Aktualizovat
Pracovali jsme na zmírnění tohoto problému pro naše zákazníky a v naší platformě jsme se již vyvalili na změny. Můžete si všimnout, že zásady podmíněného přístupu pro iOS jsou nyní ctěny pro iPadOS, podobně jako chování před upgradem iPadOS.
Tímto aktualizovaným chováním lze rychle ověřit přístup k prostředkům z aplikace Safari na zařízení iPadOS, které je chráněno zásadami podmíněného přístupu. Pokud se zobrazí rozdíl v chování mezi prohlížeči Safari a aplikací Apple Native mail, požádejte uživatele, aby se odpodepsali od společnosti Apple Native mail a pak se znovu přihlaste.
Chcete-li tento proces automatizovat, nastavte dočasnou zásadu podmíněného přístupu pomocí ovládacího prvku relace přihlášení a potom nastavte dočasnou zásadu podmíněného přístupu, která se týká klientských aplikací označených jako "mobilní aplikace a klient pro stolní počítače". V této zásadě nastavte platformu zařízení na "macOS" a frekvenci přihlášení na 20 hodin.
Další informace o nastavení této zásady naleznete v dokumentaci Konfigurace správy relací ověřování s podmíněným přístupem.
Poznámka: Nastavení této zásady vyžaduje, aby byli uživatelé systému Apple Mail na iPadOS (dříve identifikovali jako zařízení Mac z důvodu moderního prohlížeče stolních počítačů v iPadOS), aby se po 20 hodinách podepsali. Poté, co se znovu přihlaste, bude v případě, že jste povolili ovládací prvek "vyžadovat schválenou klientskou aplikaci" nebo "vyžadovat" zásadu ochrany aplikace, blokováno přístupu k jakýmkoli zdrojům společnosti. Dočasné zásady podmíněného přístupu můžete zakázat nebo odstranit, aby se uživatelům nezobrazila výzva k přihlášení každých 20 hodin.
Shrnutí
Přehled o změně rozdělení
Společnost Apple vydala iPadOS (nový OS pro iPad) 30. září 2019. Před vydáním jsme zjistili, že toto vydání zavádí změnu, která by mohla ovlivnit zákazníky společnosti Microsoft Azure Active Directory (Azure AD) a Intune, kteří používají zásady podmíněného přístupu ve své organizaci. Tato poznámka vám pomůže porozumět narušení změny od společnosti Apple a vyhodnotit vliv na vaši organizaci. Toto oznámení také poskytuje doporučení společnosti Microsoft.
Všechny panely iPads, které se aktualizují na iOS 13 +, měly jejich operační systém aktualizovaný z iOS na iPadOS. Zatímco se iPadOS bude chovat podobně jako iOS, existují některé klíčové aplikace, které se chovají odlišně. Například prohlížeč Safari se bude prezentovat jako macOS, aby se ujistil, že uživatelé iPadOS mají plně zkušenosti s prohlížečem.
Pozor
Vzhledem k tomu, že zásady podmíněného přístupu jsou často uplatňovány na základě operačního systému nebo aplikace, může tato změna ovlivnit zabezpečení a shodu jakéhokoli zařízení iPad, které upgraduje na rozhraní iPadOS.
Aplikace, které mohou být ovlivněny změnou
Tato změna ovlivní aplikace, které používají podmíněný přístup, a které se označují jako aplikace macOS namísto aplikací iOS. Při kontrole zásad podmíněného přístupu byste se měli zaměřit na to, zda poskytnete různé možnosti aplikace mezi macOS a iOS. Dále doporučujeme zkontrolovat zásady podmíněného přístupu v Azure Azure AD, které používají ohrožené kategorie aplikací.
Tato změna ovlivňuje vynucení zásad podmíněného přístupu u zařízení iPad, která používají rozhraní iPadOS v následujících scénářích:
-
Přístup k webové aplikaci pomocí prohlížeče Safari
-
Přístup k nativní poště společnosti Apple
-
Nativní přístup k aplikaci používající řadič zobrazení Safari
V těchto případech aplikace Azure AD podmíněný přístup zpracuje jakoukoli žádost o přístup jako požadavek přístupu macOS.
Důležité
Je nezbytné, aby vaše organizace měla zásady podmíněného přístupu pro systém macOS . Neoprávnění pro systém macOS by mohlo pro dříve identifikované scénáře vyvolat podmínku otevřeného přístupu v prostředcích organizace.
Následující scénáře přístupu nemají žádný vliv :
-
Veškerý nativní přístup aplikací společnosti Microsoft (například Outlook, Word nebo okraj)
-
Přístup k webové aplikaci pomocí jiného prohlížeče než Safari (například Chrome)
-
Aplikace, které používají nástroj Intune App SDK/App, zalamování proověřovací knihovny iOS/Microsoft Identity Platform v 2.0 nebo v knihovnách ověřování v 1.0
Před přezkoumaly doporučení společnosti Microsoft zvažte následující scénáře, které by mohly být ovlivněny.
|
Scénář |
Výsledky |
|---|---|
|
Nastavili jste zásadu podmíněného přístupu, která "vyžaduje schválenou klientskou aplikaci" pro přístup k e-mailu na zařízení iOS, a nemáte žádné zásady nakonfigurované pro systém macOS. |
Po aktualizaci iPad pro rozhraní iPadOS nebudou pro ohrožené kategorie aplikací vynuceny schválené zásady aplikace pro klientskou aplikaci, jak je popsáno výše. |
|
Nastavili jste zásady podmíněného přístupu, které "vyžaduje vyhovující zařízení", aby bylo možné k přístupu k prostředkům společnosti použít zařízení iOS. Nenakonfigurováno jste však zásadu macOS. |
Po aktualizaci iPads na adresu iPadOS mohou uživatelé přistupovat k prostředkům společnosti pomocí aplikací v ohrožených kategoriích aplikací z nekompatibilních rozhraní iPads. |
|
Nastavili jste zásady podmíněného přístupu, které "vyžadují MFA" na zařízení iOS, aby bylo možné získat přístup k webům Office365, jako je například aplikace Outlook Web Access. Nebyla však nakonfigurována odpovídající zásada macOS. |
Po aktualizaci iPads na adresu iPadOS mohou uživatelé získat přístup k takovým webům Office365 pomocí aplikací z ohrožených kategorií aplikací, aniž by byli vyzváni k vícefaktorové autentizaci (MFA). |
|
Nastavili jste zásadu podmíněného přístupu, která "vyžaduje vyhovující zařízení" pro zařízení iOS a "vyžaduje MFA" pro zařízení macOS. |
Po aktualizaci iPads na adresu iPadOS mohou uživatelé přistupovat k prostředkům společnosti pomocí aplikací v ohrožených kategoriích aplikací z nekompatibilních rozhraní iPads. |
Jedná se pouze o příklady případů, kdy se zásady podmíněného přístupu pro systém iOS mohou lišit od zásad podmíněného přístupu pro macOS. Všechny takové případy byste měli určit v zásadách.
Doporučení společnosti Microsoft
Doporučujeme provést následující akce:
-
Vyhodnoťte, zda máte zásady Azure AD CA založené na prohlížeči pro iOS, které řídí přístup ze zařízení iPad. V takovém případě postupujte podle následujících kroků:
-
Vytvořte ekvivalentní zásadu přístupu k prohledávačem macOS Azure. Doporučujeme použít zásadu "vyžadovat zařízení kompatibilní". Tato zásada zahrne vaše zařízení iPad a Mac do společnosti Microsoft Intune (nebo do programu JAMF pro, pokud jste je vybrali jako nástroj pro správu macOS). Tato zásada také zajišťuje, že aplikace prohlížeče mají přístup pouze z kompatibilních zařízení (nejbezpečnější možnost). Bude také nutné vytvořit zásadu kompatibility zařízení Intune pro systém macOS.
-
V případě, že nemůžete "vyžadovat kompatibilní zařízení" pro macOS a iPadOS pro přístup k prohlížeči, ujistěte se, že "vyžadujete MFA" pro takový přístup.
-
-
Zjistěte, zda jsou pro zařízení iOS konfigurovány podmínky pro použití (souhlas s přístupem k zařízením) založená na zásadách podmíněného přístupu AD. Pokud tomu tak je, vytvořte ekvivalentní zásadu pro macOS.
Další informace získáte od oddělení podpory společnosti Microsoft.
