要求设备在条件访问下符合合规性

概述

Microsoft Intune和Microsoft Entra协同工作，通过 device 合规性策略和条件访问来保护组织。 设备符合性策略可确保用户设备满足最低配置要求。 当用户访问受条件访问策略保护的服务时，可以强制实施这些要求。

某些组织可能尚未准备好要求所有用户达到设备合规性。 这些组织可能会改为选择部署以下策略：

• 要求管理员使用符合条件或已加入Microsoft Entra混合的设备
• 要求符合标准的设备、Microsoft Entra 混合加入设备，或为所有用户进行多重身份验证
• 阻止未知或不支持的设备平台
• 禁止浏览器维持登录状态

排除用户

条件访问策略是功能强大的工具。 建议从策略中排除以下帐户：

• 紧急访问或不受限帐户，用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下，紧急访问管理帐户可用于登录和恢复访问权限。
• Service accounts 和 Service principals（如 Microsoft Entra Connect Sync Account）。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序，但它们也用于登录系统以实现管理目的。 由服务主体发出的调用不受适用于用户范围的条件访问策略的阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
  • 如果你的组织在脚本或代码中使用这些帐户，请将这些帐户替换为 托管标识。

模板部署

组织可以按照下面所述的步骤或使用 条件访问模板部署此策略。

创建条件访问策略

以下步骤有助于创建一个条件访问策略，以要求将访问资源的设备标记为符合组织的 Intune 合规性策略。

1. 登录到 Azure 门户，并至少具有 Conditional Access Administrator 身份。
2. 浏览到 Microsoft Entra ID 中的 安全性，然后选择 条件访问 和 策略。
3. 选择“新策略”。
4. 为策略指定名称。 为策略的名称创建有意义的标准。
5. 在分配下，选择用户或工作负载标识。
   1. 在“包括”下，选择“所有用户”
   2. 在“排除”下：
      1. 选择 “用户和组”
         1. 选择组织的紧急访问或不受限帐户。
         2. 如果使用混合标识解决方案（如 Microsoft Entra Connect 或 Microsoft Entra Connect Cloud Sync），请选择 Directory 角色，然后选择 Directory Synchronization Accounts
6. 在“目标资源”>“资源(以前为云应用)”>“包括”下，选择“所有资源(以前为‘所有云应用’)”。
7. 在访问控制>授予下。
   1. 选择“需要将设备标记为兼容” 。
   2. 选择Select。
8. 确认设置，然后将“启用策略”设置为“仅限报告”。
9. 选择“ 创建 ”以启用策略。

使用策略影响或仅报告模式确认设置后，将 “启用策略 ”切换从 “仅报告 ”移动到 “打开”。

已知行为

在 iOS、Android、macOS 和一些非Microsoft Web 浏览器上，Microsoft Entra ID使用在设备注册Microsoft Entra ID时预配的客户端证书来标识设备。 用户首次通过浏览器登录时，系统会提示用户选择此证书。 最终用户必须选择此证书才能继续使用浏览器。

B2B 场景

对于你与组织有关系并信任的组织，你可能会信任其设备符合性声明。 若要配置此设置，请参阅文章 “管理 B2B 协作的跨租户访问设置”。

订阅激活

使用 Subscription Activation 功能让用户能够从一个 Windows 版本升级到另一个版本的组织，可能需要在其设备合规策略中排除企业版 Windows Store（应用ID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f）。

相关内容

• 了解如何在 Microsoft Intune 中创建符合性策略。
• 了解 条件访问授予控制。
• 了解如何 配置跨租户访问设置。