Beleid voor voorwaardelijke toegang in azure AD

In Azure AD gebruiken beleidsregels voor voorwaardelijke toegang nalevingsgegevens door Workspace ONE UEM te integreren met Microsoft. Klanten kunnen Workspace ONE UEM-apparaatgegevens gebruiken met Workspace ONE UEM-integratie met Microsoft, zoals de apparaatcompliancestatus in het Azure AD-beleid voor voorwaardelijke toegang. De integratie biedt deze mogelijkheid voor individuele Office 365-applicaties om verschillende beleidsregels voor voorwaardelijke toegang in te stellen. Platformhulp voor deze functie is beperkt tot apparaten met Windows 10 OOBE, iOS en Android.

Als het apparaat niet compatibel en onbeheerd is, kan de beheerder de toegang tot individuele Office 365-toepassingen beperken. Terwijl de beheerder bijvoorbeeld de toegang tot OneDrive beperkt tot alleen beheerde en compatibele apparaten, kan de beheerder ervoor kiezen om gebruikers toegang te geven tot Microsoft Word op elk apparaat.

Opmerking: Workspace One ondersteunt momenteel geen Government Cloud Computing (GCC), FedRamp Workspace ONE UEM-omgeving en GCC high Azure-omgeving.

Voorwaarden

  1. Ga naar Monitor, navigeer naar Intelligence, selecteer het selectievakje Opt-in en voltooi het proces. De beheerder heeft de VMware Workspace ONE Intelligence-licentie niet nodig om de integratie in te schakelen.
  2. De ETL-connector moet worden aangesloten op en geïnstalleerd op het dichtstbijzijnde Intelligence-datacenter, hoewel deze functie ook helpt voor de Workspace ONE UEM-omgeving op locatie.
    Opmerking: Het is belangrijk dat de beheerder het VMware Workspace ONE Intelligence-netwerk opent en een openbaar oplosbare URL voor de UEM-console maakt om de openbaar beschikbare console-URL via poort 443 te bereiken.
  3. Workspace ONE Intelligent Hub 20.3 of hoger.
  4. Zorg ervoor dat de beheerder Microsoft Authenticator installeert en registreert voor alle oudere iOS- en Android-apparaten.
  5. Alle Microsoft Authenticator, Android Enterprise-apparaten en alle toepassingen die voor voorwaardelijke toegang worden gebruikt, moeten als beheerde app naar het apparaat worden gepusht.
  6. De Microsoft Intune-licenties moeten worden toegewezen aan de gebruikers en een geldig abonnement op Microsoft Intune is vereist en wordt ondersteund door deze integratie.

 

waarschuwing

Onder de volgende omstandigheden kan de beheerder de integratie niet in- of uitschakelen:

  • Als de beheerder het partnercompliancebeheer verwijdert van de VMware Workspace ONE mobiele compliancepartner in Azure Active Directory.
  • Vanuit Azure Active Directory, als de beheerder de Workspace ONE Conditional Access-app verwijdert.

Voer het volgende uit als de beheerder de integratie wil uitschakelen:

  • Schakel in de Workspace ONE UEM Console de instellingen voor voorwaardelijke toegang uit.
  • Zoek in de Azure Active Directory naar de beveiligingsgroepen en verwijder deze handmatig uit de bestaande apparaatrecords.

Voer het volgende uit als de beheerder wijzigingen aanbrengt in de naleving van de Azure-apparaatpartner.

  • Om de meest recente informatie van de Azure-portal te synchroniseren, gaat u naar Groepen en instellingen, navigeert u naar Alle instellingen, klikt u op systeem, selecteert u Enterprise-integratie, gaat u naar Directoryservice en selecteert u Azure Services synchroniseren.

Procedure

  1. Meld u als beheerder aan bij de Azure-portal. Voeg voor de Android- en iOS-apparaattypen VMware Workspace ONE mobile compliance toe als apparaatpartner. Zie in de Microsoft Intune-documentatie ondersteuning van externe apparaatnalevingspartners voor meer informatie.
  2. Ga in de Workspace ONE UEM-console naar Groepen en instellingen, navigeer naar Alle instellingen, klik op Systeem, selecteer Enterprise-integratie en klik op Directoryservices.
  3. Voer in het tekstvak Directory-ID Azure Directory-ID in. Binnen de Azure AD Directory-instantie-URL wordt de Azure Directory-ID gevonden. Alleen de laatste sectie 0a12bc34-56d7-93f1-g2h3-i4-jk56lm78n is bijvoorbeeld uw directory-ID als de URL acme.com/WS/ADExt/Dir/0a12bc34-56d7-93f1-g2h3-i4-jk56lm78n is
    Opmerking: Momenteel ondersteunt Workspace One alleen het toewijzen van één Workspace ONE UEM Customer OG aan één Azure-tenant.
  4. Het gebruik van Azure AD is ingeschakeld voor naleving.
    Opmerking: alleen voor een klant-OG is deze instelling zichtbaar. Onderliggende OG's zijn niet zichtbaar in de gebruikersinterface, hoewel ze deze instelling overnemen.
    Voor het verifiëren van de Azure AD verschijnt een pop-upmenu dat de beheerder omleidt naar micro soft.
  5. Klik op Doorgaan. De beheerder wordt doorgestuurd naar een Microsoft-webpagina om uw vergunning te verifiëren en goed te keuren.
  6. De machtigingen worden geaccepteerd. De Workspace ONE-app voor voorwaardelijke toegang is beschikbaar in de Azure-portal zodra de machtigingen zijn geaccepteerd. De beheerder moet de AirWatch By VMware-toepassing handmatig toevoegen en configureren voor het Windows OOBE-apparaattype.
  7. Voltooi de integratie door naar de Workspace ONE UEM-console te gaan. Als de machtigingen zijn geaccepteerd, voert UEM een validatie uit. Er verschijnt een pop-upvenster. De volledige integratiestap wordt uitgeschakeld als de beheerder de in stap 6 vereiste machtigingen niet accepteert. De volledige integratiestap is na het voltooien van de stappen actief en als de beheerder de machtigingen in stap 6 heeft geaccepteerd, wordt een succesbericht weergegeven.
    Nadat de integratie is voltooid, wordt een succesbericht weergegeven. Navigeer naar Azure AD zodra de beheerder de integratie heeft voltooid om beleid voor voorwaardelijke toegang te configureren. Selecteer Aan om het gewenste beleid in te schakelen onder Beleid inschakelen.
    Opmerking: Alleen wanneer gebruikers proberen een applicatie uit te voeren waarop een AAD-beleid voor voorwaardelijke toegang is toegepast, worden ze geblokkeerd en omgeleid om hun voor Workspace ONE ingeschreven apparaten te registreren bij Intune en AAD. Gebruikers worden niet omgeleid via registratie door Azure AD-beleid voor voorwaardelijke toegang te configureren als alleen rapporteren.
  1. De knop Synchroniseren synchroniseert de informatie als er wijzigingen worden aangebracht op de pagina Apparaatpartner-compliance in Intune.
  2. De beheerder kan de gegevens opnieuw synchroniseren door op Opnieuw synchroniseren te klikken om de beheerstatus van het apparaat handmatig naar Azure en de nalevingsstatus van het apparaat te verzenden.
    Opmerking: Zodra de hersynchronisatie is voltooid, wordt deze de komende vier uur grijs weergegeven.
  3. Navigeer naar Azure AD om beleid voor voorwaardelijke toegang te configureren zodra de beheerder de migratie heeft voltooid. Selecteer Aan om het gewenste beleid in te schakelen onder Beleid inschakelen.

Auteur


Heb je vragen? Stel ze hier.

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Deze site gebruikt Akismet om spam te verminderen. Ontdek hoe uw reactiegegevens worden verwerkt.