Vanliga sätt att använda villkorlig åtkomst med Intune
Det finns två typer av principer för villkorsstyrd åtkomst som du kan använda med Intune: enhetsbaserad villkorlig åtkomst och appbaserad villkorlig åtkomst. För att stödja var och en måste du konfigurera relaterade Intune-principer. När Intune-principerna finns på plats och distribueras kan du sedan använda villkorsstyrd åtkomst för att göra saker som att tillåta eller blockera åtkomst till Exchange, styra åtkomsten till nätverket eller integrera med en Mobile Threat Defense-lösning.
Informationen i den här artikeln kan hjälpa dig att förstå hur du använder intune-funktionerna för mobil enhetsefterlevnad och intune-funktioner för hantering av mobilprogram (MAM).
Obs!
Villkorsstyrd åtkomst är en Microsoft Entra-funktion som ingår i en Microsoft Entra ID P1- eller P2-licens. Intune förbättrar den här funktionen genom att lägga till mobil enhetsefterlevnad och hantering av mobilappar i lösningen. Noden för villkorsstyrd åtkomst som nås från Intune är samma nod som används från Microsoft Entra-ID.
Enhetsbaserad villkorlig åtkomst
Intune och Microsoft Entra ID fungerar tillsammans för att se till att endast hanterade och kompatibla enheter kan komma åt din organisations e-post, Microsoft 365-tjänster, SaaS-appar (Programvara som en tjänst) och lokala appar. Dessutom kan du ange en princip i Microsoft Entra-ID för att endast aktivera domänanslutna datorer eller mobila enheter som har registrerats i Intune för åtkomst till Microsoft 365-tjänster.
Med Intune distribuerar du principer för enhetsefterlevnad för att avgöra om en enhet uppfyller dina förväntade konfigurations- och säkerhetskrav. Utvärderingen av efterlevnadsprincipen avgör enhetens efterlevnadsstatus, som rapporteras till både Intune- och Microsoft Entra-ID. Det är i Microsoft Entra-ID som principer för villkorsstyrd åtkomst kan använda en enhets efterlevnadsstatus för att fatta beslut om du vill tillåta eller blockera åtkomst till organisationens resurser från den enheten.
Enhetsbaserade principer för villkorsstyrd åtkomst för Exchange Online och andra Microsoft 365-produkter konfigureras via administrationscentret för Microsoft Intune.
Läs mer om Kräv hanterade enheter med villkorlig åtkomst i Microsoft Entra-ID.
Läs mer om Intune-enhetsefterlevnad.
Läs mer om webbläsare som stöds med villkorlig åtkomst i Microsoft Entra-ID.
Obs!
När du aktiverar enhetsbaserad åtkomst för innehåll som användarna får åtkomst till från webbläsarappar på sina Android-enheter med personligt ägd arbetsprofil måste användare som registrerats före januari 2021 aktivera webbläsaråtkomst på följande sätt:
- Starta företagsportalappen .
- Gå till sidan Inställningar på menyn.
- I avsnittet Aktivera webbläsaråtkomst trycker du på knappen AKTIVERA .
- Stäng och starta sedan om webbläsarappen.
Detta ger åtkomst i webbläsarappar, men inte till webbläsarwebbvyer som öppnas i appar.
Program som är tillgängliga i villkorlig åtkomst för att styra Microsoft Intune
När du konfigurerar villkorlig åtkomst i administrationscentret för Microsoft Entra har du två program att välja mellan:
- Microsoft Intune – Det här programmet styr åtkomsten till administrationscentret för Microsoft Intune och datakällor. Konfigurera beviljanden/kontroller för det här programmet när du vill rikta in dig på Administrationscenter för Microsoft Intune och datakällor.
- Microsoft Intune-registrering – det här programmet styr arbetsflödet för registrering. Konfigurera beviljanden/kontroller för det här programmet när du vill rikta registreringsprocessen. Mer information finns i Kräv multifaktorautentisering för Intune-enhetsregistreringar.
Villkorlig åtkomst baserad på nätverksåtkomstkontroll
Intune integreras med partner som Cisco ISE, Aruba Clear Pass och Citrix NetScaler för att tillhandahålla åtkomstkontroller baserat på Intune-registreringen och enhetens efterlevnadstillstånd.
Användare kan tillåtas eller nekas åtkomst till företagets Wi-Fi- eller VPN-resurser baserat på om enheten de använder är hanterad och kompatibel med Intune-enhetsefterlevnadsprinciper.
- Läs mer om NAC-integrering med Intune.
Villkorsstyrd åtkomst baserat på enhetsrisk
Intune samarbetar med Mobile Threat Defense-leverantörer som tillhandahåller en säkerhetslösning för att identifiera skadlig kod, trojaner och andra hot på mobila enheter.
Så här fungerar Intune- och Mobile Threat Defense-integreringen
När mobila enheter har Mobile Threat Defense-agenten installerad skickar agenten meddelanden om efterlevnadstillstånd tillbaka till Intune-rapportering när ett hot hittas på själva den mobila enheten.
Integreringen av Intune och skydd mot mobilhot spelar en viktig roll i besluten om villkorsstyrd åtkomst baserat på enhetsrisk.
- Läs mer om Skydd mot mobilhot i Intune.
Villkorlig åtkomst för Windows-datorer
Villkorlig åtkomst för datorer ger funktioner som liknar de som är tillgängliga för mobila enheter. Nu ska vi prata om hur du kan använda villkorsstyrd åtkomst när du hanterar datorer med Intune.
Företagsägt
Microsoft Entra-hybridanslutning: Det här alternativet används ofta av organisationer som är relativt bekväma med hur de redan hanterar sina datorer via AD-grupprinciper eller Configuration Manager.
Microsoft Entra-domänansluten och Intune-hantering: Det här scenariot är för organisationer som vill vara molnbaserade först (det vill sig främst använda molntjänster, med målet att minska användningen av en lokal infrastruktur) eller endast molnet (ingen lokal infrastruktur). Microsoft Entra-anslutning fungerar bra i en hybridmiljö och ger åtkomst till både molnbaserade och lokala appar och resurser. Enheten ansluter till Microsoft Entra-ID:t och registreras i Intune, som kan användas som villkor för villkorsstyrd åtkomst vid åtkomst till företagsresurser.
Byod (Bring Your Own Device)
- Arbetsplatsanslutning och Intune-hantering: Här kan användaren ansluta sina personliga enheter för att få åtkomst till företagets resurser och tjänster. Du kan använda Workplace Join och registrera enheter i Intune MDM för att ta emot principer på enhetsnivå, vilket är ett annat alternativ för att utvärdera villkor för villkorsstyrd åtkomst.
Läs mer om enhetshantering i Microsoft Entra-ID.
Appbaserad villkorlig åtkomst
Intune och Microsoft Entra ID fungerar tillsammans för att se till att endast hanterade appar kan komma åt företagets e-post eller andra Microsoft 365-tjänster.
- Läs mer om appbaserad villkorlig åtkomst med Intune.
Villkorlig åtkomst i Intune för Exchange on-premises
Villkorlig åtkomst kan användas för att tillåta eller blockera åtkomst till Exchange on-premises baserat på enhetens efterlevnadsprinciper och registreringstillstånd. När villkorsstyrd åtkomst används i kombination med en enhetsefterlevnadsprincip tillåts endast kompatibla enheter åtkomst till Exchange lokalt.
Du kan konfigurera avancerade inställningar i Villkorsstyrd åtkomst för mer detaljerad kontroll, till exempel:
Tillåt eller blockera vissa plattformar.
Blockera omedelbart enheter som inte hanteras av Intune.
Alla enheter som används för att komma åt Exchange on-premises kontrolleras för efterlevnad när enhetsefterlevnad och principer för villkorsstyrd åtkomst tillämpas.
När enheter inte uppfyller de angivna villkoren vägleds slutanvändaren genom processen att registrera enheten för att åtgärda problemet som gör enheten inkompatibel.
Obs!
Från och med juli 2020 är stödet för Exchange Connector inaktuellt och ersätts av modern Exchange-hybridautentisering (HMA). Användning av HMA kräver inte att Intune konfigurerar och använder Exchange Connector. Med den här ändringen har användargränssnittet för att konfigurera och hantera Exchange Connector för Intune tagits bort från administrationscentret för Microsoft Intune, såvida du inte redan använder en Exchange-anslutningsapp med din prenumeration.
Om du har konfigurerat en Exchange Connector i din miljö stöds intune-klienten fortfarande för dess användning, och du fortsätter att ha åtkomst till användargränssnittet som stöder dess konfiguration. Mer information finns i Installera exchange on-premises connector. Du kan fortsätta att använda anslutningsappen eller konfigurera HMA och sedan avinstallera anslutningsappen.
Modern hybridautentisering tillhandahåller funktioner som tidigare tillhandahölls av Exchange Connector för Intune: Mappning av en enhetsidentitet till dess Exchange-post. Den här mappningen sker nu utanför en konfiguration som du gör i Intune eller kravet för Intune-anslutningsappen att överbrygga Intune och Exchange. Med HMA har kravet på att använda den specifika Intune-konfigurationen (anslutningsappen) tagits bort.
Vad är Intune-rollen?
Intune utvärderar och hanterar enhetens tillstånd.
Vad är Exchange-serverrollen?
Exchange-servern tillhandahåller API och infrastruktur för att flytta enheter till karantän.
Viktigt
Tänk på att användaren som använder enheten måste ha en efterlevnadsprofil och en Tilldelad Intune-licens så att enheten kan utvärderas för kompatibilitet. Om ingen efterlevnadsprincip distribueras till användaren behandlas enheten som kompatibel och inga åtkomstbegränsningar tillämpas.
Nästa steg
Så här konfigurerar du villkorlig åtkomst i Microsoft Entra-ID
Konfigurera appbaserade principer för villkorsstyrd åtkomst
Så här skapar du en princip för villkorlig åtkomst för Exchange on-premises