Обновление
Мы работаем, чтобы смягчить эту проблему для наших клиентов, и мы были развертывание изменений в нашей платформе. Вы можете заметить, что ваши политики условного доступа для iOS теперь в настоящее время в честь iPadOS, подобно поведению до обновления iPadOS.
Быстрый способ проверить это обновленное поведение — получить доступ к ресурсам Safari на устройстве iPadOS, защищенном политиками условного доступа. Если вы видите разницу в поведении между Доступом Safari и Apple Native Mail, попросите пользователей выйти из Apple Native Mail, а затем войти снова.
Чтобы автоматизировать этот процесс, установите временную политику условного доступа, используя элемент управления сеансом "Вход ная" и установите временную политику условного доступа, которая применяется к приложениям клиента, которые идентифицируются как "Мобильные приложения и настольный клиент". В этой политике установите платформу устройства на "macOS" и частоту входе в систему до 20 часов.
Для получения дополнительной информации о том, как настроить эту политику, см.
Заметка Настройка этой политики требует, чтобы пользователи Apple Native Mail на iPadOS (ранее идентифицированном как mac-устройство из-за современного настольного браузера на iPadOS) входить в систему через 20 часов. После того, как они войдут снова, Apple Native Mail будет заблокирован атакжем доступа к любым ресурсам компании, если вы включили "Требуемое утвержденное клиентское приложение" или "Политику защиты приложений" Вы можете отключить или удалить временную политику условного доступа, чтобы не побуждать пользователей подписываться каждые 20 часов.
Аннотация
Обзор изменения
Apple выпустила iPadOS (новая ОС для iPad) 30 сентября 2019 года. Перед выпуском мы обнаружили, что в этом выпуске вводится изменение, которое может повлиять на Microsoft Azure Active Directory (Azure AD) и intune-клиентов, которые используют политики условного доступа в своей организации. Это уведомление призвано помочь вам понять, что происходит с Apple, и оценить влияние на вашу организацию. В этом уведомлении также содержатся рекомендации корпорации Майкрософт.
Все iPad, которые обновляются до iOS 13,5, обновляли ОС с iOS до iPadOS. В то время как iPadOS будет вести себя так же, как iOS, Есть некоторые ключевые приложения, которые ведут себя по-разному. Safari, например, представит себя как macOS, чтобы убедиться, что пользователи iPadOS имеют полный опыт работы браузера рабочего стола.
Осторожностью
Поскольку политики условного доступа часто применяются на основе ОС или приложения, это изменение может повлиять на вашу безопасность и соответствие любому устройству iPad, которое обновляется на iPadOS.
Приложения, которые могут быть затронуты нарушением изменения
Это изменение влияет на приложения, которые используют Условный доступ и которые идентифицируют себя как приложения macOS вместо приложений iOS. При рассмотрении политик условного доступа следует сосредоточиться на том, предоставляете ли вы другой опыт работы с приложением между macOS и iOS. Кроме того, мы рекомендуем просмотреть политики условного доступа в Azure Azure AD, которые используют затронутые категории приложений.
Нарушение изменений влияет на соблюдение политик условного доступа на устройствах iPad, которые работают под управлением iPadOS в следующих сценариях:
-
Доступ к веб-приложениям с помощью браузера Safari
-
Доступ к электронной почте Apple
-
Родной доступ к приложению, используюго контроллер просмотра Safari
В этих случаях Azure AD Conditional Access рассматривает любой запрос доступа как запрос доступа macOS.
Внимание!
Очень важно, чтобы ваша организация имеет политику условного доступа для macOS. Отсутствие политики для macOS может привести к состоянию открытого доступа в ресурсах организации для ранее идентифицированных сценариев.
Нет никакого эффекта в следующих сценариях доступа:
-
Все нативные приложения Майкрософт (например, Outlook, Word или Edge)
-
Доступ к веб-приложениям с помощью браузера, кроме Safari (например, Chrome)
-
Приложения, которые используют Intune App SDK/App обертывание инструмент для iOS/ Microsoft идентификационная платформа v2.0 библиотеки аутентификации или v1.0 библиотеки аутентификации
Прежде чем изучить рекомендации корпорации Майкрософт, рассмотрим следующие сценарии, которые могут быть затронуты.
|
Сценарий |
Результаты |
|---|---|
|
Вы создали политику условного доступа, которая "требует одобренного клиентского приложения" для доступа к электронной почте на устройстве iOS, и у вас нет политики, настроенной для macOS. |
После обновления iPad на iPadOS утвержденная политика клиентского приложения не будет применяться для затронутых категорий приложений, как описано ранее. |
|
Вы создали политику условного доступа, которая «требует совместимого устройства», чтобы использовать устройство iOS для доступа к ресурсам компании. Тем не менее, вы не настроили политику macOS. |
После обновления iPad до iPadOS пользователи могут получить доступ к ресурсам компании, используя приложения в затронутых категориях приложений из iPad, не соответствующих требованиям. |
|
Вы создали политику условного доступа, которая «требует МИДа» на устройстве iOS для доступа к веб-сайтам Office365, таким как Веб-доступ Outlook. Однако вы не настроили соответствующую политику macOS. |
После обновления iPad до iPadOS пользователи могут получить доступ к таким веб-сайтам Office365, используя приложения из затронутых категорий приложений без запроса на многофакторную аутентификацию (MFA). |
|
Вы создали политику условного доступа, которая "требует совместимого устройства" для устройств iOS и "требует МИДа" для устройств macOS. |
После обновления iPad до iPadOS пользователи могут получить доступ к ресурсам компании, используя приложения в затронутых категориях приложений из iPad, не соответствующих требованиям. |
Это лишь некоторые примеры случаев, когда политика условного доступа для iOS может отличаться от политики условного доступа для macOS. Вы должны определить все такие случаи в вашей политике.
Рекомендации майкрософт
Мы рекомендуем вам предпринять следующие действия:
-
Оцените, есть ли у вас политики Azure AD CA для iOS, которые регулируют доступ с устройств iPad. Если вы делаете, выполните следующие шаги:
-
Создайте эквивалентную политику доступа к браузеру macOS Azure AD. Мы рекомендуем использовать политику «требуя совместимого устройства». Эта политика регистрирует ваши устройства iPad и Mac в Microsoft Intune (или JAMF Pro, если вы выбрали это в качестве инструмента управления macOS). Эта политика также гарантирует, что приложения браузера имеют доступ только с совместимых устройств (наиболее безопасный вариант). Вам также придется создать политику соответствия требованиям устройства Intune для macOS.
-
В случае, если вы не можете "требовать совместимого устройства" для macOS и iPadOS для доступа к браузеру, убедитесь, что вы "требуете МИД" для такого доступа.
-
-
Определите, настроена ли политика условия использования (согласия на устройство) на основе Azure AD Conditional Access для iOS. Если это так, создайте эквивалентную политику для macOS.
Для получения дополнительной информации обратитесь в службу поддержки майкрософт.
