通过 Intune 使用条件访问的常见方式

2025-10-02

有两种类型的条件访问策略可通过 Intune 使用：基于设备的条件访问和基于应用的条件访问。若要支持每个策略，需要配置相关的 Intune 策略。当 Intune 策略已部署到位时，可以使用条件访问来允许或阻止访问Exchange、控制对网络的访问或与移动威胁防御解决方案集成。

本文中的信息有助于了解如何使用 Intune 移动设备符合性功能和 Intune 移动应用程序管理 (MAM) 功能。

注意

条件访问是Microsoft Entra ID P1 或 P2 许可证附带的Microsoft Entra功能。 Intune 通过向解决方案添加移动设备符合性和移动应用管理来增强此功能。从 Intune 访问的条件访问节点与从 Microsoft Entra ID 访问的节点相同。

基于设备的条件访问

Intune 和 Microsoft Entra ID 协同工作，确保只有托管且合规的设备可以访问组织的电子邮件、Microsoft 365 服务、软件即服务 (SaaS) 应用和本地应用。此外，可以在 Microsoft Entra ID 中设置策略，以仅允许在 Intune 中注册的已加入域的计算机或移动设备访问 Microsoft 365 服务。

通过 Intune，可以部署设备合规性策略，以确定设备是否满足预期的配置和安全要求。合规性策略评估确定设备的符合性状态，该状态将报告给 Intune 和 Microsoft Entra ID。条件访问策略在MICROSOFT ENTRA ID 中可以使用设备的符合性状态来决定是允许还是阻止从该设备访问组织的资源。

Exchange Online 和其他 Microsoft 365 产品的基于设备的条件访问策略通过 Microsoft Intune 管理中心进行配置。

详细了解要求在 Microsoft Entra ID 中具有条件访问的托管设备。
了解有关 Intune 设备符合性的详细信息。
详细了解支持使用Microsoft Entra ID 中的条件访问的浏览器。

注意

为用户在 Android 个人拥有的工作配置文件设备上从浏览器应用访问的内容启用基于设备的访问权限时，在 2021 年 1 月之前注册的用户必须启用浏览器访问，如下所示：

启动“公司门户”应用。
从菜单转到“设置”页面。
在“启用浏览器访问”部分，点击“启用”按钮。
关闭并重启浏览器应用。

这样可以在浏览器应用中进行访问，但不能访问在应用中打开的浏览器 WebView。

用于控制 Microsoft Intune 的条件访问中可用的应用程序

在 Microsoft Entra 管理中心配置条件访问时，有两个应用程序可供选择：

Microsoft Intune - 此应用程序控制对 Microsoft Intune 管理中心和数据源的访问。当你想要面向 intune 管理中心和数据源Microsoft时，请在此应用程序上配置授权/控制。
Microsoft Intune 注册 - 此应用程序控制注册工作流。如果要以注册过程为目标，请在此应用程序上配置授权/控制。有关详细信息，请参阅要求对 Intune 设备注册进行多重身份验证。

基于网络访问控制的条件访问

基于 Intune 注册和设备符合性状态，Intune 与 Cisco ISE、Aruba Clear Pass 以及 Citrix NetScaler 等合作伙伴集成，以提供访问控制。

根据用户使用的设备是否受管理以及是否符合 Intune 设备符合性策略，可以允许或拒绝他们访问企业 Wi-Fi 或 VPN 资源。

详细了解 NAC 与 Intune 的集成。

基于设备风险的条件访问

Intune 与移动威胁防护供应商合作提供安全性解决方案，以检测恶意软件、木马以及移动设备上的其他威胁。

Intune 和移动威胁防御集成的工作方式

在移动设备安装了移动威胁防御代理后，一旦发现移动设备自身存在威胁，代理即将符合性状态消息发送回 Intune 报告。

在基于设备风险的条件访问决策中，Intune 和移动威胁防御集成发挥着重要的作用。

了解 Intune 移动威胁防御的详细信息。

适用于 Windows 电脑的条件访问

适用于电脑的条件访问提供与移动设备可用的类似功能。让我们介绍一下使用 Intune 管理电脑时，你可以使用条件访问的方式。

公司拥有的设备

Microsoft Entra混合联接：此选项通常由对如何通过 AD 组策略或Configuration Manager管理电脑感到相当满意的组织使用。
Microsoft Entra域加入和 Intune 管理：此方案适用于希望成为云优先 (（主要使用云服务）的组织，目标是减少使用本地基础结构) 或仅限云 (无本地基础结构) 。 Microsoft Entra联接在混合环境中非常有效，允许访问云和本地应用和资源。设备加入Microsoft Entra ID 并注册到 Intune，在访问公司资源时，该 ID 可用作条件访问条件。

自带设备办公 (BYOD)

工作区加入和 Intune 管理：用户可加入其个人设备以访问公司资源和服务。你可以使用工作区将设备加入并注册到 Intune MDM 以接收设备级别的策略，这是评估条件访问标准的另一个选项。

详细了解Microsoft Entra ID 中的设备管理。

基于应用的条件访问

将 Intune 与 Microsoft Entra ID 配合使用，可确保只有托管应用才能访问企业电子邮件或其他 Microsoft 365 服务。详细了解使用 Intune 且基于应用的条件访问。

后续步骤

如何在Microsoft Entra ID 中配置条件访问

设置基于应用的条件访问策略

反馈

此页面是否有帮助？