Krok po kroku: konfiguracja Dostępu Warunkowego w Azure AD i Polityk Zgodności w Intune

Cześć! Dziś na warsztat bierzemy temat, który spędza sen z powiek wielu adminom, a jednocześnie jest jednym z najpotężniejszych narzędzi w arsenale Microsoftu do ochrony firmowych danych – Dostęp Warunkowy (Conditional Access) w Azure AD, w duecie z Intune. Pokażę Wam krok po kroku, jak zmusić użytkowników (wiem, wiem, znowu im coś utrudniamy 😉), aby do Waszych skarbów w Office 365 mogli dostać się tylko z urządzeń, które spełniają Wasze firmowe standardy bezpieczeństwa. Koniec z logowaniem z przypadkowych, niezabezpieczonych sprzętów! Zrobimy mały Fort Knox dla Waszych danych, ale bez potrzeby budowania fosy i zatrudniania smoków.

Co to jest ten cały Conditional Access i dlaczego warto?

Wyobraźcie sobie bramkarza na wejściu do ekskluzywnego klubu (Waszych danych firmowych). Conditional Access (CA) to właśnie taki inteligentny bramkarz. Zanim kogoś wpuści (udzieli dostępu), sprawdza nie tylko, czy osoba ma bilet (poprawne dane logowania), ale też czy spełnia dodatkowe warunki – np. czy przyszła odpowiednio ubrana (korzysta z zaufanego urządzenia), czy jest trzeźwa (urządzenie jest bezpieczne, zgodne z politykami), a może nawet sprawdza, skąd przyszła (lokalizacja sieciowa).

W naszym przypadku połączymy siły Azure AD (który zarządza tożsamością i logowaniem) z Intune (który wie wszystko o stanie zdrowia Waszych urządzeń – czy są zaszyfrowane, czy mają PIN, czy nie są czasem „zrootowane”). Dzięki temu możemy stworzyć regułę: „Drogi użytkowniku, chcesz dostać się do Outlooka, Teamsów czy SharePointa (Office 365)? Jasne, nie ma sprawy, ale tylko jeśli łączysz się z urządzenia, które Intune oznaczył jako 'zgodne’ (compliant)”. Proste i genialne, prawda?

Zanim zaczniemy – czego potrzebujesz?

Zanim wcielimy się w cyfrowych bramkarzy, upewnijmy się, że mamy odpowiednie narzędzia:

1. Licencje Azure AD Premium P1 lub P2: Conditional Access to funkcja premium. Bez tego ani rusz.
2. Licencje Microsoft Intune: potrzebne do zarządzania urządzeniami i definiowania, co znaczy „zgodne urządzenie”. Zwykle wchodzi w skład pakietów Microsoft 365 Business Premium, E3, E5 itp.
3. Urządzenia zarejestrowane/zarządzane w Intune: no bo skąd Intune ma wiedzieć, czy urządzenie jest zgodne, jeśli go nie widzi? 😉 Dotyczy to zarówno Windows, macOS, iOS, jak i Androida.
4. Grupy użytkowników/urządzeń w Azure AD: będziemy przypisywać polityki do konkretnych grup, więc warto je mieć przygotowane.

Masz wszystko? No to lecimy!

Krok 1: Ustawiamy poprzeczkę – Polityka Zgodności w Intune

Najpierw musimy nauczyć Intune, jak odróżnić urządzenie „grzeczne” (zgodne) od „niegrzecznego”. Robimy to za pomocą Polityk Zgodności (Compliance Policies).

1. Logujemy się do centrum administracyjnego Microsoft Intune (endpoint.microsoft.com). Stare dobre miejsce spotkań każdego admina M365.
2. W menu po lewej stronie wybieramy Urządzenia (Devices) -> Zasady zgodności (Compliance policies).
3. Klikamy Utwórz zasady (Create policy).
4. Wybieramy platformę, dla której tworzymy politykę (np. Android Enterprise, iOS/iPadOS, Windows 10 and later). Załóżmy, że zaczynamy od Androida dla profilu służbowego (Work Profile).



5. Podajemy nazwę dla naszej polityki, np. „Android – Podstawowa Zgodność Firmowa” i opcjonalnie opis. Klikamy Dalej (Next).



6. Teraz konfigurujemy ustawienia zgodności. to serce naszej polityki. Co możemy tu wymagać?
   • Kondycja urządzenia (Device Health): np. wymagaj, aby urządzenie nie było zrootowane.
   • Właściwości urządzenia (Device Properties): np. minimalna wersja systemu operacyjnego.
   • Zabezpieczenia systemu (System Security):
     • Wymagaj hasła do odblokowania urządzenia: absolutna podstawa!
     • Minimalna długość hasła, złożoność, itp.: ustawiamy wymagania dotyczące siły hasła.
     • Szyfrowanie magazynu danych na urządzeniu: kolejny must-have.
   • Przejrzyj dostępne opcje i wybierz te, które są dla Was kluczowe. Nie przesadź na początku, lepiej zacząć od podstaw i ewentualnie dokręcać śrubę.



7. Klikamy Dalej (Next).
8. W sekcji Akcje w przypadku niezgodności (Actions for noncompliance) możemy zdefiniować, co ma się stać, gdy urządzenie nie spełni wymagań. Domyślnie jest to Oznacz urządzenie jako niezgodne (Mark device noncompliant) – i to jest kluczowe dla Conditional Access. Możemy też dodać wysyłanie maila do użytkownika z instrukcją, jak naprawić sytuację. Ustawmy domyślną akcję (Oznacz jako niezgodne) od razu (0 dni opóźnienia). Klikamy Dalej (Next).



9. W sekcji Przypisania (Assignments) wybieramy grupę (lub grupy) użytkowników lub urządzeń, do których ta polityka ma być zastosowana. Ważne: Przypisz ją do tej samej grupy, którą później obejmiesz polityką Conditional Access. Klikamy Dalej (Next).



10. Przeglądamy ustawienia i jeśli wszystko gra, klikamy Utwórz (Create).

Brawo! Właśnie zdefiniowałeś, co znaczy „zgodne” urządzenie z Androidem w Twojej firmie. Powtórz ten proces dla innych platform (iOS, Windows, macOS), jeśli nimi zarządzasz.

Krok 2: Ustawiamy bramkę – Polityka Conditional Access w Azure AD

Teraz czas na pracę dla naszego bramkarza. Skonfigurujemy politykę Conditional Access w Azure AD, która będzie sprawdzać „wejściówki” od Intune.

1. Logujemy się do portalu Azure (portal.azure.com).
2. Wyszukujemy i przechodzimy do usługi Azure Active Directory / Microsoft Entra ID.
3. W menu Azure AD po lewej stronie wybieramy Zabezpieczenia (Security).



4. W sekcji Zabezpieczenia wybieramy Dostęp warunkowy (Conditional Access).



5. Klikamy Nowe zasady (New policy).



6. Nadajemy nazwę naszej polityce, np. „CA – Wymagaj zgodnego urządzenia dla O365”.
7. W sekcji Przypisania (Assignments) -> Użytkownicy i grupy (Users and groups):
   • Wybieramy, kogo ma dotyczyć polityka. Zazwyczaj wybieramy Określone grupy (Select users and groups)-> Użytkownicy i grupy (Users and groups) i wskazujemy tę samą grupę, do której przypisaliśmy politykę zgodności w Intune. Możemy też na początku wykluczyć np. grupę administratorów lub konto break-glass na wszelki wypadek.



8. W sekcji Aplikacje lub akcje w chmurze (Cloud apps or actions) / Target resources:
   • Wybieramy Wybierz aplikacje (Select apps).
   • Wyszukujemy i zaznaczamy Office 365. To obejmie większość popularnych usług jak Exchange Online, SharePoint Online, Teams itp.



9. W sekcji Warunki (Conditions) – tutaj możemy dodać dodatkowe warunki, np. dotyczące platformy urządzenia, lokalizacji itp. Na razie możemy zostawić domyślne, chyba że chcemy np. stosować tę politykę tylko dla urządzeń mobilnych.
10. W sekcji Kontrole dostępu (Access controls) -> Udziel (Grant):
    • Zaznaczamy Udziel dostępu (Grant access).
    • Wybieramy kluczową opcję: Wymagaj oznaczenia urządzenia jako zgodnego (Require device to be marked as compliant).
    • Upewniamy się, że dla wielu kontrolek (For multiple controls) wybrane jest „Wymagaj wszystkich wybranych kontrolek” (Require all the selected controls) – chociaż w tym przypadku mamy tylko jedną.
    • Klikamy Wybierz (Select).
11. Na samym dole, w sekcji Włącz zasady (Enable policy):
    • Gorąco polecam zacząć od trybu Tylko raporty (Report-only). Dzięki temu polityka będzie działać „na sucho” – będziesz widział w logach, kto by został zablokowany, ale realnie nikomu dostępu nie utniesz. To daje czas na weryfikację i komunikację z użytkownikami.
    • Gdy będziesz pewny, że wszystko działa jak należy, zmienisz status na Włączone (On).
12. Klikamy Utwórz (Create).

I voilà! Nasz inteligentny bramkarz został skonfigurowany. Teraz Azure AD przy każdej próbie dostępu do Office 365 przez użytkownika z przypisanej grupy sprawdzi w Intune, czy urządzenie, z którego się łączy, jest zgodne z polityką, którą ustawiliśmy w Kroku 1.

Krok 3: Wielki Test – czy bramkarz działa?

Teoria teorią, ale praktyka czyni mistrza (i pozwala uniknąć telefonów od wściekłych użytkowników o 7 rano). Czas przetestować nasze dzieło:

1. Test na urządzeniu zgodnym: weź urządzenie (np. smartfon), które jest zarejestrowane w Intune i spełnia wszystkie wymogi polityki zgodności (ma PIN, jest zaszyfrowane itp.). Spróbuj zalogować się na nim do aplikacji Office 365 (np. Outlook Mobile). Powinieneś uzyskać dostęp bez problemu.
2. Test na urządzeniu niezgodnym: teraz weź urządzenie, które nie spełnia wymagań (np. nie ma ustawionego PINu, jeśli go wymagałeś, albo jest zrootowane). Spróbuj zalogować się do tej samej aplikacji. Tym razem powinieneś zobaczyć komunikat informujący, że dostęp został zablokowany, ponieważ urządzenie nie spełnia wymagań organizacji. Zwykle pojawi się też link lub wskazówka, co zrobić, aby urządzenie stało się zgodne (np. „Ustaw kod PIN”, „Zainstaluj aktualizacje”).
3. Sprawdź logi (w trybie Report-only): jeśli ustawiłeś politykę w trybie „Tylko raporty”, sprawdź logi logowania w Azure AD (Azure AD -> Monitorowanie (Monitoring) -> Sign-in logs). Przy logowaniach, które byłyby zablokowane, zobaczysz odpowiedni status w zakładce „Report-only”.

Pamiętaj, że synchronizacja statusu zgodności między Intune a Azure AD może chwilę potrwać, więc daj systemowi kilka-kilkanaście minut po wprowadzeniu zmian lub naprawieniu niezgodności na urządzeniu.

Podsumowanie

Gratulacje! Właśnie wdrożyłeś jedno z fundamentalnych zabezpieczeń dostępu do danych w chmurze Microsoft. Wymaganie zgodnych urządzeń przez Conditional Access znacząco podnosi poziom bezpieczeństwa, ograniczając ryzyko wycieku danych z niezabezpieczonych lub skompromitowanych urządzeń.

Oczywiście, to tylko początek. Conditional Access oferuje znacznie więcej możliwości – możemy dodawać warunki oparte na lokalizacji, ryzyku logowania (wymaga P2), wymagać MFA i wiele innych. Ale ten pierwszy krok – powiązanie zgodności urządzenia z dostępem – jest kluczowy.

Pamiętajcie o komunikacji z użytkownikami przed włączeniem polityki w trybie „On”. Wyjaśnijcie im, dlaczego to robicie i co muszą zrobić, aby ich urządzenia były zgodne. Trochę prewencji oszczędzi Wam później sporo pracy przy helpdesku. 😉

Powodzenia we wdrażaniu i do następnego razu!