Aplikovat zásady podmíněného přístupu na provoz globálního zabezpečeného přístupu

Zásady podmíněného přístupu uplatníte na globální zabezpečený přístup. Pomocí podmíněného přístupu můžete pro přístup k prostředkům Microsoftu vyžadovat vícefaktorové ověřování a dodržování předpisů zařízením.

Tento článek popisuje, jak použít zásady podmíněného přístupu na internetový provoz v rámci Global Secure Access.

Požadavky

• Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
  • Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
  • Role Správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu.
• Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Vytvořte zásady podmíněného přístupu zaměřující se na internetový provoz služby Global Secure Access.

Následující ukázkové zásady cílí na všechny uživatele s výjimkou vašich účtů se zalomeným sklem a hostů nebo externích uživatelů, které vyžadují vícefaktorové ověřování, dodržování předpisů zařízením nebo hybridní zařízení připojené k Microsoftu Entra pro internetový provoz globálního zabezpečeného přístupu.

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

2. Přejděte k podmíněnému přístupu služby Identity>Protection.>

3. Vyberte Vytvořit novou zásadu.

4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

5. V části Přiřazenízvolte odkaz Uživatelé a skupiny.

   1. V části Zahrnout vyberte Možnost Všichni uživatelé.
   2. V části Vyloučit:
      1. Vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
      2. Vyberte hosta nebo externí uživatele a zaškrtněte všechna políčka.

6. V sekci Cílové prostředky>(dříve cloudové aplikace) prostředky.

   1. Zvolte Všechny internetové prostředky s globálním zabezpečeným přístupem.

   

   Poznámka

   Pokud chcete vynutit pouze profil předávání přenosů pro přístup na internet a nevynutit profil předávání přenosů pro Microsoft, pak zvolte Vybrat prostředky, v nástroji pro výběr aplikací vyberte internetové zdroje a nakonfigurujte zabezpečovací profil.

7. V části Řízení>přístupu Udělení.

   1. Vyberte Vyžadovat vícefaktorové ověřování, Vyžadovat, aby zařízení bylo označené jako vyhovující, a vyžadovat hybridní zařízení připojené k Microsoftu Entra.
   2. U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
   3. Zvolte Zvolit.

Jakmile správci potvrdí nastavení zásad pomocí režimu jen pro sestavy, může správce přesunout přepínač Povolit zásadupouze ze sestavy na Zapnuto.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Další kroky

Dalším krokem pro zahájení práce s Microsoft Entra Přístup k Internetu je kontrola protokolů globálního zabezpečeného přístupu.

Další informace o přesměrování provozu najdete v následujících článcích:

• Informace o profilech přesměrování provozu
• Správa profilu provozu Microsoftu