Podmíněný přístup: Uživatelé, skupiny a identity úloh
Zásady podmíněného přístupu musí obsahovat přiřazení identity uživatele, skupiny nebo úlohy jako jeden ze signálů v rozhodovacím procesu. Tyto identity je možné zahrnout nebo vyloučit ze zásad podmíněného přístupu. Id Microsoft Entra vyhodnocuje všechny zásady a zajišťuje splnění všech požadavků před udělením přístupu.
Zahrnout uživatele
Tento seznam uživatelů obvykle zahrnuje všechny uživatele, na které organizace cílí v zásadách podmíněného přístupu.
Při vytváření zásad podmíněného přístupu jsou k dispozici následující možnosti.
- Žádný
- Nejsou vybráni žádní uživatelé.
- Všichni uživatelé
- Všichni uživatelé, kteří existují v adresáři, včetně hostů B2B.
- Výběr uživatelů a skupin
- Host nebo externí uživatelé
- Tento výběr nabízí několik možností, které lze použít k cílení zásad podmíněného přístupu na konkrétní typy hostů nebo externích uživatelů a konkrétní tenanty obsahující tyto typy uživatelů. Existuje několik různých typů hosta nebo externích uživatelů, které je možné vybrat, a je možné vybrat několik možností:
- Uživatelé typu host pro spolupráci B2B
- Uživatelé členů spolupráce B2B
- Uživatelé přímého připojení B2B
- Místní uživatelé typu host, například každý uživatel patřící do domácího tenanta s atributem typu uživatele nastaveným na hosta
- Uživatelé poskytovatele služeb, například Poskytovatel cloudových řešení (CSP)
- Jiní externí uživatelé nebo uživatelé, kteří nejsou reprezentováni výběrem jiného typu uživatele
- Pro vybrané typy uživatelů je možné zadat jednoho nebo více tenantů nebo můžete zadat všechny tenanty.
- Tento výběr nabízí několik možností, které lze použít k cílení zásad podmíněného přístupu na konkrétní typy hostů nebo externích uživatelů a konkrétní tenanty obsahující tyto typy uživatelů. Existuje několik různých typů hosta nebo externích uživatelů, které je možné vybrat, a je možné vybrat několik možností:
- Role adresáře
- Umožňuje správcům vybrat konkrétní předdefinované role adresáře, které se používají k určení přiřazení zásad. Organizace můžou například vytvořit přísnější zásadu pro uživatele, kteří aktivně přiřadili privilegovanou roli. Jiné typy rolí se nepodporují, včetně rolí s oborem jednotek pro správu a vlastních rolí.
- Podmíněný přístup umožňuje správcům vybrat některé role, které jsou uvedené jako zastaralé. Tyto role se stále zobrazují v podkladovém rozhraní API a umožňujeme správcům aplikovat na ně zásady.
- Umožňuje správcům vybrat konkrétní předdefinované role adresáře, které se používají k určení přiřazení zásad. Organizace můžou například vytvořit přísnější zásadu pro uživatele, kteří aktivně přiřadili privilegovanou roli. Jiné typy rolí se nepodporují, včetně rolí s oborem jednotek pro správu a vlastních rolí.
- Uživatelé a skupiny
- Umožňuje cílení konkrétních sad uživatelů. Organizace můžou například vybrat skupinu, která obsahuje všechny členy personálního oddělení, když je jako cloudová aplikace vybraná aplikace pro personální oddělení. Skupina může být libovolný typ skupiny uživatelů v ID Microsoft Entra, včetně dynamických nebo přiřazených skupin zabezpečení a distribučních skupin. Zásady se použijí pro vnořené uživatele a skupiny.
- Host nebo externí uživatelé
Důležité
Při výběru uživatelů a skupin, které jsou součástí zásad podmíněného přístupu, platí omezení počtu jednotlivých uživatelů, které je možné přidat přímo do zásad podmíněného přístupu. Pokud je potřeba přidat přímo do zásad podmíněného přístupu velké množství jednotlivých uživatelů, doporučujeme umístit uživatele do skupiny a místo toho skupinu přiřadit k zásadám podmíněného přístupu.
Pokud jsou uživatelé nebo skupiny členem více než 2048 skupin, může být jejich přístup zablokován. Tento limit platí pro přímé i vnořené členství ve skupině.
Upozorňující
Zásady podmíněného přístupu nepodporují uživatele přiřazené roli adresáře s vymezenou organizační jednotkou nebo rolemi adresáře, které jsou vymezeny přímo na objekt, například prostřednictvím vlastních rolí.
Poznámka:
Při cílení zásad na B2B přímé připojení externích uživatelů se tyto zásady použijí také pro uživatele spolupráce B2B, kteří přistupují k Teams nebo SharePointu Online, kteří mají také nárok na přímé připojení B2B. Totéž platí pro zásady cílené na externí uživatele spolupráce B2B, což znamená, že uživatelé, kteří přistupují ke sdíleným kanálům Teams, budou mít zásady spolupráce B2B platit i v případě, že mají v tenantovi také přítomnost uživatele typu host.
Vyloučení uživatelů
Pokud organizace zahrnují i vylučují uživatele nebo skupinu, je uživatel nebo skupina vyloučené ze zásad. Akce vyloučení přepíše akci zahrnutí do zásad. Vyloučení se běžně používají pro účty pro nouzový přístup nebo break-glass. Další informace o účtech pro nouzový přístup a o tom, proč jsou důležité, najdete v následujících článcích:
- Správa účtů pro nouzový přístup v Microsoft Entra ID
- Vytvoření odolné strategie správy řízení přístupu pomocí Microsoft Entra ID
Při vytváření zásad podmíněného přístupu můžete vyloučit následující možnosti.
- Host nebo externí uživatelé
- Tento výběr nabízí několik možností, které lze použít k cílení zásad podmíněného přístupu na konkrétní typy hostů nebo externích uživatelů a konkrétní tenanty obsahující tyto typy uživatelů. Existuje několik různých typů hosta nebo externích uživatelů, které je možné vybrat, a je možné vybrat několik možností:
- Uživatelé typu host pro spolupráci B2B
- Uživatelé členů spolupráce B2B
- Uživatelé přímého připojení B2B
- Místní uživatelé typu host, například každý uživatel patřící do domácího tenanta s atributem typu uživatele nastaveným na hosta
- Uživatelé poskytovatele služeb, například Poskytovatel cloudových řešení (CSP)
- Jiní externí uživatelé nebo uživatelé, kteří nejsou reprezentováni výběrem jiného typu uživatele
- Pro vybrané typy uživatelů je možné zadat jednoho nebo více tenantů nebo můžete zadat všechny tenanty.
- Tento výběr nabízí několik možností, které lze použít k cílení zásad podmíněného přístupu na konkrétní typy hostů nebo externích uživatelů a konkrétní tenanty obsahující tyto typy uživatelů. Existuje několik různých typů hosta nebo externích uživatelů, které je možné vybrat, a je možné vybrat několik možností:
- Role adresáře
- Umožňuje správcům vybrat konkrétní role adresáře Microsoft Entra používané k určení přiřazení.
- Uživatelé a skupiny
- Umožňuje cílení konkrétních sad uživatelů. Organizace můžou například vybrat skupinu, která obsahuje všechny členy personálního oddělení, když je jako cloudová aplikace vybraná aplikace pro personální oddělení. Skupina může být libovolný typ skupiny v ID Microsoft Entra, včetně dynamických nebo přiřazených skupin zabezpečení a distribučních skupin. Zásady se použijí pro vnořené uživatele a skupiny.
Zabránění uzamčení správce
Pokud chcete zabránit uzamčení správce, zobrazí se při vytváření zásady použité pro všechny uživatele a všechny aplikace následující upozornění.
Nezamkněte se! Doporučujeme nejprve použít zásadu pro malou sadu uživatelů, abyste ověřili, že se chová podle očekávání. Doporučujeme z této zásady vyloučit alespoň jednoho správce. Tím zajistíte, že stále máte přístup a můžete aktualizovat zásadu, pokud je potřeba provést změnu. Projděte si ovlivněné uživatele a aplikace.
Ve výchozím nastavení poskytuje zásada možnost vyloučit aktuálního uživatele ze zásad, ale správce může přepsat, jak je znázorněno na následujícím obrázku.
Pokud zjistíte, že jste uzamčení, podívejte se, co dělat, pokud jste uzamčení?
Přístup externího partnera
Zásady podmíněného přístupu, které cílí na externí uživatele, můžou kolidovat s přístupem poskytovatele služeb, například podrobná delegovaná oprávnění správce Úvod k podrobným delegovaným oprávněním správce (GDAP). Pro zásady určené pro tenanty poskytovatele cílových služeb použijte typ externího uživatele externího uživatele poskytovatele služeb, který je k dispozici v možnostech výběru hosta nebo externích uživatelů .
Identity úloh
Identita úlohy je identita, která umožňuje aplikaci nebo instančnímu objektu přístup k prostředkům, někdy v kontextu uživatele. Zásady podmíněného přístupu se dají použít pro jednotlivé instanční objekty tenanta zaregistrované ve vašem tenantovi. SaaS a víceklientské aplikace třetích stran jsou mimo rozsah. Spravované identity nejsou pokryté zásadami.
Organizace můžou cílit na konkrétní identity úloh, které se mají zahrnout nebo vyloučit ze zásad.
Další informace najdete v článku Podmíněný přístup pro identity úloh.