A feltételes hozzáférés használatának gyakori módjai az Intune-nal

  • Cikk

Az Intune-nal kétféle feltételes hozzáférési szabályzat használható: eszközalapú feltételes hozzáférés és alkalmazásalapú feltételes hozzáférés. Mindegyik támogatásához konfigurálnia kell a kapcsolódó Intune-szabályzatokat. Amikor az Intune-szabályzatok érvényben vannak és üzembe vannak helyezve, a feltételes hozzáféréssel engedélyezheti vagy letilthatja az Exchange-hez való hozzáférést, szabályozhatja a hálózathoz való hozzáférést, vagy integrálhatja azokat egy Mobile Threat Defense-megoldással.

A cikkben található információk segítségével megismerheti, hogyan használhatja az Intune mobileszköz-megfelelőségi képességeit és az Intune mobilalkalmazás-kezelési (MAM) képességeit.

Megjegyzés:

A feltételes hozzáférés egy Microsoft Entra képesség, amely egy P1 vagy P2 azonosítójú Microsoft Entra-licenc részét képezi. Az Intune ezt a képességet javítja azáltal, hogy mobileszköz-megfelelőséget és mobilalkalmazás-felügyeletet ad a megoldáshoz. Az Intune-ból elért feltételes hozzáférési csomópont ugyanaz a csomópont, mint Microsoft Entra-azonosítóból.

Eszközalapú feltételes hozzáférés

Az Intune és a Microsoft Entra-azonosító együtt gondoskodik arról, hogy csak a felügyelt és a megfelelő eszközök férhessenek hozzá a szervezet levelezéséhez, a Microsoft 365-szolgáltatásokhoz, a szolgáltatott szoftverhez (SaaS) és a helyszíni alkalmazásokhoz. Emellett beállíthat egy szabályzatot Microsoft Entra azonosítóban, hogy csak az Intune-ban regisztrált tartományhoz csatlakoztatott számítógépek vagy mobileszközök férhessenek hozzá a Microsoft 365-szolgáltatásokhoz.

Az Intune-nal eszközmegfelelési szabályzatokat telepíthet annak megállapításához, hogy egy eszköz megfelel-e a várt konfigurációs és biztonsági követelményeknek. A megfelelőségi szabályzat kiértékelése meghatározza az eszközök megfelelőségi állapotát, amely az Intune-nak és Microsoft Entra-azonosítónak is jelentve lesz. A feltételes hozzáférési szabályzatok Microsoft Entra azonosítóban az eszköz megfelelőségi állapotának használatával hozhatnak döntést arról, hogy engedélyezik vagy letiltják-e a szervezet erőforrásaihoz való hozzáférést az adott eszközről.

Az Exchange Online és más Microsoft 365-termékek eszközalapú feltételes hozzáférési szabályzatai az Microsoft Intune Felügyeleti központban konfigurálhatók.

Megjegyzés:

Ha engedélyezi az eszközalapú hozzáférést olyan tartalmakhoz, amelyeket a felhasználók a személyes tulajdonú munkahelyi profilos Android-eszközeik böngészőalkalmazásaiból érnek el, a 2021 januárja előtt regisztrált felhasználóknak engedélyezniük kell a böngésző-hozzáférést az alábbiak szerint:

  1. Indítsa el a Céges portál alkalmazást.
  2. Lépjen a Beállítások lapra a menüből.
  3. A Böngésző-hozzáférés engedélyezése szakaszban koppintson az ENGEDÉLYEZÉS gombra.
  4. Zárja be, majd indítsa újra a böngészőalkalmazást.

Ez engedélyezi a hozzáférést a böngészőalkalmazásokban, az alkalmazásokon belül megnyíló böngészőnézetekhez azonban nem.

A feltételes hozzáférésben elérhető alkalmazások a Microsoft Intune vezérléséhez

Ha a feltételes hozzáférést a Microsoft Entra Felügyeleti központban konfigurálja, két alkalmazás közül választhat:

  1. Microsoft Intune – Ez az alkalmazás szabályozza a hozzáférést a Microsoft Intune Felügyeleti központhoz és az adatforrásokhoz. A Microsoft Intune felügyeleti központot és adatforrásokat megcélzva konfigurálhat engedélyeket/vezérlőket az alkalmazásban.
  2. Microsoft Intune-regisztráció – Ez az alkalmazás vezérli a regisztrációs munkafolyamatot. A regisztrációs folyamat megcélzásához konfigurálja a támogatásokat/vezérlőket az alkalmazáson. További információ: Többtényezős hitelesítés megkövetelése az Intune-eszközregisztrációkhoz.

Feltételes hozzáférés a hálózati hozzáférés-vezérlés alapján

Az Intune olyan partnerekkel integrálható, mint a Cisco ISE, az Aruba Clear Pass és a Citrix NetScaler, hogy hozzáférés-vezérlést biztosítson az Intune-regisztráció és az eszközmegfelelőségi állapot alapján.

A felhasználók a vállalati Wi-Fi vagy VPN-erőforrásokhoz való hozzáférés engedélyezése vagy megtagadása attól függően, hogy az általuk használt eszköz felügyelt és megfelel-e az Intune eszközmegfelelőségi szabályzatainak.

Feltételes hozzáférés eszközkockázat alapján

Az Intune a Mobile Threat Defense szállítóival együttműködve biztonsági megoldást kínál a kártevők, trójai programok és egyéb fenyegetések észlelésére a mobileszközökön.

Az Intune és a Mobile Threat Defense integrációjának működése

Ha a mobileszközökön telepítve van a Mobile Threat Defense-ügynök, az ügynök megfelelőségi állapotüzeneteket küld vissza az Intune-nak, amikor fenyegetést talál a mobileszközön.

Az Intune és a mobile threat defense integrációja az eszközkockázaton alapuló feltételes hozzáférési döntésekben is szerepet játszik.

Feltételes hozzáférés Windows rendszerű számítógépekhez

A pc-k feltételes hozzáférése a mobileszközökhöz elérhető funkciókhoz hasonló képességeket biztosít. Vizsgáljuk meg, hogyan használhatja a feltételes hozzáférést a számítógépek Intune-nal való kezelésekor.

Vállalati tulajdonú

  • hibrid csatlakozás Microsoft Entra: Ezt a lehetőséget általában olyan szervezetek használják, amelyek meglehetősen kényelmesen kezelik számítógépeiket az AD-csoportszabályzatokon vagy Configuration Manager keresztül.

  • Microsoft Entra tartományhoz való csatlakozás és az Intune felügyelete: Ez a forgatókönyv azoknak a szervezeteknek készült, amelyek először felhőszolgáltatást szeretnének használni (vagyis elsősorban felhőszolgáltatásokat szeretnének használni, és a helyszíni infrastruktúra használatának csökkentésére irányulnak) vagy csak felhőalapú (helyszíni infrastruktúra nélkül). Microsoft Entra csatlakozás jól működik hibrid környezetben, így hozzáférést biztosít a felhőbeli és a helyszíni alkalmazásokhoz és erőforrásokhoz is. Az eszköz csatlakozik a Microsoft Entra-azonosítóhoz, és regisztrálva lesz az Intune-ban, amely feltételes hozzáférési feltételként használható a vállalati erőforrások elérésekor.

Saját eszköz használata (BYOD)

  • Munkahelyi csatlakozás és Intune-felügyelet: Itt a felhasználó csatlakozhat a személyes eszközeihez, hogy hozzáférjen a vállalati erőforrásokhoz és szolgáltatásokhoz. A Munkahelyi csatlakoztatás és az Eszközök regisztrálása az Intune MDM-ben eszközszintű szabályzatok fogadásához használható, amelyek a feltételes hozzáférési feltételek kiértékelésének egy másik lehetősége.

További információ a Eszközkezelés Microsoft Entra-azonosítóban.

Alkalmazásalapú feltételes hozzáférés

Az Intune és a Microsoft Entra-azonosító együtt gondoskodik arról, hogy csak a felügyelt alkalmazások férhessenek hozzá a vállalati e-mailekhez vagy más Microsoft 365-szolgáltatásokhoz.

Intune feltételes hozzáférés helyszíni Exchange-hez

A feltételes hozzáféréssel engedélyezheti vagy letilthatja a helyszíni Exchange-hez való hozzáférést az eszközmegfelelési szabályzatok és a regisztrációs állapot alapján. Ha a feltételes hozzáférést eszközmegfelelőségi szabályzattal együtt használják, csak a megfelelő eszközök férhetnek hozzá a helyszíni Exchange-hez.

A feltételes hozzáférésben speciális beállításokat konfigurálhat a részletesebb vezérlés érdekében, például:

  • Bizonyos platformok engedélyezése vagy letiltása.

  • Azonnal tiltsa le az Intune által nem felügyelt eszközöket.

A helyszíni Exchange-hez való hozzáféréshez használt összes eszköz megfelelőségét az eszközmegfelelés és a feltételes hozzáférési szabályzatok alkalmazásakor ellenőrzi a rendszer.

Ha az eszközök nem felelnek meg a megadott feltételeknek, a rendszer végigvezeti a végfelhasználót az eszköz regisztrálásának folyamatán, hogy elhárítsa azt a problémát, amely miatt az eszköz nem megfelelő.

Megjegyzés:

2020 júliusától az Exchange-összekötő támogatása elavult, és az Exchange hibrid modern hitelesítés (HMA) váltja fel. A HMA használatához nincs szükség az Intune-ra az Exchange Connector beállításához és használatához. Ezzel a módosítással az Intune-hoz készült Exchange Connector konfigurálására és kezelésére szolgáló felhasználói felület el lett távolítva a Microsoft Intune Felügyeleti központból, kivéve, ha már használ Exchange-összekötőt az előfizetésével.

Ha beállított egy Exchange Connectort a környezetében, az Intune-bérlő továbbra is támogatott marad a használatához, és továbbra is hozzáférhet a konfigurációját támogató felhasználói felülethez. További információ: Helyszíni Exchange-összekötő telepítése. Továbbra is használhatja az összekötőt, vagy konfigurálhatja a HMA-t, majd eltávolíthatja az összekötőt.

A hibrid modern hitelesítés olyan funkciókat biztosít, amelyeket korábban az Intune-hoz készült Exchange Connector biztosított: Eszközidentitás hozzárendelése az Exchange-rekordhoz. Ez a leképezés most az Intune-ban megadott konfiguráción vagy az Intune-összekötőnek az Intune és az Exchange közötti hídra vonatkozó követelményén kívül történik. A HMA esetében az "Intune" specifikus konfiguráció (az összekötő) használatára vonatkozó követelmény el lett távolítva.

Mi az Intune-szerepkör?

Az Intune kiértékeli és kezeli az eszköz állapotát.

Mi az Exchange-kiszolgálói szerepkör?

Az Exchange Server API-t és infrastruktúrát biztosít az eszközök karanténba való áthelyezéséhez.

Fontos

Ne feledje, hogy az eszközt használó felhasználónak megfelelőségi profillal és Intune-licenccel kell rendelkeznie, hogy az eszköz kiértékelhető legyen a megfelelőség szempontjából. Ha a felhasználó nem alkalmaz megfelelőségi szabályzatot, a rendszer megfelelőként kezeli az eszközt, és nem alkalmaz hozzáférési korlátozásokat.

Következő lépések

Feltételes hozzáférés konfigurálása Microsoft Entra-azonosítóban

Alkalmazásalapú feltételes hozzáférési szabályzatok beállítása

Feltételes hozzáférési szabályzat létrehozása a helyszíni Exchange-hez