Условный доступ: фильтр для устройств

Когда администраторы создают политики условного доступа, возможность нацеливать или исключать определенные устройства в своей среде является общей задачей. Фильтр условий для устройств предоставляет администраторам возможность нацеливать на определенные устройства. Администраторы могут использовать поддерживаемые операторы и свойства для фильтров устройств вместе с другими доступными условиями назначения в политиках условного доступа.

Создание фильтра для устройства в условиях политики условного доступа

Распространенные сценарии

Есть несколько сценариев, в которых организации теперь могут использовать фильтр для состояния устройств. В следующих сценариях приведены примеры использования этого нового условия.

  • Ограничение доступа к привилегированным ресурсам. В этом примере можно сказать, что вы хотите разрешить доступ к API управления службами Windows Azure от пользователя, который:
    • Назначается привилегированная роль.
    • Завершена многофакторная проверка подлинности.
    • Находится на устройстве с привилегированными или безопасными рабочими станциями администрирования и подтверждается как соответствующее.
    • В этом сценарии организации создадут две политики условного доступа:
      • Политика 1. Все пользователи с ролью администратора, доступ к облачному приложению API управления службами Windows Azure, а также для управления доступом, предоставление доступа, но требуют многофакторной проверки подлинности и требуют, чтобы устройство было помечено как соответствующее.
      • Политика 2. Все пользователи с администратором, обращающиеся к облачному приложению API управления службами Windows Azure, за исключением фильтра для устройств, использующих устройство выражения правил device.extensionAttribute1, равно SAW и для элементов управления доступом, блокировать. Узнайте, как обновить extensionAttributes в объекте устройства Microsoft Entra.
  • Блокировка доступа к ресурсам организации с устройств, работающих с неподдерживаемой операционной системой. В этом примере, допустим, требуется заблокировать доступ к ресурсам из ОС Windows версии старше, чем Windows 10. В этом сценарии организации создадут следующую политику условного доступа:
    • Все пользователи, обращающиеся ко всем ресурсам, за исключением фильтра для устройств, использующих устройство выражения правила.operatingSystem, равные Windows и device.operatingSystemVersion, запускают "10.0" и для элементов управления доступом, блокировать.
  • Не требовать многофакторной проверки подлинности для определенных учетных записей на определенных устройствах. В этом примере можно сказать, что при использовании учетных записей служб на определенных устройствах, таких как Teams Phone или Surface Hub, не требуется многофакторная проверка подлинности. В этом сценарии организации создадут следующие две политики условного доступа:
    • Политика 1. Все пользователи, за исключением учетных записей служб, доступ ко всем ресурсам и элементы управления доступом, предоставление доступа, но требуют многофакторной проверки подлинности.
    • Политика 2. Выберите пользователей и группы и включите группу, содержащую только учетные записи служб, доступ ко всем ресурсам, за исключением фильтра для устройств, использующих выражение правила device.extensionAttribute2, не равных TeamsPhoneDevice и для элементов управления доступом, блокировать.

Примечание.

Идентификатор Microsoft Entra использует проверку подлинности устройства для оценки правил фильтрации устройств. Для устройства, незарегистрированного с идентификатором Microsoft Entra ID, все свойства устройства считаются значениями NULL и атрибуты устройства не могут быть определены, так как устройство не существует в каталоге. Лучший способ назначить политики для незарегистрированных устройств — использовать отрицательный оператор, так как будет применяться настроенное правило фильтрации. Если вы использовали положительный оператор, правило фильтрации будет применяться только в том случае, если устройство существует в каталоге, а настроенное правило соответствует атрибуту на устройстве.

Создание политики условного доступа

Фильтр для устройств является необязательным элементом управления при создании политики условного доступа.

Следующие шаги помогут создать две политики условного доступа для поддержки первого сценария в общих сценариях.

Политика 1. Все пользователи с ролью администратора, доступ к облачному приложению API управления службами Windows Azure, а также для управления доступом, предоставление доступа, но требуют многофакторной проверки подлинности и требуют, чтобы устройство было помечено как соответствующее.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Включить" выберите роли каталога, а затем все роли с администратором в имени.

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются к ролям других типов, включая роли административных единиц или пользовательские роли.

    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.

    3. Нажмите кнопку Готово.

  6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включить>ресурсы выберите ресурсы, выберите API управления службами Windows Azure и нажмите кнопку "Выбрать".
  7. В разделе ">Предоставление доступа" выберите "Предоставить доступ", "Требовать многофакторную проверку подлинности" и "Требовать, чтобы устройство было помечено как соответствующее" и нажмите кнопку "Выбрать".
  8. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
  9. Нажмите Создать, чтобы создать и включить политику.

Политика 2. Все пользователи с ролью администратора, доступ к облачному приложению API управления службами Windows Azure, за исключением фильтра для устройств, использующих устройство выражения правила device.extensionAttribute1, равно SAW и для элементов управления доступом, блокировать.

  1. Выберите Новая политика.
  2. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  3. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Включить" выберите роли каталога, а затем все роли с администратором в имени

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются к ролям других типов, включая роли административных единиц или пользовательские роли.

    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.

    3. Нажмите кнопку Готово.

  4. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включить>ресурсы выберите ресурсы, выберите API управления службами Windows Azure и нажмите кнопку "Выбрать".
  5. В разделе Условия выберите Фильтр для устройств.
    1. Задайте для параметра Настроить значение Да.
    2. Задайте для параметра Devices matching the rule (Устройства, соответствующие правилу) значение Exclude filtered devices from policy (Исключить отфильтрованные устройства из политики).
    3. Укажите свойство ExtensionAttribute1, оператор Equals и значение SAW.
    4. Нажмите кнопку Готово.
  6. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
  7. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
  8. Нажмите Создать, чтобы создать и включить политику.

Предупреждение

Политики, требующие совместимых устройств, могут запрашивать пользователей в Mac, iOS и Android выбрать сертификат устройства во время оценки политики, даже если соответствие устройств не применяется. Эти запросы могут повторяться до тех пор, пока устройство не будет установлено соответствующим требованиям.

Указание значений атрибутов

Настройка атрибутов расширения возможна с помощью API Microsoft Graph. Дополнительные сведения о настройке атрибутов устройства см. в статье Обновление устройства.

Фильтр для устройств API Graph

Фильтр для API устройств доступен в конечной точке Microsoft Graph версии 1.0 и может быть доступен с помощью конечной точки https://graph.microsoft.com/v1.0/identity/conditionalaccess/policies/. Вы можете настроить фильтр для устройств при создании новой политики условного доступа или обновить доступную политику, чтобы настроить фильтр для состояния устройств. Чтобы обновить существующую политику, можно выполнить вызов исправления в конечной точке Microsoft Graph версии 1.0, добавив идентификатор политики существующей политики и выполнив следующий текст запроса. В этом примере показано, как настроить фильтр для условий устройств, за исключением устройств, которые не помечены как устройства SAW. Синтаксис правила позволяет использовать несколько выражений. Дополнительные сведения о синтаксисе см . в правилах динамических групп членства для групп в идентификаторе Microsoft Entra ID.

{
    "conditions": {
        "devices": {
            "deviceFilter": {
                "mode": "exclude",
                "rule": "device.extensionAttribute1 -ne \"SAW\""
            }
        }
    }
}

Поддерживаемые операторы и свойства устройств для фильтров

В условном доступе можно использовать следующие атрибуты устройства с фильтром для состояния устройств.

Примечание.

Идентификатор Microsoft Entra использует проверку подлинности устройства для оценки правил фильтрации устройств. Для устройства, незарегистрированного с идентификатором Microsoft Entra ID, все свойства устройства считаются значениями NULL и атрибуты устройства не могут быть определены, так как устройство не существует в каталоге. Лучший способ назначить политики для незарегистрированных устройств — использовать отрицательный оператор, так как будет применяться настроенное правило фильтрации. Если вы использовали положительный оператор, правило фильтрации будет применяться только в том случае, если устройство существует в каталоге, а настроенное правило соответствует атрибуту на устройстве.

Поддерживаемые атрибуты устройств Поддерживаемые операторы Поддерживаемые значения Пример
deviceId Equals, NotEquals, In, NotIn Допустимый идентификатор deviceId, являющийся GUID. (device.deviceid -eq "aaaa-0000-1111-2222-bbbb")
displayName Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Любая строка. (device.displayName -contains "ABC")
deviceOwnership Equals, NotEquals Поддерживаемые значения — "Персональный" для привлечения собственных устройств и "Компания" для корпоративных устройств (device.deviceOwnership -eq "Company")
isCompliant Equals, NotEquals Поддерживаются значения True для совместимых устройств и False для несовместимых устройств (device.isCompliant -eq "True")
manufacturer Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Любая строка. (device.manufacturer -startsWith "Microsoft")
mdmAppId Equals, NotEquals, In, NotIn Допустимый идентификатор приложения MDM. (device.mdmAppId -in ["0000111-aaaa-2222-bbbb-333cc4444"])
модель Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Любая строка. (device.model -notContains "Surface")
operatingSystem Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Допустимая операционная система (например, Windows, iOS или Android). (device.operatingSystem -eq "Windows")
operatingSystemVersion Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn Допустимая версия операционной системы (например, 6.1 для Windows 7, 6.2 для Windows 8 или 10.0 для Windows 10 и Windows 11). (device.operatingSystemVersion -in ["10.0.18363", "10.0.19041", "10.0.19042", "10.0.22000"])
physicalIds Contains, NotContains В качестве примера все устройства Автопилота Windows хранят ZTDId (уникальное значение, назначаемое всем импортированным устройствам Автопилота Windows ) в свойстве physicalIds устройства. (device.physicalIds -contains "[ZTDId]:value")
profileType Equals, NotEquals Допустимый тип профиля, заданный для устройства. Поддерживаемые значения: RegisteredDevice (по умолчанию), SecureVM (используется для виртуальных машин Windows в Azure с поддержкой входа Microsoft Entra), Принтер (используется для принтеров), Общий (используемый для общих устройств), IoT (используется для устройств Интернета вещей) (device.profileType -eq "Принтер")
systemLabels Contains, NotContains Список меток, примененных к устройству системой. Некоторые поддерживаемые значения: AzureResource (используется для виртуальных машин Windows в Azure с поддержкой входа Microsoft Entra), M365Managed (используется для устройств, управляемых с помощью Управляемого рабочего стола Майкрософт), MultiUser (используется для общих устройств) (device.systemLabels -contains "M365Managed")
trustType Equals, NotEquals Допустимое состояние регистрации для устройств. Поддерживаемые значения: AzureAD (используется для устройств, присоединенных к Microsoft Entra), ServerAD (используется для гибридных устройств, присоединенных к Microsoft Entra), Workplace (используется для зарегистрированных устройств Microsoft Entra) (device.trustType -eq "ServerAD")
extensionAttribute1-15 Equals, NotEquals, StartsWith, NotStartsWith, EndsWith, NotEndsWith, Contains, NotContains, In, NotIn extensionAttributes1-15 — это атрибуты, которые клиенты могут использовать для объектов устройств. Клиенты могут обновлять любые из extensionAttributes1-15, указывая пользовательские значения и используя их в фильтре для состояния устройств в условном доступе. Можно использовать любое строковое значение. (device.extensionAttribute1 -eq "SAW")

Примечание.

При создании сложных правил или использовании слишком большого количества отдельных идентификаторов, таких как deviceid для удостоверений устройств, помните, что максимальная длина правила фильтра составляет 3072 символов.

Примечание.

Операторы Contains и NotContains работают по-разному в зависимости от типов атрибутов. Для строковых атрибутов, таких как operatingSystem и model, оператор Contains указывает, имеется ли заданная подстрока в атрибуте. Для атрибутов строковых коллекций, таких как physicalIds и systemLabels, оператор Contains указывает, совпадает ли заданная строка целиком с одной из строк в коллекции.

Предупреждение

Устройства должны быть управляемыми, совместимыми с Microsoft Intune или гибридными соединениями Microsoft Entra, чтобы значение было доступно в extensionAttributes1-15 во время оценки политики условного доступа.

Реакция на событие политики с фильтром для устройств

Фильтр для условий устройств в условном доступе оценивает политику на основе атрибутов устройства зарегистрированного устройства в идентификаторе Microsoft Entra ID, поэтому важно понимать, в каких обстоятельствах политика применяется или не применяется. В следующей таблице показано поведение при настройке фильтра для условий устройств.

Фильтр для состояния устройств Состояние регистрации устройства Фильтр устройств применен
Режим включения и исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование любых атрибутов Незарегистрированное устройство No
Режим включения и исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование атрибутов, исключая extensionAttributes1-15 Зарегистрированное устройство Да, если условия соблюдены
Режим включения и исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование атрибутов, включая extensionAttributes1-15 Зарегистрированное устройство под управлением Intune Да, если условия соблюдены
Режим включения и исключения с положительными операторами (Equals, StartsWith, EndsWith, Contains, In) и использование атрибутов, включая extensionAttributes1-15 Зарегистрированное устройство не под управлением Intune Да, если условия соблюдены. Если используется extensionAttributes1-15, политика применяется, если устройство соответствует требованиям или гибридное присоединение к Microsoft Entra
Режим включения и исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn) и использование любых атрибутов Незарегистрированное устройство Да
Режим включения и исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn), исключая extensionAttributes1-15 Зарегистрированное устройство Да, если условия соблюдены
Режим включения и исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn), включая extensionAttributes1-15 Зарегистрированное устройство под управлением Intune Да, если условия соблюдены
Режим включения и исключения с негативными операторами (NotEquals, NotStartsWith, NotEndsWith, NotContains, NotIn), включая extensionAttributes1-15 Зарегистрированное устройство не под управлением Intune Да, если условия соблюдены. Если используется extensionAttributes1-15, политика применяется, если устройство соответствует требованиям или гибридное присоединение к Microsoft Entra