Table of contents
TOC
折叠目录
展开目录

计划本地基于设备的条件访问

Bill Mathers|上次更新日期: 2017/4/11
|
1 参与者

适用于: Windows Server 2016

本文介绍了基于位置的本地目录已连接到 Azure AD 使用 Azure AD 连接混合方案中设备条件访问策略。

广告金融服务和混合条件访问

广告 FS 提供在本地组成部分混合方案中的条件访问策略。 使用云资源的条件访问权 Azure AD 注册设备时,Azure AD 连接设备编写重新功能使设备注册信息可以在本地消耗和履行广告 FS 策略。 这样一来,你有一致的方法来为两者都上本地访问控制策略和云资源。

条件访问

已注册设备的类型

有三种类型的所有这些在 Azure AD 表现为设备对象,并且可用于与广告 FS 上本地条件访问还的已注册设备。

添加工作或学校帐户Azure AD 加入Windows 10 Domian 加入
描述用户添加他们的工作或学校帐户,到其 BYOD 设备交互。 注意:添加工作单位或学校帐户是用于工作区加入 Windows 8/8.1 更换用户到 Azure AD 加入他们的 Windows 10 工作设备。Azure AD 自动注册 Windows 10 已加入域的设备。
如何用户登录到设备Windows 的工作或学校帐户中没有日志。 使用 Microsoft 帐户登录。注册设备(工作或学校)帐户登录 Windows。使用 AD 帐户登录。
如何管理设备(与其他 Intune 注册)MDM 策略(与其他 Intune 注册)MDM 策略组策略,系统中心配置管理器 (SCCM)
Azure AD 信任类型加入工作区Azure AD 加入域加入
W10 设置位置设置 > 帐户 > 你的帐户 > 添加工作或学校帐户设置 > 系统 > 关于 > 加入 Azure AD设置 > 系统 > 关于 > 加入域
此外适用于 iOS 和 Android 的设备?是的

注册设备的其他方法的详细信息,请参阅:

Windows 10 用户和设备上的登录的不同于以前版本方式

适用于 Windows 10 和广告 FS 2016 有设备注册和身份验证的一些新方面你应该提前了解(尤其是非常熟悉设备注册和"加入工作区"在以前的版本)。

首先,在 Windows 10 和 Windows Server 2016 中的广告 FS,设备注册和身份验证不再基于单独提供 X509 证书用户。 没有新且功能更强大的协议,可提供更好的安全性和更加无缝的用户体验。 主要区别是,对于 Windows 10 域加入和 Azure AD 加入,都有提供 X509 证书计算机和新的凭据称为 prt 的参照。 你可以阅读有关它的所有信息此处此处

其次,Windows 10 和 FS 2016 广告支持使用适用于工作,可以阅读有关 Microsoft Passport 的用户身份验证此处此处

广告 FS 2016 提供无缝设备和用户 SSO 基于 prt 的参照和 Passport 的凭据。 使用本文档中的步骤,你可以启用这些功能,并查看它们工作。

设备访问控制策略

设备可以如使用简单的广告 FS 访问控制规则中:

  • 允许访问仅从已注册设备
  • 未注册设备时需要多因素身份验证

然后可以与其他因素的影响,如网络的访问权限位置和多因素身份验证,创建丰富的条件访问策略,如组合以下规则:

  • 公司的网络,除非的特定组或组成员外部访问来自未注册的设备需要多因素身份验证

与广告 FS 2016,这些可以配置策略专为需要以及级别特定设备信任: 任一验证管理,或兼容

有关详细信息配置广告 FS 访问控制策略,请参阅广告 FS 中的访问控制策略

身份验证的设备

身份验证的设备处于未注册 MDM(Intune 和第三方 MDMs 适用于 Windows 10,Intune 仅适用于 iOS 和 Android)中的已注册的设备。

身份验证的设备将具有isManaged广告 FS 声称值FALSE。 (而不根本注册的设备将缺少此声明。)身份验证的设备(以及所有已注册的设备)将具有 isKnown 广告 FS 声称值如此

管理的设备:

管理的设备是与的 mdm。注册的已注册的设备

托管的设备将具有 isManaged 广告 FS 声称值如此

(与 MDM 或组策略)兼容的设备

兼容的设备都不仅注册了 MDM 但符合 MDM 策略的已注册的设备。 (遵循信息发起 MDM 并到 Azure AD 写入。)

将在具有兼容设备isCompliant广告 FS 声称值如此

有关的完整列表的广告 FS 2016 设备和条件访问索赔,请参阅参考

参考

完整列表的新广告 FS 2016 和设备索赔

© 2017 Microsoft