概述
部署Microsoft Intune的组织可以使用从其设备返回的信息来识别符合合规性要求的设备,例如:
- 要求使用 PIN 来解锁
- 要求设备加密
- 要求操作系统版本有一个下限或上限
- 要求设备未越狱或取得 root 权限
策略合规信息将被发送到 Microsoft Entra ID,条件访问将决定是授予还是阻止对资源的访问权限。 有关设备合规性策略的详细信息,可参阅使用 Intune 在设备上设置规则以允许访问组织中的资源一文
要求 Microsoft Entra 混合联接的设备的前提是这些设备已经是 Microsoft Entra 混合联接的。 有关详细信息,请参阅文章 配置 Microsoft Entra 混合联接。
用户排除
条件访问策略是功能强大的工具。 建议从策略中排除以下帐户:
- “紧急访问”帐户或“应急”帐户,用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下,紧急访问管理帐户可用于登录和恢复访问权限。
-
服务账户 和 服务主体(如 Microsoft Entra Connect 同步账户)。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序,但它们也用于登录系统以实现管理目的。 服务主体发出的调用不会被针对用户的条件访问策略阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
- 如果你的组织在脚本或代码中使用这些帐户,请将这些帐户替换为 托管标识。
模板部署
组织可以按照下面所述的步骤或使用 条件访问模板部署此策略。
创建条件访问策略
创建条件访问策略的以下步骤可帮助您要求多重身份验证,或确保访问资源的设备标记为符合组织的 Intune 合规性策略,或者设备通过 Microsoft Entra 混合注册。
- 登录到 Azure 门户,并至少具有条件访问管理员的身份。
- 浏览到 Microsoft Entra ID>安全性>条件访问。
- 选择“创建新策略”。
- 为策略指定名称。 为策略的名称创建有意义的标准。
- 在“分配”下,选择“用户或工作负载标识”。
- 在“包括”下,选择“所有用户”。
- 在“排除”下:
- 选择 “用户和组”
- 选择组织的紧急访问或不受限帐户。
- 如果使用混合标识解决方案(如 Microsoft Entra Connect 或 Microsoft Entra Connect Cloud Sync),请选择 Directory 角色,然后选择 Directory Synchronization Accounts
- 选择 “用户和组”
- 在“目标资源”>“资源(以前为云应用)”>“包括”下,选择“所有资源(以前为‘所有云应用’)”。
- 如果必须将特定应用程序排除在策略之外,可以在“选择排除的云应用”下的“排除”选项卡中选择它们,然后选择“选择”。
- 在“访问控制”>“授予”下。
- 选择 要求多重身份验证、要求 Microsoft Entra 设备标记为合规,要求 Microsoft Entra 混合加入设备
- 对于多个控件,选择“需要某一已选控件”。
- 选择“选择”。
- 确认设置,然后将“启用策略”设置为“仅限报告”。
- 选择“ 创建 ”以启用策略。
确认设置后,使用策略影响或仅报告模式,将 “启用策略” 切换从 “仅报告” 到 “打开”。
注意
即使你按照前面的步骤为“所有用户”和“所有资源”(以前称为“所有云应用”)选择了“要求设备标记为合规”,你仍然可以将新设备注册到 Intune。 将设备标记为合规的控件不阻止 Intune 的注册和访问 Microsoft Intune 网络公司门户应用程序。
已知行为
在 iOS、Android、macOS 和一些非Microsoft Web 浏览器上,Microsoft Entra ID使用在设备注册Microsoft Entra ID时预配的客户端证书来标识设备。 用户首次通过浏览器登录时,系统会提示用户选择此证书。 最终用户必须选择此证书才能继续使用浏览器。
订阅激活
使用订阅激活功能使用户能够从一个版本的 Windows“升级”到另一个版本,并使用条件访问策略来控制访问时,需要在条件访问策略中通过选择排除的云应用来排除以下云应用之一:
通用应用商店服务 API 和 Web 应用程序,AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
Windows适用于企业的应用商店,AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
尽管这两个实例中的应用 ID 相同,但云应用的名称取决于租户。
当设备长时间处于脱机状态时,如果此条件访问排除未到位,则设备可能不会自动重新激活。 设置此条件访问排除项可确保订阅激活继续无缝工作。
从 Windows 11 版本 23H2 和 KB5034848 或更高版本开始,当订阅激活需要重新激活时,系统会提示用户使用 toast 通知进行身份验证。 Toast 通知显示以下消息:
帐户需要进行身份验证
请登录到工作或学校帐户来验证你的信息。
请登录到工作或学校帐户来验证你的信息。
当设备长时间处于离线状态时,通常会出现身份验证提示。 此更改消除了在使用 KB5034848 或更高版本的 Windows 11 版本 23H2 时在条件访问策略中设置排除的必要性。 如果不需要通过弹出通知对用户进行身份验证提示,则条件访问策略仍可与 Windows 11 版本 23H2 和 KB5034848 或更高版本一起使用。