Dalam
artikel sebelumnya
, saya menyebutkan beralih ke Intune Standalone, yang memungkinkan kami untuk menggunakan kemampuan Azure Active Directory secara lebih luas, yaitu, untuk bekerja dengan Akses Bersyarat. Dalam hal ini, saya akan memberi tahu Anda lebih banyak tentang bagaimana hal ini dapat dilakukan.
Apa ini
Akses Bersyarat (CA) adalah mekanisme untuk memeriksa setiap proses penyambungan ke sistem berdasarkan pada skrip yang dikonfigurasi dan keputusan yang menentukan apa yang harus dilakukan dengan koneksi ini. Dan itu bisa dilarang, diizinkan tanpa syarat atau diizinkan dengan ketentuan. Ini adalah komponen Azure AD.
Skenario ini dijelaskan oleh pengaturan berikut:
Tugas - dalam kasus apa skrip harus dipicu.
Kontrol akses - apa yang harus dilakukan.
Bagian
Penugasan berisi:
-
Pengguna dan grup - pengguna mana yang tunduk pada kebijakan. Itu bisa semua pengguna di Azure AD atau grup / pengguna tertentu. Secara terpisah, Anda dapat menentukan pengecualian. Anda dapat menerapkan kebijakan untuk semua pengguna kecuali satu grup.
-
Aplikasi Cloud - skrip dapat diterapkan ke aplikasi apa pun yang terdaftar di Azure AD. Artinya, Anda tidak terbatas hanya bekerja dengan aplikasi Office 365.
-
Ketentuan - ketentuan tambahan.
-
Risiko masuk - kemampuan untuk menggunakan mekanisme penilaian risiko otorisasi. Diperkirakan di mana, pada jam berapa, menggunakan klien mana, seberapa sering perilaku ini, dll. Membutuhkan Lisensi Azure AD Premium 2.
-
Platform perangkat - dimungkinkan untuk menunjukkan platform mana yang akan menerapkan kebijakan. Misalnya, membuat kebijakan hanya untuk klien seluler atau hanya untuk mesin Windows.
-
Lokasi - menyiratkan lokasi jaringan. Anda dapat menggunakan daftar alamat IP tepercaya.
-
Aplikasi klien (pratinjau) - mengevaluasi jenis klien. Dimungkinkan untuk menggunakan untuk membuat kebijakan hanya untuk browser atau EAS (Exchange Active Sync). Bagi mereka yang ingin menutup penggunaan OWA pada perangkat seluler, tetapi tinggalkan opsi untuk komputer desktop.
-
Status perangkat (pratinjau) - memungkinkan untuk mengecualikan perangkat dalam status tertentu.
Selanjutnya, Anda perlu mengonfigurasi apa yang akan dilakukan atau diminta kebijakan tersebut.
Ada dua bagian untuk ini:
Hibah - ini adalah tempat skenario dikonfigurasi: memblokir akses atau memerlukan langkah-langkah keamanan tambahan.
Sesi - kontrol dalam sesi itu sendiri. Untuk saat ini, penggunaan hanya dimungkinkan dengan Exchange Online dan Sharepoint Online. Informasi lebih lanjut di
sini .
Sekarang mari kita lihat beberapa use case.
Skenario 1. Buka akses ke aplikasi Azure AD hanya pada perangkat seluler yang dikelola oleh Intune.Katakanlah kita perlu membatasi akses ke aplikasi yang terdaftar di Azure AD dan hanya memberikannya ke perangkat yang dikelola oleh Intune. Dan ini harus berlaku untuk semua perangkat.
Kami memilih untuk menerapkan kebijakan untuk semua pengguna.
Selanjutnya, pilih semua aplikasi.
PENTING: Portal Manajemen Azure (portal.azure.com) juga dianggap sebagai aplikasi, jadi berhati-hatilah. Ada cerita - jika Anda membuat kebijakan untuk semua pengguna dan semua aplikasi yang akan memblokir koneksi apa pun, maka tidak ada yang akan masuk ke penyewa Anda dan bahkan dukungan Microsoft tidak akan membantu Anda.
Sekarang kita perlu mengkonfigurasi kebijakan, untuk digunakan hanya pada perangkat seluler. Untuk melakukan ini, buka Platform Perangkat dan pilih OS seluler (iOS, Android, Windows Phone).
Kami telah memilih semua kondisi yang diperlukan untuk menerapkan kebijakan, sekarang kami memilih kondisi untuk mengizinkan koneksi. Dalam hal ini, opsi yang diperlukan adalah persyaratan bagi perangkat untuk mematuhi kebijakan keamanan di Intune (Kebijakan Kepatuhan). Status perangkat diambil dari Intune.
Setelah membuat dan menerapkan kebijakan, pengguna dengan perangkat yang dikelola oleh Intune akan terus menggunakan aplikasi. Mereka yang menggunakan perangkat yang tidak terhubung ke Intune akan melihat pesan yang meminta mereka untuk mendaftarkan perangkat.
Skenario 2. Akses ke portal perusahaan hanya dari komputer perusahaan.Anda harus mengonfigurasi sinkronisasi antara Active Directory dan Azure Active Directory. Dengan demikian, komputer dari AD akan ada saat AD Hybrid Azure bergabung. Portal internal harus terdaftar dengan Azure AD. Anda bahkan dapat mengkonfigurasi SSO.
Sekarang tergantung pada kebijakan, yang akan diterapkan pada pengguna yang tepat dan hanya memerlukan koneksi dari perangkat yang tergabung Hibrid ketika terhubung ke portal / aplikasi yang ditentukan. Semuanya akan bekerja di luar kotak dengan IE dan Edge. Chrome akan membutuhkan ekstensi.
Dan jika ada yang rusak?Pada titik tertentu, Anda mungkin menemukan situasi di mana pengguna tidak dapat masuk ke aplikasi dan Anda tidak begitu memahami kebijakan mana yang harus disalahkan atas hal ini.
Dalam hal ini, Log masuk di Azure AD akan membantu penyaringan berdasarkan status penegakan kebijakan.
Di detail setiap acara, Anda dapat melihat kebijakan mana yang berhasil dan mengapa.
KesimpulanAkses Bersyarat memungkinkan Anda untuk secara fleksibel membedakan akses ke aplikasi dan layanan. Mungkin ada sejumlah kondisi dan kasus penggunaan yang tak terbatas. Layanan ini terbaik diungkapkan dengan layanan Microsoft. Misalnya, dapat diintegrasikan dengan Proxy Aplikasi Azure untuk membatasi akses ke sumber daya internal atau untuk mengintegrasikan dengan perlindungan titik akhir sambil memblokir akses ke jaringan perusahaan.