Villkor för villkorsstyrd åtkomst
I en princip för villkorlig åtkomst kan en administratör använda en eller flera signaler för att förbättra sina principbeslut.
Flera villkor kan kombineras för att skapa detaljerade och specifika principer för villkorsstyrd åtkomst.
När användare får åtkomst till ett känsligt program kan en administratör ta med flera villkor i sina åtkomstbeslut, till exempel:
- Information om inloggningsrisk från ID Protection
- Nätverksplats
- Enhetsinformation
Användarrisk
Administratörer med åtkomst till ID Protection kan utvärdera användarrisker som en del av en princip för villkorsstyrd åtkomst. Användarrisken är sannolikheten att en viss identitet eller ett visst konto har komprometterats. Mer information om användarrisker finns i artiklarna Vad är risk och Hur du: Konfigurera och aktivera riskprinciper.
Inloggningsrisk
Administratörer med åtkomst till ID Protection kan utvärdera inloggningsrisker som en del av en princip för villkorsstyrd åtkomst. Inloggningsrisken representerar sannolikheten att en viss autentiseringsbegäran inte gjordes av identitetsägaren. Mer information om inloggningsrisker finns i artiklarna Vad är risk och Hur du: Konfigurera och aktivera riskprinciper.
Insiderrisk
Administratörer med åtkomst till Microsoft Purview adaptivt skydd kan införliva risksignaler från Microsoft Purview i principbeslut för villkorsstyrd åtkomst. Insiderrisker tar hänsyn till datastyrning, datasäkerhet och risk- och efterlevnadskonfigurationer från Microsoft Purview. Dessa signaler baseras på kontextuella faktorer som:
- Användarbeteende
- Historiska mönster
- Avvikelseidentifieringar
Med det här villkoret kan administratörer använda principer för villkorsstyrd åtkomst för att vidta åtgärder som att blockera åtkomst, kräva starkare autentiseringsmetoder eller kräva godkännande av användningsvillkor.
Den här funktionen omfattar att införliva parametrar som specifikt hanterar potentiella risker som uppstår inom en organisation. Genom att konfigurera villkorlig åtkomst för att beakta insiderrisker kan administratörer skräddarsy åtkomstbehörigheter baserat på kontextuella faktorer som användarbeteende, historiska mönster och avvikelseidentifiering.
Mer information finns i artikeln Konfigurera och aktivera en princip baserad på insiderrisk.
Enhetsplattformar
Villkorsstyrd åtkomst identifierar enhetsplattformen med hjälp av information som tillhandahålls av enheten, till exempel användaragentsträngar. Eftersom användaragentsträngar kan ändras är den här informationen overifierad. Enhetsplattformen bör användas tillsammans med Microsoft Intune-principer för enhetsefterlevnad eller som en del av en blockeringsinstruktion. Standardinställningen är att tillämpa för alla enhetsplattformar.
Villkorlig åtkomst stöder följande enhetsplattformar:
- Android
- iOS
- Windows
- macOS
- Linux
Om du blockerar äldre autentisering med villkoret Andra klienter kan du också ange villkoret för enhetsplattformen.
Vi stöder inte val av macOS- eller Linux-enhetsplattformar när du väljer Kräv godkänd klientapp eller Kräv appskyddsprincip som enda beviljandekontroller eller när du väljer Kräv alla valda kontroller.
Viktigt!
Microsoft rekommenderar att du har en princip för villkorsstyrd åtkomst för enhetsplattformar som inte stöds. Om du till exempel vill blockera åtkomsten till företagets resurser från Chrome OS eller andra klienter som inte stöds bör du konfigurera en princip med ett villkor för enhetsplattformar som innehåller alla enheter och exkluderar enhetsplattformar som stöds och Bevilja kontroll inställd på Blockera åtkomst.
Platser
Klientappar
Som standard gäller alla nyligen skapade principer för villkorsstyrd åtkomst för alla klientapptyper även om klientappens villkor inte har konfigurerats.
Kommentar
Beteendet för klientappsvillkoret uppdaterades i augusti 2020. Om du har befintliga principer för villkorsstyrd åtkomst förblir de oförändrade. Men om du klickar på en befintlig princip har växlingsknappen Konfigurera tagits bort och de klientappar som principen gäller för har valts.
Viktigt!
Inloggningar från äldre autentiseringsklienter stöder inte multifaktorautentisering (MFA) och skickar inte information om enhetstillstånd, så de blockeras av kontroller för beviljande av villkorsstyrd åtkomst, som att kräva MFA eller kompatibla enheter. Om du har konton som måste använda äldre autentisering måste du antingen undanta dessa konton från principen eller konfigurera principen så att den endast gäller för moderna autentiseringsklienter.
Växlingsknappen Konfigurera när värdet är inställt på Ja gäller för markerade objekt, och när det är inställt på Nej gäller det för alla klientappar, inklusive moderna och äldre autentiseringsklienter. Den här växlingsknappen visas inte i principer som skapats före augusti 2020.
- Moderna autentiseringsklienter
- Webbläsare
- Dessa omfattar webbaserade program som använder protokoll som SAML, WS-Federation, OpenID Connect eller tjänster som registrerats som en OAuth-konfidentiell klient.
- Mobilappar och skrivbordsklienter
- Det här alternativet omfattar program som Office-skrivbords- och telefonprogram.
- Webbläsare
- Äldre autentiseringsklienter
- Exchange ActiveSync-klienter
- Det här valet omfattar all användning av Exchange ActiveSync-protokollet (EAS).
- När principen blockerar användningen av Exchange ActiveSync får den berörda användaren ett enskilt e-postmeddelande i karantän. Det här e-postmeddelandet innehåller information om varför de blockeras och innehåller reparationsinstruktioner om det går.
- Administratörer kan endast tillämpa principer på plattformar som stöds (till exempel iOS, Android och Windows) via Microsoft Graph API för villkorsstyrd åtkomst.
- Andra klienter
- Det här alternativet omfattar klienter som använder protokoll för grundläggande/äldre autentisering som inte stöder modern autentisering.
- SMTP – används av POP- och IMAP-klienten för att skicka e-postmeddelanden.
- Automatisk upptäckt – Används av Outlook- och EAS-klienter för att hitta och ansluta till postlådor i Exchange Online.
- Exchange Online PowerShell – Används för att ansluta till Exchange Online med fjärransluten PowerShell. Om du blockerar Grundläggande autentisering för Exchange Online PowerShell måste du använda Exchange Online PowerShell-modulen för att ansluta. Anvisningar finns i Ansluta till Exchange Online PowerShell med multifaktorautentisering.
- Exchange Web Services (EWS) – ett programmeringsgränssnitt som används av Outlook, Outlook för Mac och appar från tredje part.
- IMAP4 – används av IMAP-e-postklienter.
- MAPI via HTTP (MAPI/HTTP) – Används av Outlook 2010 och senare.
- Offlineadressbok (OAB) – en kopia av adresslistesamlingar som laddas ned och används av Outlook.
- Outlook Anywhere (RPC över HTTP) – Används av Outlook 2016 och tidigare.
- Outlook Service – används av e-post- och kalenderappen för Windows 10.
- POP3 – Används av POP-e-postklienter.
- Reporting Web Services – används för att hämta rapportdata i Exchange Online.
- Det här alternativet omfattar klienter som använder protokoll för grundläggande/äldre autentisering som inte stöder modern autentisering.
- Exchange ActiveSync-klienter
Dessa villkor används ofta för att:
- Kräv en hanterad enhet
- Blockera äldre autentisering
- Blockera webbprogram men tillåt mobilappar eller skrivbordsappar
Webbläsare som stöds
Den här inställningen fungerar med alla webbläsare. För att uppfylla en enhetsprincip, till exempel ett krav på en kompatibel enhet, stöds dock följande operativsystem och webbläsare. Operativsystem och webbläsare som inte har mainstream-stöd visas inte i den här listan:
| Operativsystem | Webbläsare |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (se anteckningarna) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
| Linux Desktop | Microsoft Edge |
Dessa webbläsare stöder enhetsautentisering, vilket gör att enheten kan identifieras och verifieras mot en princip. Enhetskontrollen misslyckas om webbläsaren körs i privat läge eller om cookies är inaktiverade.
Kommentar
Edge 85+ kräver att användaren loggas in i webbläsaren för att kunna skicka enhetsidentiteten korrekt. Annars fungerar det som Chrome utan Microsoft Enkel inloggning-tillägget. Den här inloggningen kanske inte sker automatiskt i ett hybridenhetsanslutningsscenario.
Safari stöds för enhetsbaserad villkorlig åtkomst på en hanterad enhet, men den kan inte uppfylla villkoren kräv godkänd klientapp eller Kräv appskyddsprincip . En hanterad webbläsare som Microsoft Edge uppfyller kraven för godkända klientappar och appskyddsprinciper. I iOS med MDM-lösning från tredje part stöder endast Microsoft Edge-webbläsaren enhetsprincip.
Firefox 91+ stöds för enhetsbaserad villkorlig åtkomst, men "Tillåt enkel inloggning med Windows för Microsoft-, arbets- och skolkonton" måste aktiveras.
Chrome 111+ stöds för enhetsbaserad villkorlig åtkomst, men "CloudApAuthEnabled" måste vara aktiverat.
macOS-enheter som använder plugin-programmet Enterprise SSO kräver Microsoft Enkel inloggning-tillägget för att stödja enkel inloggning och enhetsbaserad villkorlig åtkomst i Google Chrome.
Varför visas en certifikatprompt i webbläsaren
På Windows 7 identifieras iOS-, Android- och macOS-enheter med hjälp av ett klientcertifikat. Det här certifikatet etableras när enheten är registrerad. När en användare först loggar in via webbläsaren uppmanas användaren att välja certifikatet. Användaren måste välja det här certifikatet innan du använder webbläsaren.
Chrome-stöd
Windows
För Chrome-stöd i Windows 10 Creators Update (version 1703) eller senare installerar du Microsoft Enkel inloggning-tillägget eller aktiverar CloudAPAuthEnabled i Chrome. Dessa konfigurationer krävs när en princip för villkorsstyrd åtkomst kräver enhetsspecifik information specifikt för Windows-plattformar.
Om du vill aktivera principen CloudAPAuthEnabled automatiskt i Chrome skapar du följande registernyckel:
- Sökväg:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Namn:
CloudAPAuthEnabled - Värde:
0x00000001 - PropertyType:
DWORD
Om du vill distribuera Microsoft Enkel inloggning-tillägget automatiskt till Chrome-webbläsare skapar du följande registernyckel med hjälp av extensionInstallForcelist-principen i Chrome:
- Sökväg:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Namn:
1 - Typ:
REG_SZ (String) - Data:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Skapa följande registernyckel för Chrome-stöd i Windows 8.1 och 7:
- Sökväg:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Namn:
1 - Typ:
REG_SZ (String) - Data:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
macOS-enheter som använder plugin-programmet Enterprise SSO kräver Microsoft Enkel inloggning-tillägget för att stödja enkel inloggning och enhetsbaserad villkorlig åtkomst i Google Chrome.
MdM-baserade distributioner av Google Chrome och tilläggshantering finns i Konfigurera Chrome-webbläsare på Mac och ExtensionInstallForcelist.
Mobilprogram och skrivbordsklienter som stöds
Administratörer kan välja Mobilappar och skrivbordsklienter som klientapp.
Den här inställningen påverkar åtkomstförsök som görs från följande mobilappar och skrivbordsklienter:
| Klientappar | Måltjänst | Plattform |
|---|---|---|
| Dynamics CRM-app | Dynamics CRM | Windows 10, Windows 8.1, iOS och Android |
| Appen Mail/Calendar/People, Outlook 2016, Outlook 2013 (med modern autentisering) | Exchange Online | Windows 10 |
| MFA och platsprincip för appar. Enhetsbaserade principer stöds inte. | Alla Mina appar apptjänst | Android och iOS |
| Microsoft Teams Services – den här klientappen styr alla tjänster som stöder Microsoft Teams och alla dess klientappar – Windows Desktop, iOS, Android, WP och webbklient | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android och macOS |
| Office 2016-appar, Office 2013 (med modern autentisering), OneDrive-synkronisering klient | SharePoint | Windows 8.1, Windows 7 |
| Office 2016-appar, Universella Office-appen, Office 2013 (med modern autentisering), OneDrive-synkronisering klient | SharePoint Online | Windows 10 |
| Office 2016 (endast Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Office Mobilappar | SharePoint | Android, iOS |
| Office Yammer-app | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office för macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (med modern autentisering), Skype för företag (med modern autentisering) | Exchange Online | Windows 8.1, Windows 7 |
| Outlook-mobilapp | Exchange Online | Android, iOS |
| Power BI app | Power BI-tjänsten | Windows 10, Windows 8.1, Windows 7, Android och iOS |
| Skype för företag | Exchange Online | Android, iOS |
| Azure DevOps Services-app (tidigare Visual Studio Team Services eller VSTS) | Azure DevOps Services (tidigare Visual Studio Team Services eller VSTS) | Windows 10, Windows 8.1, Windows 7, iOS och Android |
Exchange ActiveSync-klienter
- Administratörer kan bara välja Exchange ActiveSync-klienter när de tilldelar principer till användare eller grupper. Om du väljer Alla användare, Alla gästanvändare och externa användare eller Katalogroller blir alla användare föremål för principen.
- När administratörer skapar en princip som tilldelats Exchange ActiveSync-klienter bör Exchange Online vara det enda molnprogram som tilldelats principen.
- Administratörer kan begränsa omfånget för den här principen till specifika plattformar med hjälp av villkoret Enhetsplattformar .
Om den åtkomstkontroll som tilldelats principen använder Kräv godkänd klientapp uppmanas användaren att installera och använda Outlook-mobilklienten. Om multifaktorautentisering, användningsvillkor eller anpassade kontroller krävs blockeras berörda användare eftersom grundläggande autentisering inte stöder dessa kontroller.
Mer information finns i följande artiklar:
- Blockera äldre autentisering med villkorlig åtkomst
- Kräver godkända klientappar med villkorsstyrd åtkomst
Övriga klienter
Genom att välja Andra klienter kan du ange ett villkor som påverkar appar som använder grundläggande autentisering med e-postprotokoll som IMAP, MAPI, POP, SMTP och äldre Office-appen som inte använder modern autentisering.
Enhetstillstånd (inaktuellt)
Det här villkoret var inaktuellt. Kunder bör använda villkoret Filter för enheter i principen för villkorsstyrd åtkomst för att uppfylla scenarier som tidigare uppnåtts med hjälp av enhetstillståndsvillkoret.
Viktigt!
Enhetstillstånd och -filter för enheter kan inte användas tillsammans i principen för villkorsstyrd åtkomst. Filter för enheter ger mer detaljerad inriktning, inklusive stöd för information om enhetstillstånd via trustType egenskapen och isCompliant .
Filter för enheter
När administratörer konfigurerar filter för enheter som ett villkor kan de välja att inkludera eller exkludera enheter baserat på ett filter med hjälp av ett regeluttryck på enhetsegenskaper. Regeluttrycket för filter för enheter kan redigeras med hjälp av regelverktyget eller regelsyntaxen. Den här upplevelsen liknar den som används för regler för dynamiska medlemskapsgrupper för grupper. Mer information finns i artikeln Villkorsstyrd åtkomst: Filtrera för enheter.
Autentiseringsflöden (förhandsversion)
Autentiseringsflöden styr hur din organisation använder vissa autentiserings- och auktoriseringsprotokoll och -bidrag. Dessa flöden kan ge en sömlös upplevelse för enheter som kanske saknar lokala indataenheter som delade enheter eller digital signering. Använd den här kontrollen för att konfigurera överföringsmetoder som enhetskodflöde eller autentiseringsöverföring.