要限制对 Office 365 的访问以便只有受管 Windows 10 设备才能访问,请创建一个配置了“Windows 10 注册”设备类型的特定于应用程序的访问策略规则。这将允许未受管设备进行注册并成为受管设备。

您可以创建或更新使用 Windows 10 作为设备类型的第二个访问策略规则。该规则将配置为使用未配置回退的证书(云部署)方法进行身份验证。当用户尝试访问 Office 365 时,如果设备是未受管设备,则 Office 365 应用程序启动将失败,并将应用 Windows 10 注册规则来注册和管理设备。当用户尝试使用受管设备访问 Office 365 时,将根据第二个访问策略规则对用户进行身份验证。

前提条件

  • 已为 Office 365 配置主身份提供程序。主身份提供程序可以是 Workspace ONE Access、Okta 或 ADFS。如果 Okta 或 ADFS 是主身份提供程序,则必须将 Workspace ONE Access 配置为辅助身份提供程序。
  • 设备注册通过 Windows 10 开箱即用体验 (OOBE) 进行管理,或者在加入 Azure Active Directory 域时进行管理。
  • 已为身份提供程序配置并启用身份验证方法。
  • 已将 Office 365 应用程序添加到 Hub 目录。

过程

  1. Workspace ONE Access 控制台的资源 > 策略页面中,单击添加策略
  2. 在相应的文本框中添加策略名称和描述。
  3. 应用于部分中,选择需要受限访问权限的应用程序。
  4. 单击下一步
  5. 单击添加策略规则以添加规则。
    选项 描述
    如果用户的网络范围为 选择一个网络范围。
    并且用户访问内容来自 选择 Windows 10 注册作为设备类型。
    并且用户属于组 如果此访问规则将应用于特定组,请在搜索框中搜索组。

    如果未选择组,此访问策略规则将应用于所有用户。

    然后执行此操作 选择使用以下方法进行身份验证...
    则用户可以使用以下方法进行身份验证 选择要使用的身份验证方法。
    重要说明: 请不要使用“证书 (云部署)”。在注册设备之前,设备没有适当的证书。

    如果要求用户通过两种身份验证方法进行身份验证,请单击 +,并在相应的下拉菜单中选择第二种身份验证方法。

    如果之前的方法失败或不适用,则 根据需要,配置回退身份验证方法。
    在以下时间后重新进行身份验证 选择会话时长,用户在该时间之后必须重新进行身份验证。
  6. 单击保存

下一步做什么

现在,您可以更新为 Windows 10 设备类型配置的访问策略。选择的身份验证方法仍然是“证书 (云部署)”,但会移除已配置的任何回退身份验证方法。