Typowe sposoby korzystania z dostępu warunkowego w usłudze Intune

Istnieją dwa typy zasad dostępu warunkowego, których można użyć w usłudze Intune: dostęp warunkowy oparty na urządzeniach i dostęp warunkowy oparty na aplikacji. Aby obsługiwać każdą z nich, musisz skonfigurować powiązane zasady usługi Intune. Po wdrożeniu i wdrożeniu zasad usługi Intune można użyć dostępu warunkowego do wykonywania takich czynności, jak zezwalanie lub blokowanie dostępu do programu Exchange, kontrolowanie dostępu do sieci lub integracja z rozwiązaniem Mobile Threat Defense.

Informacje zawarte w tym artykule mogą pomóc zrozumieć, jak korzystać z możliwości zgodności urządzeń przenośnych usługi Intune i funkcji zarządzania aplikacjami mobilnymi (MAM) usługi Intune.

Uwaga

Dostęp warunkowy to funkcja Microsoft Entra, która jest dołączona do licencji Microsoft Entra identyfikatora P1 lub P2. Usługa Intune zwiększa tę możliwość, dodając do rozwiązania zgodność urządzeń przenośnych i zarządzanie aplikacjami mobilnymi. Węzeł dostępu warunkowego uzyskiwany z usługi Intune jest tym samym węzłem, do który jest uzyskiwany z Microsoft Entra identyfikatora.

Dostęp warunkowy oparty na urządzeniach

Usługa Intune i identyfikator Microsoft Entra współpracują ze sobą, aby upewnić się, że tylko zarządzane i zgodne urządzenia mogą uzyskiwać dostęp do poczty e-mail organizacji, usług platformy Microsoft 365, aplikacji oprogramowania jako usługi (SaaS) i aplikacji lokalnych. Ponadto można ustawić zasady w Microsoft Entra identyfikatorze, aby umożliwić dostęp do usług Microsoft 365 tylko komputerom przyłączonym do domeny lub urządzeniom przenośnym zarejestrowanym w usłudze Intune.

W usłudze Intune wdrażasz zasady zgodności urządzeń, aby określić, czy urządzenie spełnia oczekiwane wymagania dotyczące konfiguracji i zabezpieczeń. Ocena zasad zgodności określa stan zgodności urządzeń, który jest zgłaszany zarówno do usługi Intune, jak i identyfikatora Microsoft Entra. To w Microsoft Entra identyfikatorze zasady dostępu warunkowego mogą używać stanu zgodności urządzenia do podejmowania decyzji o tym, czy zezwolić na dostęp do zasobów organizacji lub zablokować go z tego urządzenia.

Zasady dostępu warunkowego opartego na urządzeniach dla usługi Exchange Online i innych produktów platformy Microsoft 365 są konfigurowane za pośrednictwem centrum administracyjnego Microsoft Intune.

Uwaga

Po włączeniu dostępu opartego na urządzeniach dla zawartości dostępnej przez użytkowników z aplikacji przeglądarki na urządzeniach z profilem służbowym należącym do użytkownika systemu Android użytkownicy zarejestrowani przed styczniem 2021 r. muszą włączyć dostęp do przeglądarki w następujący sposób:

  1. Uruchom aplikację Portal firmy.
  2. Przejdź do strony Ustawienia z menu.
  3. W sekcji Włącz dostęp do przeglądarki naciśnij przycisk WŁĄCZ .
  4. Zamknij, a następnie uruchom ponownie aplikację przeglądarki.

Umożliwia to dostęp w aplikacjach przeglądarki, ale nie do przeglądarek WebView, które są otwierane w aplikacjach.

Aplikacje dostępne w dostępie warunkowym do kontrolowania Microsoft Intune

Podczas konfigurowania dostępu warunkowego w centrum administracyjnym Microsoft Entra masz dwie aplikacje do wyboru:

  1. Microsoft Intune — ta aplikacja kontroluje dostęp do centrum administracyjnego Microsoft Intune i źródeł danych. Skonfiguruj dotacje/kontrolki dla tej aplikacji, jeśli chcesz kierować Microsoft Intune centrum administracyjne i źródła danych.
  2. Microsoft Intune Rejestracja — ta aplikacja kontroluje przepływ pracy rejestracji. Skonfiguruj dotacje/kontrolki dla tej aplikacji, jeśli chcesz kierować proces rejestracji. Aby uzyskać więcej informacji, zobacz Wymagaj uwierzytelniania wieloskładnikowego dla rejestracji urządzeń w usłudze Intune.

Dostęp warunkowy oparty na kontroli dostępu do sieci

Usługa Intune integruje się z partnerami, takimi jak Cisco ISE, Aruba Clear Pass i Citrix NetScaler, w celu zapewnienia kontroli dostępu na podstawie rejestracji w usłudze Intune i stanu zgodności urządzenia.

Użytkownikom można zezwolić lub odmówić dostępu do firmowych zasobów Wi-Fi lub sieci VPN w zależności od tego, czy urządzenie, z których korzystają, jest zarządzane i zgodne z zasadami zgodności urządzeń usługi Intune.

Dostęp warunkowy na podstawie ryzyka urządzenia

Usługa Intune współpracuje z dostawcami usługi Mobile Threat Defense, którzy zapewniają rozwiązanie zabezpieczeń do wykrywania złośliwego oprogramowania, trojanów i innych zagrożeń na urządzeniach przenośnych.

Jak działa integracja usługi Intune i usługi Mobile Threat Defense

Gdy na urządzeniach przenośnych zainstalowano agenta usługi Mobile Threat Defense, agent wysyła komunikaty o stanie zgodności z powrotem do raportowania usługi Intune, gdy na samym urządzeniu przenośnym zostanie znalezione zagrożenie.

Integracja usługi Intune i usługi Mobile Threat Defense odgrywa rolę w decyzjach dotyczących dostępu warunkowego na podstawie ryzyka urządzenia.

Dostęp warunkowy dla komputerów z systemem Windows

Dostęp warunkowy dla komputerów zapewnia funkcje podobne do tych dostępnych dla urządzeń przenośnych. Porozmawiajmy o sposobach korzystania z dostępu warunkowego podczas zarządzania komputerami w usłudze Intune.

Należące do firmy

  • Microsoft Entra przyłączone hybrydowo: ta opcja jest często używana przez organizacje, które są w miarę wygodne z zarządzaniem swoimi komputerami za pomocą zasad grupy usługi AD lub Configuration Manager.

  • Microsoft Entra przyłączonych do domeny i zarządzania usługą Intune: ten scenariusz dotyczy organizacji, które chcą korzystać z chmury (czyli głównie usług w chmurze, w celu ograniczenia użycia infrastruktury lokalnej) lub tylko w chmurze (bez infrastruktury lokalnej). Microsoft Entra sprzężenia działa dobrze w środowisku hybrydowym, umożliwiając dostęp zarówno do aplikacji i zasobów w chmurze, jak i lokalnych. Urządzenie łączy się z identyfikatorem Microsoft Entra i zostaje zarejestrowane w usłudze Intune, które może służyć jako kryteria dostępu warunkowego podczas uzyskiwania dostępu do zasobów firmowych.

Przynieś własne urządzenie (BYOD)

  • Dołączanie do miejsca pracy i zarządzanie usługą Intune: W tym miejscu użytkownik może dołączyć do swoich urządzeń osobistych, aby uzyskać dostęp do zasobów i usług firmy. Możesz użyć dołączania i rejestrowania urządzeń w usłudze Intune MDM w celu odbierania zasad na poziomie urządzenia, które są kolejną opcją oceny kryteriów dostępu warunkowego.

Dowiedz się więcej o Zarządzanie urządzeniami w Microsoft Entra identyfikatorze.

Dostęp warunkowy oparty na aplikacji

Usługa Intune i identyfikator Microsoft Entra współpracują ze sobą, aby upewnić się, że tylko aplikacje zarządzane mogą uzyskiwać dostęp do firmowej poczty e-mail lub innych usług platformy Microsoft 365.

Dostęp warunkowy usługi Intune dla lokalnego programu Exchange

Dostęp warunkowy może służyć do zezwalania na dostęp do lokalnego programu Exchange lub blokowania go na podstawie zasad zgodności urządzeń i stanu rejestracji. Gdy dostęp warunkowy jest używany w połączeniu z zasadami zgodności urządzeń, tylko zgodne urządzenia mają dostęp do lokalnego programu Exchange.

Zaawansowane ustawienia można skonfigurować w obszarze Dostęp warunkowy, aby uzyskać bardziej szczegółową kontrolę, taką jak:

  • Zezwalaj lub blokuj niektóre platformy.

  • Natychmiast zablokuj urządzenia, które nie są zarządzane przez usługę Intune.

Każde urządzenie używane do uzyskiwania dostępu do lokalnego programu Exchange jest sprawdzane pod kątem zgodności podczas stosowania zasad zgodności urządzeń i dostępu warunkowego.

Jeśli urządzenia nie spełniają ustawionych warunków, użytkownik końcowy przechodzi przez proces rejestrowania urządzenia, aby rozwiązać problem powodujący niezgodność urządzenia.

Uwaga

Począwszy od lipca 2020 r., obsługa łącznika programu Exchange jest przestarzała i zastąpiona przez nowoczesne uwierzytelnianie hybrydowe programu Exchange (HMA). Użycie usługi HMA nie wymaga, aby usługa Intune skonfigurowała program Exchange Connector i korzystała z niego. Dzięki tej zmianie interfejs użytkownika do konfigurowania programu Exchange Connector dla usługi Intune i zarządzania nim został usunięty z centrum administracyjnego Microsoft Intune, chyba że używasz już łącznika programu Exchange z subskrypcją.

Jeśli w środowisku skonfigurowano program Exchange Connector, dzierżawa usługi Intune pozostaje obsługiwana do jej użycia i nadal będziesz mieć dostęp do interfejsu użytkownika, który obsługuje jego konfigurację. Aby uzyskać więcej informacji, zobacz Instalowanie łącznika lokalnego programu Exchange. Możesz nadal korzystać z łącznika lub skonfigurować usługę HMA, a następnie odinstalować łącznik.

Nowoczesne uwierzytelnianie hybrydowe zapewnia funkcje, które zostały wcześniej udostępnione przez program Exchange Connector dla usługi Intune: mapowanie tożsamości urządzenia na rekord programu Exchange. To mapowanie odbywa się teraz poza konfiguracją utworzoną w usłudze Intune lub wymaganiem łącznika usługi Intune do połączenia usługi Intune i programu Exchange. W przypadku usługi HMA usunięto wymóg używania konfiguracji specyficznej dla usługi Intune (łącznika).

Jaka jest rola usługi Intune?

Usługa Intune ocenia stan urządzenia i zarządza nimi.

Jaka jest rola serwera Exchange?

Serwer Exchange udostępnia interfejs API i infrastrukturę do przenoszenia urządzeń do kwarantanny.

Ważna

Należy pamiętać, że użytkownik korzystający z urządzenia musi mieć przypisany profil zgodności i licencję usługi Intune, aby można było ocenić zgodność urządzenia. Jeśli żadne zasady zgodności nie zostaną wdrożone dla użytkownika, urządzenie będzie traktowane jako zgodne i nie zostaną zastosowane żadne ograniczenia dostępu.

Następne kroki

Jak skonfigurować dostęp warunkowy w identyfikatorze Microsoft Entra

Konfigurowanie zasad dostępu warunkowego opartego na aplikacji

Jak utworzyć zasady dostępu warunkowego dla lokalnego programu Exchange