Использование условного доступа с Microsoft Tunnel в Intune

Если среда Microsoft Intune использует условный доступ Microsoft Entra, политики условного доступа можно использовать для доступа устройств к VPN-шлюзу Microsoft Tunnel.

Для поддержки интеграции условного доступа и Microsoft Tunnel используйте Microsoft Graph PowerShell , чтобы разрешить клиенту поддержку Microsoft Tunnel. Включив поддержку Microsoft Tunnel в клиенте, вы сможете создать политики условного доступа, которые будут применяться к приложению Microsoft Tunnel.

Прежде чем приступать к настройке политик условного доступа для туннеля, вы должны разрешить клиенту поддержку Microsoft Tunnel для условного доступа. Используйте модуль PowerShell Microsoft Graph и запустите сценарий PowerShell, чтобы изменить клиент, чтобы добавить шлюз Microsoft Tunnel в качестве облачного приложения. После того как туннель будет добавлен как облачное приложение, его можно будет выбрать как часть политики условного доступа.

1. Скачайте и установитемодуль PowerShell AzureAD.

2. Скачайте скрипт PowerShell с именем mst-ca-provisioning.ps1 по адресу aka.ms/mst-ca-provisioning.

3. Используя учетные данные с разрешениями роли Azure, эквивалентными Intune администратору, выполните скрипт из любого расположения в вашей среде, чтобы подготовить клиент.

   Скрипт изменяет клиент, создавая субъект-службу со следующими сведениями:

   • Идентификатор приложения: 3678c9e9-9681-447a-974d-d19f668fcd88
   • Имя: шлюз Microsoft Tunnel

   Добавление этого субъекта-службы требуется, чтобы можно было выбрать облачное приложение туннеля при настройке политик условного доступа. Кроме того, с помощью Graph можно добавить сведения о субъекте-службе в клиент.

4. После завершения выполнения скрипта вы можете создавать политики условного доступа обычным образом.

Если вы будете использовать политику условного доступа для ограничения доступа пользователей, рекомендуется настраивать эту политику после подготовки клиента для поддержки облачного приложения шлюза Microsoft Tunnel, но перед установкой шлюза туннеля.

1. Войдите в центр >администрирования Microsoft IntuneБезопасность конечной точки>Условный доступ>Создать политику. Центр администрирования предоставляет интерфейс Microsoft Entra для создания политик условного доступа.

2. Укажите имя для данной политики.

3. Чтобы настроить доступ пользователей и групп, в разделе Назначения выберите Пользователи и группы.

   1. Выберите Включить>Все пользователи.
   2. Затем выберите Исключить, а затем настройте группы, к которым требуется предоставить доступ, а затем сохраните конфигурацию пользователя и группы.

4. В разделе Целевые ресурсы> выберите Ресурсы для параметра Выберите, к чему применяется эта политика. В области включения Выберите ресурсы выберите шлюз Microsoft Tunnel.

5. В разделе Элементы управления доступом нажмите Предоставить разрешения, выберите Блокировать доступ, а затем сохраните конфигурацию.

6. Переключите параметр Включить политику в положение Вкл..

7. Нажмите Создать.

Дополнительные сведения о создании политик условного доступа см. в разделе Создание политики условного доступа на основе информации об устройстве.

Мониторинг Microsoft Tunnel