Планирование локального условного доступа на основе устройств

Планирование локального условного доступа на основе устройств

в этом документе описываются политики условного доступа на основе устройств в гибридном сценарии, где локальные каталоги подключены к Azure AD с помощью Azure AD Connect.

AD FS и гибридный условный доступ

AD FS реализует локальный компонент политик условного доступа в гибридном сценарии. когда вы регистрируете устройства в Azure AD для условного доступа к облачным ресурсам, функция обратной записи устройства Azure AD Connect предоставляет сведения о регистрации устройства в локальной среде для использования и применения политик AD FS. Таким образом, у вас есть единообразный подход к политикам управления доступом как к локальным, так и к облачным ресурсам.

Типы зарегистрированных устройств

Существует три типа зарегистрированных устройств, которые представляются как объекты устройств в Azure AD и могут использоваться для условного доступа с AD FS локально.

Описание Добавить рабочую или учебную учетную запись Присоединение к Azure AD присоединение к домену Windows 10 Описание Пользователи могут интерактивно добавлять свою рабочую или учебную учетную запись на устройство BYOD. Примечание. добавление рабочей или учебной учетной записи — это замена Workplace Join в Windows 8/8,1 пользователи присоединяются к Azure AD с Windows 10 рабочего устройства. Windows 10 присоединенные к домену устройства автоматически регистрируются в Azure AD. Как пользователи входят на устройство отсутствует вход в Windows в качестве рабочей или учебной учетной записи. Выполните вход с помощью учетная запись Майкрософт. войдите в Windows как учетную запись (рабочую или учебную), в которой зарегистрировано устройство. Войдите в систему, используя учетную запись AD. Управление устройствами Политики MDM (с дополнительной регистрацией в Intune) Политики MDM (с дополнительной регистрацией в Intune) Групповая политика, Configuration Manager Тип доверия Azure AD Присоединено к рабочему месту присоединение к Azure AD; Присоединен к домену расположение Параметры W10 >> учетная запись Параметры > учетной записи добавление рабочей или учебной учетной записи Параметры > система > о > присоединении Azure AD Параметры > система > о > подключении к домену Также доступно для устройств iOS и Android? Да Нет Нет

Дополнительные сведения о различных способах регистрации устройств см. также в следующих статьях:

как Windows 10 вход пользователей и устройств отличается от предыдущих версий

для Windows 10 и AD FS 2016 существуют некоторые новые аспекты регистрации устройств и проверки подлинности, о которых следует знать (особенно если вы знакомы с регистрацией устройств и "присоединение к рабочей области" в предыдущих выпусках).

во-первых, в Windows 10 и AD FS в Windows Server 2016 регистрация устройств и проверка подлинности больше не основываются исключительно на сертификате пользователя X509. Существует новый и более надежный протокол, обеспечивающий более высокую безопасность и удобство работы пользователей. основное отличие заключается в том, что для Windows 10 присоединение к домену и присоединение к Azure AD используется сертификат компьютера X509 и новые учетные данные, называемые PRT. Сведения о нем можно прочитать здесь и здесь.

во-вторых, Windows 10 и AD FS 2016 поддерживают проверку подлинности пользователей с помощью Windows Hello для бизнеса, которые можно прочитать здесь и здесь.

AD FS 2016 обеспечивает эффективное единый вход устройств и пользователей на основе учетных данных PRT и Passport. С помощью действий, описанных в этом документе, можно включить эти возможности и увидеть их работу.

Политики управления доступом к устройствам

Устройства можно использовать в простых AD FS правилах управления доступом, таких как:

  • Разрешить доступ только с зарегистрированного устройства
  • Требовать многофакторную проверку подлинности, если устройство не зарегистрировано

Затем эти правила можно сочетать с другими факторами, такими как расположение сетевого доступа и многофакторная проверка подлинности, создавая широкие политики условного доступа, такие как:

  • Требовать многофакторную проверку подлинности для незарегистрированных устройств, обращающихся извне корпоративной сети, за исключением членов определенной группы или групп

В AD FS 2016 эти политики могут быть настроены специально для того, чтобы требовать определенного уровня доверия устройства: с проверкой подлинности, управляемымили соответствующимобразом.

Дополнительные сведения о настройке политик управления доступом AD FS см. в разделе политики контроля доступа в AD FS.

Проверенные устройства

проверенные устройства — это зарегистрированные устройства, которые не зарегистрированы в MDM (intune и сторонние мдмс для Windows 10, intune только для iOS и Android).

Прошедшие проверку подлинности устройства будут иметь Неуправляемое AD FS утверждении со значением false. (В то время как устройства, которые не зарегистрированы вообще, это утверждение отсутствует.) Прошедшие проверку подлинности устройства (и все зарегистрированные устройства) будут иметь AD FS утверждению со значением true.

Управляемые устройства:

Управляемые устройства — это зарегистрированные устройства, регистрируемые в MDM.

На управляемых устройствах будет присвоено утверждение AD FS с помощью значения true.

Устройства, совместимые (с MDM или групповыми политиками)

Соответствующие устройства — это зарегистрированные устройства, которые не только зарегистрированы в MDM, но и соответствуют политикам MDM. (Сведения о соответствии исходят от MDM и записываются в Azure AD.)

Соответствующие требованиям устройства будут иметь AD FS утверждению со значением true.

Полный список утверждений для устройств AD FS 2016 и условного доступа см. в справочнике.

📎📎📎📎📎📎📎📎📎📎