Стандартные способы использования условного доступа с помощью Intune

  • Статья

Существует два типа политик условного доступа, которые можно использовать в Intune: условный доступ на основе устройств и условный доступ на основе приложений. Чтобы поддерживать каждую из них, необходимо настроить связанные политики Intune. Когда политики Intune развернуты и применены, вы можете использовать условный доступ для таких действий, как разрешение или блокировка доступа к Exchange, управление доступом к вашей сети или интеграция с решением защиты от угроз на мобильных устройствах.

Сведения в этой статье помогут вам понять, как использовать возможности соответствия требованиям мобильного устройства Intune и возможности управления мобильным приложением Intune (MAM).

Примечание.

Условный доступ — это возможность Microsoft Entra, которая входит в лицензию Microsoft Entra ID P1 или P2. Intune расширяет эту возможность, добавляя в решение средства для обеспечения соответствия мобильных устройств и для управления мобильными приложениями. Узел условного доступа, доступ к который осуществляется из Intune , является тем же узлом, что и из идентификатора Microsoft Entra.

Условный доступ на основе устройств

Intune и Microsoft Entra ID работают вместе, чтобы только управляемые и совместимые устройства могли получать доступ к электронной почте вашей организации, службам Microsoft 365, приложениям SaaS (программное обеспечение как услуга) и локальным приложениям. Кроме того, вы можете настроить политику в идентификаторе Microsoft Entra, чтобы разрешить доступ к службам Microsoft 365 только присоединенным к домену компьютерам или мобильным устройствам, зарегистрированным в Intune.

С помощью Intune вы можете развернуть политики соответствия устройств требованиям, чтобы определить, соответствует ли устройство ожидаемым требованиям к конфигурации и безопасности. Оценка политики соответствия требованиям определяет состояние соответствия устройства, которое сообщается в Intune и Microsoft Entra ID. Именно в идентификаторе Microsoft Entra политики условного доступа могут использовать состояние соответствия устройства для принятия решений о том, следует ли разрешать или блокировать доступ к ресурсам вашей организации с этого устройства.

Политики условного доступа на основе устройств для Exchange Online и других продуктов Microsoft 365 настраиваются в Центре администрирования Microsoft Intune.

Примечание.

При включении доступа на основе устройств к содержимому, доступному пользователям из приложений браузера на устройствах с персональным рабочим профилем Android, пользователи, зарегистрированные до января 2021 года, должны включить доступ в браузере следующим образом:

  1. Запустите приложение Корпоративный портал.
  2. Откройте в меню страницу Параметры.
  3. В разделе Включить доступ в браузере коснитесь кнопки Включить.
  4. Закройте и перезапустите приложение браузера.

Это позволяет получить доступ к приложениям браузера, но не к представлениям WebViews браузера, которые открываются в приложениях.

Приложения, доступные в рамках условного доступа для управления Microsoft Intune

При настройке условного доступа в Центре администрирования Microsoft Entra у вас есть два приложения на выбор:

  1. Microsoft Intune — это приложение управляет доступом к Центру администрирования Microsoft Intune и источникам данных. Настройте разрешения и элементы управления в этом приложении, если вы хотите нацелиться на Центр администрирования Microsoft Intune и источники данных.
  2. Microsoft Intune Enrollment — приложение для управления рабочим процессом регистрации. Настраивайте предоставление разрешений и элементы управления для этого приложения, ориентированные на процесс регистрации. Дополнительные сведения см. в статье Настройка обязательной многофакторной проверки подлинности для регистрации устройств в Intune.

Условный доступ на основе управления доступом к сети

Intune интегрируется с такими партнерами, как Cisco ISE, Aruba Clear Pass и Citrix NetScaler, чтобы обеспечить контроль доступа на основе регистрации Intune и состояния соответствия устройств.

Пользователям может быть разрешен или запрещен доступ к корпоративным ресурсам Wi-Fi или VPN в зависимости от того, управляется ли используемое ими устройство и соответствует ли оно политикам соответствия устройств Intune.

Условный доступ на основе рисках для устройств

Служба Intune работает в партнерстве с поставщиками защиты от угроз на мобильных устройствах, которые предлагают решения для обеспечения безопасности, позволяющие обнаруживать вредоносные программы, трояны и другие угрозы на мобильных устройствах.

Принципы интеграции защиты от угроз на мобильных устройствах с Intune

Если на мобильных устройствах установлен агент Mobile Threat Defense, он отправляет сообщения о состоянии соответствия требованиям обратно в Intune, чтобы сообщить об обнаружении угрозы на самом мобильном устройстве.

Интеграция Intune с защитой от угроз на мобильных устройствах является одним из факторов, определяющих решение о предоставлении условного доступа на основе сведений о рисках для устройства.

Условный доступ для компьютеров с Windows

Условный доступ для компьютеров позволяет использовать возможности, аналогичные тем, что доступны для мобильных устройств. Рассмотрим способы использования условного доступа при управлении компьютерами с помощью Intune.

Корпоративные устройства

  • Гибридное присоединение к Microsoft Entra: Этот вариант обычно используется организациями, которые достаточно хорошо знакомы с тем, как они уже управляют своими компьютерами с помощью групповых политик AD или Configuration Manager.

  • Присоединение к домену Microsoft Entra и управление Intune: Этот сценарий предназначен для организаций, которые хотят быть облачными (то есть в основном использовать облачные службы с целью сокращения использования локальной инфраструктуры) или только облака (без локальной инфраструктуры). Присоединение к Microsoft Entra хорошо работает в гибридной среде, обеспечивая доступ как к облачным, так и локальным приложениям и ресурсам. Устройство присоединяется к идентификатору Microsoft Entra и регистрируется в Intune, который можно использовать в качестве критерия условного доступа при доступе к корпоративным ресурсам.

Принеси свое устройство (BYOD)

  • Workplace Join и управление Intune. Здесь пользователь может подключить свои личные устройства для доступа к корпоративным ресурсам и службам. Workplace Join и регистрацию устройств в Intune MDM можно использовать для получения политик на уровне устройства, что является одним из способов оценить соблюдение критериев условного доступа.

Дополнительные сведения об управлении устройствами в Microsoft Entra ID.

Условный доступ на основе приложения

Intune и Microsoft Entra ID работают вместе, чтобы гарантировать, что только управляемые приложения могут получить доступ к корпоративной электронной почте или другим службам Microsoft 365.

Условный доступ Intune для локальной организации Exchange

Условный доступ можно использовать для разрешения или блокирования доступа к локальной среде Exchange на основе политик соответствия устройств и состояния регистрации. При использовании условного доступа совместно с политикой соответствия устройства доступ к локальной среде Exchange получают только соответствующие устройства.

Для более детализированного управления можно настроить дополнительные параметры условного доступа, включая следующие.

  • Разрешение или блокировка определенных платформ.

  • Немедленная блокировка устройств, которые не управляются Intune.

В случае, когда применяются политики соответствия устройств и условного доступа, любое устройство, пытающееся получить доступ к локальной среде Exchange, проверяется на соответствие требованиям.

Если устройства не удовлетворяют заданным условиям, запускается процесс регистрации устройства, чтобы устранить проблему, которая делает устройство несоответствующим.

Примечание.

Начиная с июля 2020 года поддержка соединителя Exchange не рекомендуется и заменена на гибридную современную проверку подлинности (HMA) Exchange. Использование HMA не требует установки Intune и использования соединителя Exchange. С этим изменением пользовательский интерфейс для настройки соединителя Exchange для Intune и управления им был удален из Центра администрирования Microsoft Intune, если вы еще не используете соединитель Exchange с подпиской.

Если в вашей среде настроен соединитель Exchange, клиент Intune по-прежнему будет поддерживаться и у вас останется доступ к пользовательскому интерфейсу, который поддерживает его конфигурацию. Дополнительные сведения см. в статье Установка локального соединителя Exchange. Вы можете продолжить использовать соединитель или настроить HMA, а затем удалить соединитель.

Гибридная современная проверка подлинности предоставляет функции, которые ранее были предоставлены соединителем Exchange для Intune: сопоставление удостоверения устройства с записью Exchange. Это сопоставление теперь выполняется за пределами конфигурации, которую вы создаете в Intune, или требований соединителя Intune для соединения Intune и Exchange. При использовании HMA требование к использованию специальной конфигурации для Intune (соединителя) больше не применяется.

В чем заключается роль Intune?

Intune оценивает и контролирует состояние устройства.

В чем заключается роль сервера Exchange?

Сервер Exchange предоставляет API и инфраструктуру для перевода устройств в карантин.

Важно!

Имейте в виду, что пользователь, использующий устройство, должен иметь профиль соответствия и назначенную ему лицензию Intune, позволяющие оценить соответствие устройства. Если политика соответствия не развернута для пользователя, устройство считается соответствующим, поэтому ограничения доступа к нему не применяются.

Дальнейшие действия

Настройка условного доступа в Microsoft Entra ID

Настройка политик условного доступа на основе приложений

Создание политики условного доступа для локальной организации Exchange