями.
Предоставление доступа. Пользователям, указанным в этой политике, предоставляется доступ, но вы можете потребовать любого из следующих дальнейших действий:
- Требование многофакторной проверки подлинности.
- Требовать надежность проверки подлинности
- Требовать, чтобы устройство было отмечено как соответствующее. Этот параметр необходим для использования политикой состояния соответствия устройств.
- Требование Microsoft Entra устройства с гибридным присоединением
- Требовать утвержденное клиентское приложение
- Требовать политику защиты приложений
- Требовать смену пароля
В разделе Включить политику выберите Вкл. По умолчанию для политики установлено значение Только отчет.
Нажмите Создать.
Дальнейшие действия
- Условный доступ на основе приложений с помощью Intune
- Troubleshooting Intune conditional access (Устранение проблем с условным доступом в Intune)