AzureAD混合部署，通过Intune管理设备，实现条件访问

需求：

公司要求，非公司设备不允许使用 邮箱，Teams等O365服务。 我们可以通过 Intune 中的 "条件访问" 解决这个问题。

一、设备同步到 AAD

1、配置 AAD Connect

2、选择 

3、下一步

4、配置本地 企业管理员

5、配置成功

二、设备同步到 Intune 

 1、创建一条组策略

使用 组策略 自动注册 Windows 设备 - Windows Client Management | Microsoft Learn

2、设置

（1）计算机配置 → 管理模板 → Windows 组件 → MDM → 使用默认 Azure AD 凭据启用自动 MDM 注册

（2）计算机配置 → 管理模板 → Windows 组件 → Device Registration → 注册将已加入域的计算机注册为设备

3、客户端刷新组策略重启，打开 PowerShell 运行 dsregcmd /status

# 查看 AzureAdJoined, AzureAdPrt的值，为YES表示成功 PS C:\Users\lishi> dsregcmd /status +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : YES DomainName : MSH Device Name : LISHI-PC.msh.local +----------------------------------------------------------------------+ | SSO State | +----------------------------------------------------------------------+ AzureAdPrt : YES AzureAdPrtUpdateTime : 2023-09-27 01:32:20.000 UTC AzureAdPrtExpiryTime : 2023-10-11 01:32:19.000 UTC AzureAdPrtAuthority : login.microsoftonline /215d9d2a-7221-454d-b2df-54daf5ddf218 EnterprisePrt : NO EnterprisePrtAuthority : OnPremTgt : NO CloudTgt : YES KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

4、进入AAD查看，我们发现设备已同步过来

5、进入 Intune 中查看

三、创建条件访问

1、创建一条策略

2、选择用户

3、 目标资源

4、条件

5、授权，要求已经加入 Intune 的电脑才有权限

6、验证