Device filters trong Conditional Access giúp bạn quyết định thiết bị nào có thể truy cập vào ứng dụng và dữ liệu của công ty. Thay vì đối xử bình đẳng với tất cả các thiết bị, bạn có thể tạo ra các quy tắc chỉ áp dụng cho một số thiết bị nhất định.
Điều này giúp tăng cường bảo mật và cho phép các thiết bị đáng tin cậy hoạt động mà không cần kiểm tra bổ sung.
Dưới đây là một số lợi ích nhanh chóng của việc sử dụng bộ lọc thiết bị trong các điều kiện của chính sách Truy cập có điều kiện :
- Hãy bảo vệ công ty của bạn an toàn hơn bằng cách tập trung vào các thiết bị tiềm ẩn rủi ro hoặc thiết bị cá nhân.
- Giúp các thiết bị đáng tin cậy kết nối dễ dàng hơn mà không gặp sự cố.
- Kiểm soát ai có thể sử dụng ứng dụng của bạn dựa trên thiết bị họ sử dụng.
Trong hướng dẫn này, Tri Thức Software sẽ chỉ cho bạn cách thiết lập bộ lọc thiết bị trong Truy cập có điều kiện và sử dụng bộ lọc thiết bị Microsoft Entra để bảo vệ doanh nghiệp của bạn một cách thông minh.
Tại sao nên sử dụng bộ lọc thiết bị?
Bộ lọc thiết bị giúp bạn chọn chính xác những thiết bị nào nên được áp dụng các quy tắc – chứ không chỉ đơn thuần là xem thiết bị đó có tuân thủ quy định hay không.
- Bạn có thể chọn điều khiển một số thiết bị nhất định, chẳng hạn như chỉ điện thoại hoặc chỉ máy tính chạy hệ điều hành Windows.
- Cách này vẫn hoạt động ngay cả khi thiết bị không được quản lý bởi hệ thống Intune của công ty bạn.
- Nó giúp tiết kiệm thời gian vì bạn không cần phải tạo ra nhiều quy tắc khác nhau cho từng thiết bị – một bộ lọc duy nhất có thể đáp ứng chính xác nhu cầu của bạn.
Việc sử dụng bộ lọc thiết bị trong Truy cập có điều kiện giúp đảm bảo an toàn và dễ quản lý hơn.
Thuộc tính thiết bị và cách sử dụng chúng
Khi bạn tạo bộ lọc thiết bị trong Truy cập có điều kiện, bạn cho hệ thống biết thiết bị nào cần được bao gồm hoặc loại trừ dựa trên một số thông tin chi tiết nhất định về các thiết bị đó. Những thông tin chi tiết này được gọi là device attributes.
Dưới đây là một số thuộc tính quan trọng của thiết bị mà bạn có thể sử dụng:
| Thuộc tính | Ý nghĩa của nó | Ví dụ về bộ lọc |
|---|---|---|
| ID thiết bị | Mã định danh duy nhất của thiết bị | Bằng “12345” hoặc Bắt đầu bằng “abc” |
| tên hiển thị | Tên hiển thị của thiết bị | Chứa “Surface” hoặc bằng “iPhone của John” |
| Quyền sở hữu thiết bị | Loại hình sở hữu: Công ty hoặc Cá nhân | Tương đương với “Công ty” hoặc tương đương với “Cá nhân” |
| enrollmentProfileName | Tên của hồ sơ đăng ký Intune được sử dụng | Tương đương với “CorporateProfile” hoặc chứa “BYOD” |
| tuân thủ | Trạng thái tuân thủ của thiết bị | Bằng “true” hoặc bằng “false” |
| nhà sản xuất | Nhà sản xuất thiết bị | Tương đương với “Apple” hoặc tương đương với “Dell” |
| mdmAppId | Mã định danh (ID) của ứng dụng MDM quản lý thiết bị | Bằng “0000000a-0000-0000-c000-000000000000” |
| người mẫu | Mẫu thiết bị | Tương đương với “iPhone 12” hoặc chứa “Surface” |
| Hệ điều hành | Tên hệ điều hành, ví dụ như Windows, iOS, Android. | Tương đương với “Windows” hoặc chứa “iOS” |
| phiên bản hệ điều hành | Phiên bản hệ điều hành | Bắt đầu bằng “10.” hoặc bằng “14.4” |
| ID vật lý | Mã định danh phần cứng | Chứa “ABC123” hoặc bằng “XYZ789” |
| profileType | Loại hồ sơ đăng ký | Tương đương với “Autopilot” hoặc tương đương với “ADE” |
| Nhãn hệ thống | Các nhãn được hệ thống dán lên thiết bị. | Chứa từ “Corporate” hoặc tương đương với “Managed” |
| Loại tin cậy | Mức độ tin cậy của thiết bị | Tương đương với “Đáng tin cậy” hoặc tương đương với “Không xác định” |
| extensionAttribute1-15 | Các thuộc tính tùy chỉnh được đồng bộ từ Active Directory tại chỗ. | Bằng “Sales” hoặc chứa “Remote” |
Các toán tử bạn có thể sử dụng:
- Bằng: Khớp chính xác
- Chứa: Thuộc tính bao gồm giá trị ở bất kỳ đâu.
- StartsWith: Thuộc tính bắt đầu bằng giá trị
Bạn có thể sử dụng các thuộc tính và toán tử này để tạo các bộ lọc như sau:
- Các thiết bị có hệ điều hành bằng “Windows”
- Các thiết bị mà quyền sở hữu thiết bị tương đương với “Cá nhân”.
- Các thiết bị do nhà sản xuất thiết bị (deviceManufacturer) sản xuất có tên tương đương với “Apple”.
Hướng dẫn thiết lập bộ lọc thiết bị trong truy cập có điều kiện
Việc thiết lập bộ lọc thiết bị trong Truy cập có điều kiện dễ hơn bạn nghĩ. Hãy làm theo các bước đơn giản sau để bắt đầu:
- Truy cập cổng thông tin Microsoft Entra (entra.microsoft.com) và đăng nhập bằng tài khoản quản trị viên của bạn.
- Chọn Entra ID > Conditional Access.
- Nhấp vào + Create New policy để bắt đầu tạo chính sách Truy cập có điều kiện mới.
- Hãy đặt cho nó một cái tên rõ ràng và có ý nghĩa, ví dụ như Device Filter Policy.
- Trong mục Assignments > chọn Users or workload identities.
- Trong Include > chọn Directory roles người dùng hoặc nhóm trong thư mục mà chính sách này bao gồm.
- Trong mục Exclude > chọn Users and groups rồi chọn tài khoản truy cập khẩn cấp hoặc tài khoản báo động khẩn cấp của tổ chức bạn.
- Hãy chọn các ứng dụng mà chính sách này cần bảo vệ (ví dụ như các ứng dụng Microsoft 365).
Trong mục Target resources > Resources (formerly cloud apps) > Include > chọn resources (như ứng dụng M365) hoặc All resources (formerly ‘All Cloud Apps’)
- Trong mục Điều kiện, hãy lọc theo thiết bị.
- Chuyển đổi thành Configure
- Đặt các thiết bị phù hợp với quy tắc thành Exclude filtered devices.
- Thêm các quy tắc lọc bằng cách sử dụng device attributes như operatingSystem, deviceTrustType hoặc deviceOwnership.
- Hãy sử dụng các toán tử như Equals, Contains hoặc StartsWith để định nghĩa bộ lọc của bạn.
- Chọn Xong.
- Thiết lập quyền truy cập: Quyết định điều gì sẽ xảy ra khi một thiết bị khớp với bộ lọc của bạn – chẳng hạn như yêu cầu xác thực đa yếu tố (MFA) hoặc chặn truy cập.
Trong mục Access controls > Grant > chọn Grant access > chọn Require multifactor authentication và Require device to be marked as compliant > Select.
- Bật chính sách. Đặt trạng thái chính sách thành On và nhấp vào Create để lưu lại.
- Kiểm tra chính sách của bạn. Hãy thử nghiệm với một nhóm nhỏ để đảm bảo rằng bộ lọc thiết bị của bạn hoạt động như mong đợi mà không chặn người dùng đáng tin cậy.
Lợi ích và thách thức của bộ lọc thiết bị
Các bộ lọc thiết bị trong chính sách Truy cập có điều kiện cung cấp cho bạn khả năng kiểm soát mạnh mẽ và chi tiết hơn, vượt xa việc chỉ đánh dấu thiết bị là “tuân thủ” hoặc “không tuân thủ”.
Những lợi ích
- Bạn có thể nhắm mục tiêu vào các thiết bị cụ thể dựa trên các tiêu chí như phiên bản hệ điều hành, kiểu máy hoặc thậm chí là các thẻ tùy chỉnh mà tổ chức của bạn thêm vào.
- Điều này hữu ích trong các trường hợp đặc biệt như cung cấp bảo mật cao cho quản trị viên hoặc xử lý BYOD (Mang thiết bị cá nhân đến nơi làm việc) một cách an toàn.
- Bộ lọc thiết bị cho phép bạn thực thi bảo mật không tin tưởng bằng cách đảm bảo chỉ những thiết bị phù hợp mới có quyền truy cập vào các tài nguyên quan trọng.
Thách thức
- Sự linh hoạt này cũng đi kèm với sự phức tạp. Bạn phải viết các quy tắc lọc một cách cẩn thận để tránh vô tình chặn các thiết bị tốt hoặc cho phép các thiết bị rủi ro.
- Các bộ lọc này cần được cập nhật và bảo trì thường xuyên khi danh sách thiết bị của bạn thay đổi.
- Việc sử dụng tính năng này cần thời gian – nhiều quản trị viên ban đầu cảm thấy khó khăn và mong muốn tính năng này dễ thiết lập hơn.
- Việc kiểm thử rất quan trọng. Nếu không kiểm thử kỹ lưỡng, bạn có thể gặp phải các vấn đề như người dùng bị chặn hoặc chính sách không hoạt động như mong đợi.
- Các chính sách Truy cập có điều kiện thường được sử dụng để bảo mật quyền truy cập vào các vai trò đặc quyền. Triển khai Quản lý danh tính đặc quyền (PIM) là bước tiếp theo sau Truy cập có điều kiện, đảm bảo các vai trò đó không được kích hoạt vĩnh viễn.
Sử dụng hiệu quả các bộ lọc thiết bị có nghĩa là cân bằng giữa khả năng kiểm soát tuyệt vời với việc lập kế hoạch cẩn thận và xem xét liên tục.
Tổng kết
Vậy là tôi vừa hướng dẫn xong cho bạn Cách cấu hình Device Filters trên Microsoft 365 Conditional Access. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.
