Azure AD混合部署，通过 Intune 管理设备，实现条件访问

需求：

公司要求，非公司设备不允许使用 邮箱，Teams等O365服务。 我们可以通过 Intune 中的 "条件访问" 解决这个问题。

一、设备同步到 AAD

1、配置 AAD Connect

2、选择 

3、下一步

4、配置本地 企业管理员

5、配置成功

二、设备同步到 Intune 

 1、创建一条组策略

使用 组策略 自动注册 Windows 设备 - Windows Client Management | Microsoft Learn

2、设置

（1）计算机配置 → 管理模板 → Windows 组件 → MDM → 使用默认 Azure AD 凭据启用自动 MDM 注册

（2）计算机配置 → 管理模板 → Windows 组件 → Device Registration → 注册将已加入域的计算机注册为设备

3、客户端刷新组策略重启，打开 PowerShell 运行 dsregcmd /status

# 查看  AzureAdJoined, AzureAdPrt的值，为YES表示成功

PS C:\Users\lishi> dsregcmd /status

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : MSH
               Device Name : LISHI-PC.msh.local

+----------------------------------------------------------------------+
| SSO State                                                            |
+----------------------------------------------------------------------+

                AzureAdPrt : YES
      AzureAdPrtUpdateTime : 2023-09-27 01:32:20.000 UTC
      AzureAdPrtExpiryTime : 2023-10-11 01:32:19.000 UTC
       AzureAdPrtAuthority : https://login.microsoftonline.com/215d9d2a-7221-454d-b2df-54daf5ddf218
             EnterprisePrt : NO
    EnterprisePrtAuthority :
                 OnPremTgt : NO
                  CloudTgt : YES
         KerbTopLevelNames : .windows.net,.windows.net:1433,.windows.net:3342,.azure.net,.azure.net:1433,.azure.net:3342

4、进入AAD查看，我们发现设备已同步过来

5、进入 Intune 中查看

三、创建条件访问

1、创建一条策略

2、选择用户

3、 目标资源

4、条件

5、授权，要求已经加入 Intune 的电脑才有权限

6、验证