所需操作：评估和更新条件访问策略，为 iPadOS 发布做准备

重大变更的概述

所有更新到 iOS 13+ 的 iPad 都会将其操作系统从 iOS 更新为 iPadOS。 虽然 iPadOS 的行为与 iOS 相似，但有些关键应用的行为不同。 例如，Safari 将以 macOS 的形式呈现，以确保 iPadOS 用户拥有完整的桌面浏览器体验。

可能受重大更改影响的应用

此更改会影响使用“条件访问”的应用，且它们标识为 macOS 应用而不是 iOS 应用。 在查看“条件访问”策略时，需要关注的是，你是否在 macOS 和 iOS 之间提供了不同的应用体验。 此外，你还需要查看 Azure AD 中使用受影响的应用类别的“条件访问”策略。

在以下情况下，重大更改会影响你在运行 iPadOS 的 iPad 上的“条件访问”策略的实施：

• 使用 Safari 浏览器访问 Web 应用程序

• Apple 本机邮件访问

• 使用 “Safari 视图控制器”的本机应用程序访问

在这些情况下，“Azure AD 条件访问”将任何访问请求视为 macOS 访问请求。

对以下访问场景没有影响：

• 所有 Microsoft 本机应用程序访问（如 Outlook、Word 或 Edge）

• 使用 Safari 以外的浏览器（如 Chrome）访问 Web 应用程序

• 使用 Intune App SDK/App Wrapping Tool for iOS/Microsoft 标识平台 v2.0 身份验证库或 v1.0 身份验证库的应用

在查看 Microsoft 的建议之前，我们先演练一些可能受影响的场景：

这些只是 iOS 的条件访问策略可能不同于 macOS 的条件访问策略的情况的一些示例。 你需要在策略中识别所有此类情况。

Microsoft 的建议

我们建议你采取以下操作：

1. 评估你是否具有适用于 iOS 的基于浏览器的 Azure AD CA 策略，这些策略用于管理来自 iPad 设备的访问权限。 如果有，请按照以下步骤执行操作：

   1. 创建一个等效的 macOS Azure AD 浏览器访问策略。 我们建议你使用“需要兼容设备”策略。 此策略可将 iPad 和 Mac 设备注册到 Microsoft Intune（或 JAMF Pro，如果你已选择该设备作为 macOS 管理工具），并确保浏览器应用只能从兼容设备（最安全的选项）进行访问。 你还需要为 macOS 创建一个与 Intune 设备兼容的策略。

   2. 如果无法为 macOS 和 iPadOS“要求兼容设备”进行浏览器访问，请确保你“需要 MFA”才能进行此类访问。

2. 确定是否为 iOS 配置了基于使用条款（每个设备同意）的 Azure AD 条件访问策略。 如果是，请为 macOS 创建一个等效策略。

其他更新

我们正在继续探索其他替代方案，以尽量减少 Apple 的这一重大变更的影响，这将影响我们客户的条件访问策略。 我们将在其他信息可用时向本文中提供此信息。

要了解更多信息，请与 Microsoft 支持联系。