在上
一篇文章中,我提到了向Intune Standalone的切换,这使我们可以更大程度地使用Azure Active Directory的功能,即与条件访问一起使用。 在此,我将向您详细介绍如何完成此操作。
这是什么
条件访问(CA)是一种机制,用于根据配置的脚本和确定对该连接进行处理的决定,检查连接到系统的每个过程。 可以禁止,无条件允许或有条件允许。 它是Azure AD的组件。
以下设置描述了此方案:
分配 -在什么情况下应该触发脚本。
访问控制 -怎么做。
作业部分包含:
-
用户和组 -哪些用户受该策略约束。 它可以是Azure AD中的所有用户,也可以是特定的组/用户。 另外,您可以指定例外。 您可以将策略应用于除单个组之外的所有用户。
-
云应用程序 -脚本可以应用于在Azure AD中注册的任何应用程序。 也就是说,您不仅限于仅使用Office 365应用程序。
-
条件 -其他条件。
-
登录风险 -使用授权风险评估机制的能力。 估计何时何地使用哪个客户端,这种行为通常多少,等等。 需要Azure AD Premium 2许可证。
-
设备平台 -可以指示该策略将适用于哪个平台。 例如,仅为移动客户端或仅为Windows计算机创建策略。
-
位置 -暗示网络位置。 您可以使用受信任的IP地址列表。
-
客户端应用(预览) -评估客户端的类型。 可以用来为仅浏览器或EAS(Exchange Active Sync)创建策略。 对于那些希望在移动设备上停止使用OWA,但保留台式计算机选项的用户。
-
设备状态(预览) -可以排除处于特定状态的设备。
接下来,您需要配置该策略将执行或需要执行的操作。
有两个部分:
授予 -在此处配置方案:阻止访问或需要其他安全措施。
会话 -会话本身中的控件。 目前,仅可用于Exchange Online和Sharepoint Online。 更多信息
在这里 。
现在让我们看一些用例。
方案1.仅在Intune管理的移动设备上开放对Azure AD应用程序的访问。假设我们需要限制对在Azure AD中注册的应用程序的访问,并且仅将其授予由Intune管理的设备。 并且这应该适用于所有设备。
我们选择将策略应用于所有用户。
接下来,选择所有应用程序。
重要说明: Azure管理门户(portal.azure.com)也被视为应用程序,因此请当心。 有一个故事-如果您为所有用户和所有阻止所有连接的应用程序创建一个策略,那么没有人会进入您的租户,即使Microsoft支持也无法帮助您。
现在,我们需要配置策略,仅在移动设备上使用。 为此,请转到设备平台,然后选择移动操作系统(iOS,Android,Windows Phone)。
我们已经选择了应用策略的所有必要条件,现在我们选择了允许连接的条件。 在这种情况下,必需的选项是要求设备遵守Intune中的安全策略(合规性策略)。 设备状态取自Intune。
创建并应用该策略后,拥有由Intune管理的设备的用户将继续使用这些应用程序。 使用未连接到Intune的设备的用户将看到一条消息,提示他们注册设备。
方案2.仅从公司计算机访问公司门户。您必须在Active Directory和Azure Active Directory之间配置同步。 因此,随着混合Azure AD的加入,来自AD的计算机将存在。 内部门户网站必须在Azure AD中注册。 您甚至可以配置SSO。
现在,由政策决定,该政策将适用于正确的用户,并且仅在连接到指定的门户网站/应用程序时才需要从Hybrid Joined设备进行连接。 使用IE和Edge,一切都将立即可用。 Chrome将需要扩展程序。
如果有什么问题?在某个时间点,您可能会发现以下情况:用户无法登录应用程序,并且您不太了解应为此归咎于哪个策略。
在这种情况下,Azure AD中的登录日志将有助于按策略实施状态进行筛选。
在每个事件的详细信息中,您可以查看哪个策略有效以及为什么。
结论条件访问使您可以灵活区分对应用程序和服务的访问。 可能有无限数量的条件和用例。 最好与Microsoft服务一起公开此服务。 例如,它可以与Azure应用程序代理集成,以限制对内部资源的访问或与端点保护集成,同时阻止对公司网络的访问。