Vyžadování kompatibilního zařízení, hybridního zařízení připojeného k Microsoft Entra nebo vícefaktorového ověřování pro všechny uživatele
Organizace, které nasazují Microsoft Intune, můžou pomocí informací vrácených ze svých zařízení identifikovat zařízení, která splňují požadavky na dodržování předpisů, například:
- Vyžadování kódu PIN k odemknutí
- Vyžadování šifrování zařízení
- Vyžadování minimální nebo maximální verze operačního systému
- Vyžadování zařízení není jailbreak ani root
Informace o dodržování zásad se odesílají do ID Microsoft Entra, kde se podmíněný přístup rozhodne udělovat nebo blokovat přístup k prostředkům. Další informace o zásadách dodržování předpisů pro zařízení najdete v článku Nastavení pravidel na zařízeních, která umožňují přístup k prostředkům ve vaší organizaci pomocí Intune.
Vyžadování hybridního zařízení připojeného k Microsoft Entra závisí na zařízeních, která už jsou připojená službou Microsoft Entra Hybrid Join. Další informace najdete v článku Konfigurace hybridního připojení Microsoft Entra.
Vyloučení uživatelů
Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:
- Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
- Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
- Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
- Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.
Nasazení šablon
Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.
Vytvořte zásady podmíněného přístupu
Následující kroky vám pomůžou vytvořit zásadu podmíněného přístupu, která bude vyžadovat vícefaktorové ověřování, zařízení, která přistupují k prostředkům, označená jako kompatibilní se zásadami dodržování předpisů v Intune vaší organizace nebo jako hybridní připojení Microsoft Entra.
- Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
- Přejděte k zásadám podmíněného přístupu ochrany>>.
- Vyberte Možnost Nová zásada.
- Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
- V části Zahrnout vyberte Možnost Všichni uživatelé.
- V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
- V části Cílové prostředky>(dříve cloudové aplikace)>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
- Pokud z zásad musíte vyloučit konkrétní aplikace, můžete je vybrat na kartě Vyloučit v části Vybrat vyloučené cloudové aplikace a zvolit Vybrat.
- V části Řízení>přístupu Udělení.
- Vyberte Vyžadovat vícefaktorové ověřování, Vyžadovat, aby zařízení bylo označené jako vyhovující, a vyžadovat hybridní zařízení připojené k Microsoftu Entra.
- U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
- Zvolte Zvolit.
- Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
- Pokud chcete zásadu povolit, vyberte Vytvořit .
Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.
Poznámka:
Nová zařízení můžete zaregistrovat do Intune, i když pomocí předchozích kroků vyberete Vyžadovat, aby zařízení bylo označené jako vyhovující všem uživatelům a všem prostředkům (dříve Všechny cloudové aplikace). Vyžadovat, aby zařízení bylo označené jako vyhovující řízení, neblokuje registraci Intune a přístup k aplikaci Microsoft Intune Web Portál společnosti.
Známé chování
Ve Windows 7, iOS, Androidu, macOS a některých webových prohlížečích jiných společností než Microsoft identifikuje Microsoft Entra ID zařízení pomocí klientského certifikátu zřízeného při registraci zařízení pomocí Microsoft Entra ID. Když se uživatel poprvé přihlásí přes prohlížeč, zobrazí se výzva k výběru certifikátu. Koncový uživatel musí tento certifikát vybrat, aby mohl dál používat prohlížeč.
Aktivace předplatného
Organizace, které používají funkci aktivace předplatného, umožňují uživatelům "krokovat" z jedné verze Windows do jiné a používat zásady podmíněného přístupu k řízení přístupu, aby z jejich zásad podmíněného přístupu vyloučily jednu z následujících cloudových aplikací pomocí možnosti Vybrat vyloučené cloudové aplikace:
Rozhraní API služby Universal Store a webová aplikace, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.
Windows Store pro firmy, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f.
I když je ID aplikace v obou instancích stejné, název cloudové aplikace závisí na tenantovi.
Pokud je zařízení po delší dobu offline, nemusí se zařízení automaticky aktivovat, pokud toto vyloučení podmíněného přístupu není nastavené. Nastavením tohoto vyloučení podmíněného přístupu zajistíte, že aktivace předplatného bude bez problémů fungovat.
Od Windows 11 verze 23H2 s KB5034848 nebo novějším se uživatelům zobrazí výzva k ověření pomocí informační zprávy, když aktivace předplatného potřebuje opětovnou aktivaci. Informační zpráva zobrazí následující zprávu:
Váš účet vyžaduje ověření.
Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.
V podokně Aktivace se navíc může zobrazit následující zpráva:
Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.
K výzvě k ověření obvykle dochází v případě, že je zařízení po delší dobu offline. Tato změna eliminuje potřebu vyloučení v zásadách podmíněného přístupu pro Windows 11 verze 23H2 s KB5034848 nebo novějším. Zásady podmíněného přístupu se dají dál používat s Windows 11 verze 23H2 s KB5034848 nebo novějším, pokud není žádoucí výzva k ověření uživatele prostřednictvím informačního oznámení.
Další kroky
Určení efektu pomocí režimu pouze sestavy podmíněného přístupu
Pomocí režimu jen pro podmíněný přístup můžete určit výsledky nových rozhodnutí o zásadách.
Zásady dodržování předpisů zařízením fungují s ID Microsoft Entra