在评估 AAD 中的条件访问策略时,Microsoft 会检查设备状态。这还包括检查“Azure AD 加入”和“混合加入”。
如果客户端通过浏览器访问 Microsoft(例如 outlook.office.com),那么微软究竟如何评估客户端是否加入域?
我的猜测是:他们正在通过浏览器调用读取客户端证书,但我找不到有关它的任何资源。
答案1
不涉及证书 - 相关设备必须加入域或具有 微软 Intune。
通过上述工具获得的信息可用于 移动设备管理 (MDM) 和 移动应用程序管理 (MAM)。
混合 Azure AD 联接的设备需要定期与本地域控制器建立网络视线。如果没有此连接,设备将无法使用。
使用组织 Azure AD 帐户登录已加入 Azure AD 的设备。
对于这两种方法,在提出资源请求时都要提前知道设备的性质。