Для ограничения доступа к Office 365, чтобы к этому приложению могли получать доступ только управляемые устройства Windows 10, создайте правило политики доступа к приложениям, настроенное на тип устройств «Регистрация Windows 10». Это даст возможность незарегистрированным устройствам зарегистрироваться и стать управляемыми устройствами.

Необходимо создать или обновить второе правило политики доступа, в котором Windows 10 является типом устройства. Правило настраивается для проверки подлинности с помощью метода «Сертификат (облачная среда)» без настроенного резервного метода. При попытке пользователей получить доступ к Office 365 с неуправляемого устройства запуск приложения Office 365 завершается сбоем и для регистрации и управления устройством применяется правило «Регистрация Windows 10». При попытке доступа к Office 365 с управляемого устройства выполняется проверка подлинности на основе второго правила политики доступа.

Необходимые условия

  • В Office 365 настроен основной поставщик удостоверений. Им может быть Workspace ONE Access, Okta или ADFS. Если основным поставщиком удостоверений является Okta или ADFS, то в качестве дополнительного необходимо указать Workspace ONE Access.
  • Регистрация устройств осуществляется с помощью окна приветствия системы (OOBE) Windows 10 или при присоединении к домену Active Directory Azure.
  • Для поставщика удостоверений настроены и включены методы проверки подлинности.
  • Приложение Office 365 добавлено в каталог Hub.

Процедура

  1. В консоли Workspace ONE Access на странице Ресурсы > Политики нажмите кнопку Добавить политику.
  2. Добавьте имя и описание политики в соответствующих текстовых полях.
  3. В разделе Распространяется на выберите приложения, для которых требуется ограниченный доступ.
  4. Нажмите кнопку Далее.
  5. Щелкните Добавить правило политики для добавления правила.
    Параметр Описание
    Если сетевой диапазон для пользователя составляет Выберите сетевой диапазон.
    и пользователи получают доступ к содержимому из В качестве типа устройства укажите параметр Регистрация Windows 10.
    и пользователи принадлежатк группам Если это правило доступа применяется к определенным группам, выберите группы в поле поиска.

    Если группа не указана, правило политики доступа применяется ко всем пользователям.

    Затем выполните следующее действие Выберите Проверка подлинности с помощью...
    затем пользователь может выполнить проверку подлинности с помощью Выберите метод проверки подлинности.
    Важно!: Не используйте метод «Сертификат (облачная среда)». До завершения регистрации устройств у них нет нужных сертификатов.

    Чтобы пользователи проходили проверку подлинности по двум методам, щелкните знак «+» и в раскрывающемся меню выберите второй метод проверки подлинности.

    Если предыдущий метод не выполняется или не применяется, то выполните следующие действия. При необходимости настройте резервный метод проверки подлинности.
    Выполните повторную проверку подлинности через Выберите продолжительность сеанса, после которого пользователи должны выполнять повторную проверку подлинности.
  6. Нажмите кнопку Сохранить.

Дальнейшие действия

Теперь можно обновить политику доступа, настроенную для типа устройства Windows 10. В качестве выбранного метода проверки подлинности по-прежнему останется «Сертификат (облачная среда)», но необходимо удалить все настроенные резервные методы проверки подлинности.