Skapa en enhetsbaserad princip för villkorsstyrd åtkomst

Microsoft Intune principer för enhetsefterlevnad kan utvärdera statusen för hanterade enheter för att säkerställa att de uppfyller dina krav innan du ger dem åtkomst till organisationens appar och tjänster. Statusresultaten från dina principer för enhetsefterlevnad kan användas av Microsoft Entra principer för villkorsstyrd åtkomst för att framtvinga säkerhet och efterlevnadsstandarder. Den här kombinationen kallas enhetsbaserad villkorlig åtkomst.

Tips

Förutom enhetsbaserade principer för villkorsstyrd åtkomst kan du använda appbaserad villkorlig åtkomst med Intune.

Villkorlig åtkomst är en Microsoft Entra teknik. Den nod för villkorsstyrd åtkomst som du kommer åt från Microsoft Intune administrationscenter är samma nod som du kommer åt från Microsoft Entra ID, så du behöver inte växla mellan dem för att konfigurera principer.

Krav

Licenskrav

Innan du skapar en enhetsbaserad princip för villkorsstyrd åtkomst måste du ha en Microsoft Entra ID P1- eller P2-licens. Mer information finns i Microsoft Entra prissättning.

Rollkrav

Ditt konto måste ha någon av följande roller i Microsoft Entra:

  • Säkerhetsadministratör
  • Administratör för villkorsstyrd åtkomst

Viktigt

Innan du konfigurerar villkorlig åtkomst måste du konfigurera Intune principer för enhetsefterlevnad för att utvärdera enheter baserat på om de uppfyller specifika krav. Se Kom igång med principer för enhetsefterlevnad i Intune.

Så här fungerar det

Enhetsbaserad villkorlig åtkomst använder kompatibilitetsstatussignaler från Intune för att framtvinga åtkomstkontroller i Microsoft Entra ID. Konfigurationen omfattar två faser:

  • Fas 1 – Konfigurera principer för enhetsefterlevnad i Intune: Dessa principer utvärderar om hanterade enheter uppfyller dina säkerhetskrav. Intune rapporterar att efterlevnadsstatus till Microsoft Entra ID.

  • Fas 2 – Skapa en princip för villkorsstyrd åtkomst i Microsoft Entra: Principen använder efterlevnadssignalen från Intune. Den här artikeln visar hur du konfigurerar principen inifrån Microsoft Intune administrationscenter.

Skapa principen för villkorsstyrd åtkomst

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Slutpunktssäkerhet>Villkorlig åtkomst>Skapa ny princip.

    Fönstret Nytt öppnas, vilket är konfigurationsfönstret från Microsoft Entra. Principen du skapar är en Microsoft Entra princip för villkorsstyrd åtkomst. Mer information om det här fönstret och principer för villkorsstyrd åtkomst finns i Principkomponenter för villkorsstyrd åtkomst i Microsoft Entra innehåll.

  3. Under Tilldelningar konfigurerar du Användare och grupper för att välja Identiteter i den katalog som principen gäller för. Mer information finns i Användare och grupper i dokumentationen för Microsoft Entra.

    • På fliken Inkludera konfigurerar du den användare och de grupper som du vill inkludera.
    • Använd fliken Exkludera om det finns användare, roller eller grupper som du vill undanta från den här principen.

    Tips

    Testa principen mot en mindre grupp användare för att se till att den fungerar som förväntat innan du distribuerar den till större grupper.

  4. Konfigurera sedan Målresurser, som också finns under Tilldelningar. Använd listrutan för Välj vad den här principen gäller för för att välja Molnappar.

    • På fliken Inkludera använder du tillgängliga alternativ för att identifiera de appar och tjänster som du vill skydda med den här principen för villkorsstyrd åtkomst.

      Om du väljer Välj appar använder du det tillgängliga användargränssnittet för att välja appar och tjänster som ska skyddas med den här principen.

      Försiktighet

      Lås inte ute dig själv. Om du väljer Alla molnappar bör du granska varningen och sedan Undanta från den här principen ditt användarkonto eller andra relevanta användare och grupper som ska behålla åtkomsten för att använda Microsoft Entra administrationscenter eller Microsoft Intune administrationscenter när den här principen träder i kraft.

    • Använd fliken Exkludera om det finns några appar eller tjänster som du vill undanta från den här principen.

    Mer information finns i Molnappar eller åtgärder i Microsoft Entra-dokumentationen.

  5. Konfigurera sedan Villkor. Välj de signaler som du vill använda som villkor för den här principen. Alternativen är:

    • Användarrisk
    • Inloggningsrisk
    • Enhetsplattformar
    • Platser
    • Klientappar
    • Filtrera efter enheter

    Information om dessa alternativ finns i Villkor i Microsoft Entra-dokumentationen.

    Tips

    Om du vill skydda både moderna autentiseringsklienter och Exchange ActiveSync-klienter skapar du två separata principer för villkorsstyrd åtkomst, en för varje klienttyp. Även om Exchange ActiveSync stöder modern autentisering är plattform det enda villkor som stöds av Exchange ActiveSync. Andra villkor, inklusive multifaktorautentisering, stöds inte. För att effektivt skydda åtkomsten till Exchange Online från Exchange ActiveSync skapar du en princip för villkorsstyrd åtkomst som anger molnappen Microsoft 365 Exchange Online och klientappen Exchange ActiveSync med Tillämpa princip endast på plattformar som stöds valda.

  6. Under Åtkomstkontroller konfigurerar du Bevilja för att välja ett eller flera krav. Mer information om alternativen för Bevilja finns i Bevilja i Microsoft Entra-dokumentationen.

    Viktigt

    Om du vill att den här principen ska använda enhetsefterlevnadsstatus måste du för Bevilja åtkomst välja Kräv att enheten är markerad som kompatibel.

    • Blockera åtkomst: Nekar åtkomst till de angivna apparna eller tjänsterna.
    • Bevilja åtkomst: Beviljar åtkomst, men du kan kräva ett eller flera villkor. Om du vill använda enhetsefterlevnadsstatus från Intune väljer du Kräv att enheten är markerad som kompatibel.

  7. Under Aktivera princip väljer du . Principen är som standard inställd på Endast rapport.

  8. Välj Skapa.

Nästa steg

  • Last updated on