Table of contents
TOC
摺疊目錄
展開目錄

計畫裝置為基礎的條件存取先

Bill Mathers|上次更新日期: 2017/4/11
|
1 投稿人

適用於︰ Windows Server 2016

本文件告訴您裝置上場所目錄位置 Azure AD 使用 Azure AD 連接到連接混合案例中為基礎的條件存取原則。

廣告 FS 和混合條件存取

廣告 FS 提供條件存取原則混合案例中的上場所元件。 當您暫存裝置器與條件存取雲端資源 Azure AD 時,Azure AD 連接裝置撰寫回項功能可以讓裝置註冊資訊可在場所廣告 FS 原則使用來執行。 如此一來,您可以存取控制原則場所在兩個和雲端資源一致的方式。

條件存取

且裝置類型

有三種且裝置全部都以在 Azure AD 裝置物件,也可以用條件與廣告 FS 場所上的存取。

新增工作或學校以來Azure AD 加入Windows 10 Domian 加入
描述使用者加入他們的作品或學校帳號他們 BYOD 裝置互動。 注意︰新增工作或學校以來會取代工作地點加入 Windows 8/8.1使用者加入 Azure AD 的 Windows 10 裝置的工作。使用 Azure AD 自動暫存器加入網域的 Windows 10 裝置。
如何使用者登入的裝置Windows 即公司或學校帳號未登入。 登入 Microsoft account。(公司或學校)帳號登錄裝置的登入 Windows。登入廣告以來。
如何管理裝置(使用其他 Intune 註冊)MDM 原則(使用其他 Intune 註冊)MDM 原則群組原則、System Center Configuration 管理員 (SCCM)
Azure AD 信任類型加入的地點加入 azure AD加入網域
W10 設定的位置設定 > 帳號 > 帳號 > 新增帳號公司或學校設定 > 系統 > 有關 > 加入 Azure AD設定 > 系統 > 有關 > 加入網域
也適用於 iOS 和 Android 的裝置?[是]否]否]

適用於要裝置的不同方式的詳細資訊,請查看也︰

Windows 10 的使用者及裝置登入是與之前版本不同方式

適用於 Windows 10 和「廣告 FS 2016 有一些新的裝置登錄與驗證您必須知道(尤其是您熟悉非常裝置登錄與「工作地點加入」中先前發行的版本)。

首先,在 Windows 10 和 Windows Server 2016 的廣告 FS,裝置登錄與驗證不會完全根據 X509 使用者憑證。 還有新及更穩定的通訊協定,可提供更佳的安全性,更順暢的使用者體驗。 主要的不同是,適用於 Windows 10 網域加入 Azure AD 加入,已 X509 電腦憑證和新的認證稱為 PRT。 您可以朗讀關於一切以下以下

Windows 10 和「廣告 FS 2016 第二,支援的工作,您可以了解使用 Microsoft 護照使用者驗證以下以下

廣告 FS 2016 提供順暢的裝置」和「使用者 SSO 根據 PRT 和護照憑證。 您可以使用本文件中的步驟執行,讓這些功能並看到它們運作。

裝置存取控制原則

裝置可用於簡單廣告 FS 存取控制規則如︰

  • 可讓存取只從且裝置
  • 當裝置不係需要多重要素驗證

可以使用其他因素而有所不同,例如網路存取位置和多重要素驗證,建立像是豐富的條件存取原則結合這些規則︰

  • 適用於存取來自以外的企業網路,除了的特定群組成員解除裝置需要多重要素驗證

與廣告 FS 2016,可以這些原則設定專為需要特定裝置信任層級: [已驗證管理,或相容

如需有關設定廣告 FS 存取控制原則、查看存取控制原則中廣告 FS

已驗證的裝置

已驗證的裝置會不會參與 MDM(Intune 和 3 廠商 MDMs 適用於 Windows 10 中,Intune 僅適用於 iOS 和 Android)的且的裝置。

已驗證的裝置將會有isManaged廣告 FS 宣告值FALSE。 (而不會完全登錄的裝置將缺少這個理賠要求。)已驗證的裝置(和所有且的裝置)將會有 isKnown 廣告 FS 宣告值

管理的裝置︰

管理的裝置是且註冊 MDM.使用的裝置

管理的裝置將會有 isManaged 廣告 FS 宣告值

裝置符合(MDM 或群組原則中)

相容的裝置是且不只註冊 MDM 與但 MDM 原則相容的裝置。 (相容性資訊來自 MDM 和寫入 Azure AD。)

相容的裝置將會有isCompliant廣告 FS 宣告值

適用於廣告 FS 2016 裝置和條件存取宣告的完整清單,請查看參考

參考

新的廣告 FS 2016 與裝置索賠的完整清單

© 2017 Microsoft