Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Istnieją dwa typy zasad dostępu warunkowego, których można użyć w usłudze Intune: dostęp warunkowy oparty na urządzeniach i dostęp warunkowy oparty na aplikacji. Aby obsługiwać każdą z nich, musisz skonfigurować powiązane zasady usługi Intune. Po wdrożeniu i wdrożeniu zasad usługi Intune można użyć dostępu warunkowego do wykonywania takich czynności, jak zezwalanie lub blokowanie dostępu do programu Exchange, kontrolowanie dostępu do sieci lub integracja z rozwiązaniem Mobile Threat Defense.
Informacje zawarte w tym artykule mogą pomóc zrozumieć, jak korzystać z możliwości zgodności urządzeń przenośnych usługi Intune i funkcji zarządzania aplikacjami mobilnymi (MAM) usługi Intune.
Uwaga
Dostęp warunkowy to funkcja Microsoft Entra, która jest dołączona do licencji Microsoft Entra identyfikatora P1 lub P2. Usługa Intune zwiększa tę możliwość, dodając do rozwiązania zgodność urządzeń przenośnych i zarządzanie aplikacjami mobilnymi. Węzeł dostępu warunkowego uzyskiwany z usługi Intune jest tym samym węzłem, do który jest uzyskiwany z Microsoft Entra identyfikatora.
Dostęp warunkowy oparty na urządzeniach
Usługa Intune i identyfikator Microsoft Entra współpracują ze sobą, aby upewnić się, że tylko zarządzane i zgodne urządzenia mogą uzyskiwać dostęp do poczty e-mail organizacji, usług platformy Microsoft 365, aplikacji oprogramowania jako usługi (SaaS) i aplikacji lokalnych. Ponadto można ustawić zasady w Microsoft Entra identyfikatorze, aby umożliwić dostęp do usług Microsoft 365 tylko komputerom przyłączonym do domeny lub urządzeniom przenośnym zarejestrowanym w usłudze Intune.
W usłudze Intune wdrażasz zasady zgodności urządzeń, aby określić, czy urządzenie spełnia oczekiwane wymagania dotyczące konfiguracji i zabezpieczeń. Ocena zasad zgodności określa stan zgodności urządzenia, który jest zgłaszany do usługi Intune i identyfikatora Microsoft Entra. To w Microsoft Entra identyfikatorze zasady dostępu warunkowego mogą używać stanu zgodności urządzenia do podejmowania decyzji o tym, czy zezwolić na dostęp do zasobów organizacji lub zablokować go z tego urządzenia.
Zasady dostępu warunkowego opartego na urządzeniach dla usługi Exchange Online i innych produktów platformy Microsoft 365 są konfigurowane za pośrednictwem centrum administracyjnego usługi Microsoft Intune.
Dowiedz się więcej o wymaganiu zarządzanych urządzeń z dostępem warunkowym w Microsoft Entra identyfikatorze.
Dowiedz się więcej o zgodności urządzeń w usłudze Intune.
Dowiedz się więcej o obsługiwanych przeglądarkach z dostępem warunkowym w Microsoft Entra identyfikatorze.
Uwaga
Po włączeniu dostępu opartego na urządzeniach dla zawartości dostępnej przez użytkowników z aplikacji przeglądarki na urządzeniach z profilem służbowym należącym do użytkownika systemu Android użytkownicy zarejestrowani przed styczniem 2021 r. muszą włączyć dostęp do przeglądarki w następujący sposób:
- Uruchom aplikację Portal firmy.
- Przejdź do strony Ustawienia z menu.
- W sekcji Włącz dostęp do przeglądarki naciśnij przycisk WŁĄCZ .
- Zamknij, a następnie uruchom ponownie aplikację przeglądarki.
Umożliwia to dostęp w aplikacjach przeglądarki, ale nie do przeglądarek WebView, które są otwierane w aplikacjach.
Aplikacje dostępne w dostępie warunkowym do kontrolowania usługi Microsoft Intune
Podczas konfigurowania dostępu warunkowego w centrum administracyjnym Microsoft Entra masz dwie aplikacje do wyboru:
- Microsoft Intune — ta aplikacja kontroluje dostęp do centrum administracyjnego i źródeł danych usługi Microsoft Intune. Skonfiguruj dotacje/kontrolki dla tej aplikacji, jeśli chcesz kierować dane do centrum administracyjnego i źródeł danych usługi Microsoft Intune.
- Rejestracja w usłudze Microsoft Intune — ta aplikacja kontroluje przepływ pracy rejestracji. Skonfiguruj dotacje/kontrolki dla tej aplikacji, jeśli chcesz kierować proces rejestracji. Aby uzyskać więcej informacji, zobacz Wymagaj uwierzytelniania wieloskładnikowego dla rejestracji urządzeń w usłudze Intune.
Dostęp warunkowy oparty na kontroli dostępu do sieci
Usługa Intune integruje się z partnerami, takimi jak Cisco ISE, Aruba Clear Pass i Citrix NetScaler, w celu zapewnienia kontroli dostępu na podstawie rejestracji w usłudze Intune i stanu zgodności urządzenia.
Użytkownikom można zezwolić lub odmówić dostępu do firmowych zasobów Wi-Fi lub sieci VPN w zależności od tego, czy urządzenie, z których korzystają, jest zarządzane i zgodne z zasadami zgodności urządzeń usługi Intune.
- Dowiedz się więcej o integracji translatora adresów sieciowych z usługą Intune.
Dostęp warunkowy na podstawie ryzyka urządzenia
Usługa Intune współpracuje z dostawcami usługi Mobile Threat Defense, którzy zapewniają rozwiązanie zabezpieczeń do wykrywania złośliwego oprogramowania, trojanów i innych zagrożeń na urządzeniach przenośnych.
Jak działa integracja usługi Intune i usługi Mobile Threat Defense
Gdy na urządzeniach przenośnych zainstalowano agenta usługi Mobile Threat Defense, agent wysyła komunikaty o stanie zgodności z powrotem do raportowania usługi Intune, gdy na samym urządzeniu przenośnym zostanie znalezione zagrożenie.
Integracja usługi Intune i usługi Mobile Threat Defense odgrywa rolę w decyzjach dotyczących dostępu warunkowego na podstawie ryzyka urządzenia.
- Dowiedz się więcej na temat ochrony przed zagrożeniami mobilnymi w usłudze Intune.
Dostęp warunkowy dla komputerów z systemem Windows
Dostęp warunkowy dla komputerów zapewnia funkcje podobne do tych dostępnych dla urządzeń przenośnych. Porozmawiajmy o sposobach korzystania z dostępu warunkowego podczas zarządzania komputerami w usłudze Intune.
Należące do firmy
Microsoft Entra przyłączone hybrydowo: ta opcja jest często używana przez organizacje, które są w miarę wygodne z zarządzaniem swoimi komputerami za pomocą zasad grupy usługi AD lub Configuration Manager.
Microsoft Entra przyłączonych do domeny i zarządzania usługą Intune: ten scenariusz dotyczy organizacji, które chcą korzystać z chmury (czyli głównie usług w chmurze, w celu ograniczenia użycia infrastruktury lokalnej) lub tylko w chmurze (bez infrastruktury lokalnej). Microsoft Entra sprzężenia działa dobrze w środowisku hybrydowym, umożliwiając dostęp zarówno do aplikacji i zasobów w chmurze, jak i lokalnych. Urządzenie łączy się z identyfikatorem Microsoft Entra i zostaje zarejestrowane w usłudze Intune, które może służyć jako kryteria dostępu warunkowego podczas uzyskiwania dostępu do zasobów firmowych.
Przynieś własne urządzenie (BYOD)
- Dołączanie do miejsca pracy i zarządzanie usługą Intune: W tym miejscu użytkownik może dołączyć do swoich urządzeń osobistych, aby uzyskać dostęp do zasobów i usług firmy. Możesz użyć dołączania i rejestrowania urządzeń w usłudze Intune MDM w celu odbierania zasad na poziomie urządzenia, które są kolejną opcją oceny kryteriów dostępu warunkowego.
Dowiedz się więcej o Zarządzanie urządzeniami w Microsoft Entra identyfikatorze.
Dostęp warunkowy oparty na aplikacji
Usługa Intune i identyfikator Microsoft Entra współpracują ze sobą, aby upewnić się, że tylko aplikacje zarządzane mogą uzyskiwać dostęp do firmowej poczty e-mail lub innych usług platformy Microsoft 365. Dowiedz się więcej o dostępie warunkowym opartym na aplikacji w usłudze Intune.
Następne kroki
Jak skonfigurować dostęp warunkowy w identyfikatorze Microsoft Entra
Konfigurowanie zasad dostępu warunkowego opartego na aplikacji