Azure AD混合部署,通过 Intune 管理设备,实现条件访问
需求:
公司要求,非公司设备不允许使用 邮箱,Teams等O365服务。 我们可以通过 Intune 中的 "条件访问" 解决这个问题。
一、设备同步到 AAD
1、配置 AAD Connect
2、选择
3、下一步
4、配置本地 企业管理员
5、配置成功
二、设备同步到 Intune
1、创建一条组策略
使用 组策略 自动注册 Windows 设备 - Windows Client Management | Microsoft Learn
2、设置
(1)计算机配置 → 管理模板 → Windows 组件 → MDM → 使用默认 Azure AD 凭据启用自动 MDM 注册
(2)计算机配置 → 管理模板 → Windows 组件 → Device Registration → 注册将已加入域的计算机注册为设备
3、客户端刷新组策略重启,打开 PowerShell 运行 dsregcmd /status
# 查看 AzureAdJoined, AzureAdPrt的值,为YES表示成功
PS C:\Users\lishi> dsregcmd /status
+----------------------------------------------------------------------+
| Device State |
+----------------------------------------------------------------------+
AzureAdJoined : YES
EnterpriseJoined : NO
DomainJoined : YES
DomainName : MSH
Device Name : LISHI-PC.msh.local
+----------------------------------------------------------------------+
| SSO State |
+----------------------------------------------------------------------+
AzureAdPrt : YES
AzureAdPrtUpdateTime : 2023-09-27 01:32:20.000 UTC
AzureAdPrtExpiryTime : 2023-10-11 01:32:19.000 UTC
AzureAdPrtAuthority : https://login.microsoftonline.com/215d9d2a-7221-454d-b2df-54daf5ddf218
EnterprisePrt : NO
EnterprisePrtAuthority :
OnPremTgt : NO
CloudTgt : YES
KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:33424、进入AAD查看,我们发现设备已同步过来
5、进入 Intune 中查看
三、创建条件访问
1、创建一条策略
2、选择用户
3、 目标资源
4、条件
5、授权,要求已经加入 Intune 的电脑才有权限
6、验证
