创建基于设备的条件访问策略

Microsoft Intune设备符合性策略可以评估托管设备的状态，以确保它们满足你的要求，然后再向你授予它们访问组织的应用和服务的权限。 设备符合性策略的状态结果可以通过Microsoft Entra条件访问策略来强制实施安全性和合规性标准。 此组合称为基于设备的条件访问。

条件访问是一种Microsoft Entra技术。 从 Microsoft Intune 管理中心访问的条件访问节点与从 Microsoft Entra ID 访问的节点相同，因此无需在它们之间切换来配置策略。

要求

工作原理

基于设备的条件访问使用来自Intune的符合性状态信号在Microsoft Entra ID中强制实施访问控制。 配置涉及两个阶段：

• 阶段 1 - 在 Intune 中配置设备符合性策略：这些策略评估托管设备是否满足安全要求。 Intune向Microsoft Entra ID报告符合性状态。

• 阶段 2 - 在 Microsoft Entra 中创建条件访问策略：该策略使用来自 Intune 的符合性信号。 本文介绍如何在Microsoft Intune管理中心内配置策略。

创建条件访问策略

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “终结点安全性>条件访问>”“创建新策略”。

   此时会打开“新建”窗格，这是Microsoft Entra的配置窗格。 要创建的策略是条件访问的Microsoft Entra策略。 若要详细了解此窗格和条件访问策略，请参阅Microsoft Entra内容中的条件访问策略组件。

3. 在 “分配”下，将 “用户和组 ”配置为在应用策略的目录中选择“标识”。 若要了解详细信息，请参阅Microsoft Entra文档中的用户和组。

   • 在“包含”选项卡上，配置要包括的用户和组。
   • 如果要从此策略中排除任何用户、角色或组，请使用“排除”选项卡。

   提示

   针对较小的用户组测试策略，以确保在将策略部署到较大的组之前按预期工作。

4. 接下来配置 “目标资源”，该资源也位于 “分配”下。 使用 “选择应用此策略的内容” 下拉列表选择“ 云应用”。

   • 在“ 包括 ”选项卡上，使用可用选项标识要使用此条件访问策略保护的应用和服务。

     如果选择 “选择应用”，请使用可用的 UI 选择要使用此策略进行保护的应用和服务。

     警告

     不要把自己锁在外。如果选择“所有云应用”，请务必查看警告，然后在此策略生效后，从此策略中排除你的用户帐户或其他应保留访问权限以使用Microsoft Entra 管理中心或Microsoft Intune管理中心的相关用户和组。

   • 如果希望从该策略中排除任何应用或服务，请使用“排除”选项卡。

   有关详细信息，请参阅 Microsoft Entra 文档中的云应用或操作。

5. 接下来，配置“条件”。 选择要用作此策略的条件的信号。 选项包括：

   • 用户风险
   • 登录风险
   • 设备平台
   • 位置
   • 客户端应用
   • 设备筛选器

   有关这些选项的信息，请参阅Microsoft Entra文档中的条件。

   提示

   如果希望同时保护“新式身份验证”客户端和“Exchange ActiveSync”客户端，请创建两个单独的条件访问策略，分别针对每种客户端类型。 虽然 Exchange ActiveSync 支持新式身份验证，但 Exchange ActiveSync 支持的惟一条件是平台。 不支持其他条件，包括多重身份验证。 为有效防止从 Exchange ActiveSync 访问 Exchange Online，请创建指定云应用 Microsoft 365 Exchange Online 和客户端应用 Exchange ActiveSync 的条件访问策略，同时仅将策略应用于所选的支持平台。

6. 在 “访问控制”下，将 “授予” 配置为选择一个或多个要求。 若要了解 Grant 的选项，请参阅Microsoft Entra文档中的 Grant。

   重要

   若要使此策略使用设备符合性状态，对于 “授予访问权限 ”，必须选择“ 要求设备标记为合规”。

   • 阻止访问：拒绝访问指定的应用或服务。
   • 授予访问权限：授予访问权限，但可能需要一个或多个条件。 若要使用Intune的设备符合性状态，请选择“要求设备标记为合规”。

7. 在“启用策略”下，选择“开启”。 默认情况下，策略设置为“仅报告”。

8. 选择“创建”。

后续步骤

• 基于应用的 Intune 条件访问
• 对 Intune 条件访问进行故障排除