Update
A Microsoft tenha estado a trabalhar para atenuar este problema para os nossos clientes e vamos ter sido graduais alterações a nossa plataforma. Poderá notar que as políticas de acesso condicional para iOS são agora a ser respeitadas para iPadOS, semelhante ao comportamento antes dos iPadOS a actualização.
É uma forma rápida de verificar este comportamento actualizado aceder a recursos do Safari num dispositivo iPadOS que está protegido pelas políticas de acesso condicional. Se vir uma diferença de comportamento entre o access Safari e Apple Mail nativo, pedir aos utilizadores que terminar sessão no Apple Mail nativo e, em seguida, iniciar sessão novamente.
Para automatizar este processo, defina uma política de acesso condicional temporária utilizando o controlo de sessão de "início de sessão de frequência" e, em seguida, defina uma política de acesso condicional temporária que se aplica a aplicações de cliente que são identificadas como "aplicações móveis e o cliente de ambiente de trabalho." Esta política, defina a plataforma de dispositivo para "macOS" e a frequência de início de sessão a 20 horas.
Para mais informações sobre como definir esta política, consulte a documentação Configurar gestão de sessões de autenticação com acesso condicional.
Nota Definir esta política requer que os utilizadores de Apple Mail nativo em iPadOS (previamente identificado como um dispositivo de mac devido o browser de ambiente de trabalho moderno no iPadOS) para iniciar sessão dentro de 20 horas. Depois de se iniciar sessão novamente, Apple Mail nativo será bloqueado de aceder a quaisquer recursos de empresa, se tiver activado "Requerer a aplicação de cliente aprovado" ou "Requerer de política de protecção da aplicação" conceder o controlo. Pode desactivar ou eliminar a política de acesso condicional temporária para evitar pedir aos utilizadores para iniciar sessão em 20 horas.
Resumo
Descrição geral das alterações de última hora
Apple lançou iPadOS (SO novo para iPad) em 30 de Setembro de Maio de 2019. Antes do lançamento, a Microsoft descobriu que esta versão introduz uma alteração que poderia afectar Microsoft Azure Active Directory (Azure AD) e Intune os clientes que utilizam as políticas de acesso condicional na sua organização. Este aviso destina-se para o ajudar a compreender a alteração de ruptura da Apple e avaliar os efeitos sobre a organização. Este anúncio fornece também recomendações da Microsoft.
Todos os iPads que actualize para iOS 13 + tinha o seu SO actualizado do iOS para iPadOS. Enquanto o iPadOS funcionarão da mesma forma para iOS, existem algumas aplicações de chaves que têm um comportamento diferente. Safari, por exemplo, apresenta-se como detectar macOS para se certificar de que os utilizadores de iPadOS têm um browser de ambiente de trabalho completo.
Atenção
Uma vez que as políticas de acesso condicional são muitas vezes aplicadas numa base SO específicos ou a aplicação, que esta alteração pode afectar a segurança e a conformidade de qualquer dispositivo iPad que actualiza para o iPadOS.
Aplicações que possam ser afectadas pela alteração de última hora
Esta alteração afecta aplicações que utilizam o acesso condicional e que se identifiquem como macOS apps em vez de aplicações do iOS. Ao rever as políticas de acesso condicional, deve focar se fornecer uma experiência de aplicação diferentes entre macOS e iOS. Além disso, recomendamos que reveja as políticas de acesso condicional em Azure Azure AD que utilizam as categorias de aplicação afectada.
A alteração de última hora afecta a aplicação das suas políticas de acesso condicional em dispositivos iPad que estiverem a executar o iPadOS nos seguintes cenários:
-
Acesso de aplicações Web utilizando o Safari browser
-
Acesso de Apple Mail nativo
-
Acesso de aplicação nativo que utiliza o controlador de vista do Safari
Nestes casos, o acesso Azure AD condicional trata qualquer pedido de acesso como um pedido de acesso macOS.
Importante
É essencial que a organização tem uma política de acesso condicional para macOS . Não tenham uma política para macOS poderia provocar uma condição de Abrir o acesso em recursos da organização para os cenários anteriormente identificados.
Não existe nenhum efeito para os seguintes cenários de acesso:
-
Todos os acessos de aplicação nativo do Microsoft (por exemplo, Outlook, o Word ou o limite)
-
Acesso de aplicação da Web utilizando um browser diferente do Safari (por exemplo, o cromado)
-
Aplicações que utilizam o SDK de aplicações de Intune/App moldagem ferramenta para iOS/Microsoft identidade plataforma v 2.0 bibliotecas de autenticação ou bibliotecas de autenticação de v 1.0
Antes de examinar as recomendações pela Microsoft, considere os seguintes cenários que podem ser afectados.
|
Cenário |
Resultados |
|---|---|
|
Definiu uma política de acesso condicional "requer uma aplicação de cliente aprovado" para o acesso ao correio electrónico num dispositivo iOS e não tiver nenhuma política configurada para macOS. |
Depois de actualiza iPad para iPadOS, a política de aplicação de cliente aprovado não será aplicada para as categorias de aplicação afectado, tal como descrito anteriormente. |
|
Definiu uma política de acesso condicional "requer um dispositivo compatível com" para utilizar um dispositivo de iOS para aceder a recursos de empresa. No entanto, não tiver configurado uma política macOS. |
Depois de actualizar os iPads para iPadOS, os utilizadores podem aceder a recursos da empresa através da utilização de aplicações nas categorias de iPads não é compatível com aplicações afectadas. |
|
Configurou uma política de acesso condicional "requer AMF" num dispositivo iOS para aceder a Web sites do Office 365, tais como o Outlook Web Access. No entanto, não tiver configurado uma política macOS correspondente. |
Depois de actualizar os iPads para iPadOS, os utilizadores podem aceder esses Web sites Office 365 através da utilização de aplicações a categorias de aplicação afectado sem ser avisado para autenticação multi-factores (AMF). |
|
Definiu uma política de acesso condicional "requer um dispositivo compatível com" para os dispositivos de iOS e "requer AMF" para macOS dispositivos. |
Depois de actualizar os iPads para iPadOS, os utilizadores podem aceder a recursos da empresa através da utilização de aplicações nas categorias de iPads não é compatível com aplicações afectadas. |
Estes são apenas alguns exemplos de casos em que a política de acesso condicional para iOS poderão diferir da política de acesso condicional para macOS. Deve identificar todos esses casos na política.
Recomendações da Microsoft
Recomendamos que tome as seguintes acções:
-
Avaliar se tiver baseado no browser Azure políticas da AC do AD para iOS que regem o acesso a partir de dispositivos de iPad. Se o fizer, siga estes passos:
-
Crie um macOS equivalente a política de acesso de browser de Azure AD. Recomendamos que utilize a política "requerer um dispositivo compatível com". Esta política inscreve o iPad e os dispositivos de Mac em Microsoft Intune (ou JAMF Pro, se tiver seleccionado que como a ferramenta de gestão macOS). Esta política também certifica-se de que as aplicações de browser têm acesso apenas a partir de dispositivos compatíveis com (opção mais segura). Também terá de criar uma política de conformidade do dispositivo de Intune para macOS.
-
No caso de não é possível "necessitar de um dispositivo compatível com" para macOS e iPadOS para o acesso de browser, que nsure for "exigir AMF" para esse acesso.
-
-
Determinar se um termos de utilização (consentimento por dispositivo)-baseada em política de acesso Azure AD condicional é configurada para iOS. Se for, crie uma política equivalente para macOS.
Para mais informações, contacte o Suporte técnico da Microsoft.
