新式安全现已超出组织的网络边界,其中涵盖了用户和设备标识。 在做出访问控制决策的过程中,组织现在会使用标识驱动的信号。 Microsoft Entra 条件访问统合信号,以做出决策并强制实施组织策略。 条件访问是Microsoft的零信任策略引擎,在执行策略决策时持续考虑来自各种来源的信号。
最简单地讲,条件访问策略是一些 if-then 语句:如果用户想要访问某个资源,则必须完成某个操作。 例如:如果用户想要访问应用程序或服务(如 Microsoft 365),则必须执行多重身份验证才能获取访问权限。
由于MG-Graph应用在中国区没有内置,我们需要先创建
选择Device.ReadWrite.All
选择权限后点击 “代表租户授予管理员同意”
授权完成
3. 在您的终端上powershell中生成证书,可根据您的情况填写
$Cert=New-SelfSignedCertificate -DnsNameps-graph-aad -CertStoreLocation "Cert:\CurrentUser\My" -FriendlyName "case9733Graph" -Subject "Test Cert for Microsoft Graph SDK"
Get-ChildItem "Cert:\CurrentUser\My\$($Cert.thumbprint)"
Get-ChildItem "Cert:\CurrentUser\My\$($Cert.thumbprint)" | Export-Certificate -FilePath C:\MicrosoftGraphSDK.cer
然后在您ps所在的电脑的c盘根目录找到该证书
C:\MicrosoftGraphSDK.cer
4. 上传该证书到刚才新建的app
5. 在终端安装PowerShell的Graph模块
安装命令
Install-Module Microsoft.Graph -Scope CurrentUser
用以下命令登录
Connect-MgGraph -ClientId "appid" -Environment China -TenantId "租户id" -CertificateThumbprint "证书指纹"
6. 用该iOS的设备信息来配置
可以看到该设备的Entra ID
在Azure门户可以用这个Entra ID来查到对象id
可以看到对象id,且这台设备的extensionAttribute为空
随后用如下命令配置extensionAttributes
$params = @{
"extensionAttributes" = @{
"extensionAttribute1" = "allowed" }
}
更新设备信息
Update-MgDevice -DeviceId 对象id -BodyParameter $params
更新设备信息
Update-MgDevice -DeviceId 对象id -BodyParameter $params
刷新Azure门户,可以看到 extensionAttributes:extensionAttribute1 = allowed 已经添加
随后用条件访问来阻止排除extensionAttribute1 = allowed的设备来访问
用Office 365(Outlook)测试
该iPhone上可以打开Outlook
同时另外一个iPhone 没有 extensionAttribute1 = allowed
访问Outlook显示被阻止
失败的登录可以看到被 该条件访问 jason-case0382阻止
