Sdílet prostřednictvím

Podmíněný přístup pro identity úloh

  • Článek

Zásady podmíněného přístupu se historicky uplatňovaly jenom na uživatele, kteří přistupují k aplikacím a službám, jako je SharePoint Online. Nyní rozšiřujeme podporu zásad podmíněného přístupu i na služební principy vlastněné organizací. Tuto funkci označujeme jako podmíněný přístup pro identity úloh.

Identita úlohy je identita, která umožňuje aplikaci nebo servisnímu principálu přístup k prostředkům, někdy v kontextu uživatele. Tyto identity úloh se liší od tradičních uživatelských účtů, protože:

  • Neumožňují provést vícefaktorové ověřování.
  • Často nemají žádný formální proces životního cyklu.
  • Potřebují někde ukládat svoje přihlašovací údaje nebo tajné kódy.

Tyto rozdíly znesnadňují správu identit úloh a vystavují je vyššímu riziku ohrožení.

Důležité

K vytvoření nebo úpravě zásad podmíněného přístupu omezených na instanční objekty se vyžadují licence identit úloh Premium. V adresářích bez odpovídajících licencí budou stávající zásady podmíněného přístupu pro identity úloh nadále fungovat, ale není možné je upravovat. Další informace najdete v tématu ID úloh Microsoft Entra.  

Poznámka:

Zásady lze aplikovat na služební hlavní objekty typu jednotenantové, které jsou zaregistrované ve vašem tenantovi. SaaS a víceklientské aplikace třetích stran jsou mimo rozsah. Spravované identity nejsou pokryté zásadami. Spravované identity můžou být místo toho zahrnuté do kontroly přístupu .

Podmíněný přístup pro identity úloh umožňuje blokovat služební principály:

  • Mimo známé rozsahy veřejných IP adres.
  • Na základě rizika zjištěného službou Microsoft Entra ID Protection.
  • V kombinaci s kontexty autentizace.

Implementace

Vytvořte zásady podmíněného přístupu založené na místě

Vytvořte zásady podmíněného přístupu založené na umístění, které platí pro služební principály.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte na Ochranu>Podmíněný přístup>Zásady.
  3. Vyberte Nová politika.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Na co se tato zásada vztahuje? zvolte Identity pracovního zatížení.
    2. V části Zahrnout zvolte Vybrat instanční objekty a ze seznamu vyberte příslušné instanční objekty.
  6. V části >> vyberte Všechny prostředky (dříve Všechny cloudové aplikace). Zásady platí pouze tehdy, když služební objekt požádá o token.
  7. V části >uveďte libovolné umístění a vylučte vybraná umístění, ve kterých chcete povolit přístup.
  8. Pod možností Udělení je Blokovat přístup jedinou dostupnou možností. Přístup se zablokuje, když se požadavek na token vytvoří mimo povolený rozsah.
  9. Zásady je možné uložit v režimu pouze pro sestavy, což správcům umožňuje odhadnout účinky, nebo se zásady vynucují jejich zapnutím.
  10. Vyberte Vytvořit pro dokončení politiky.

Vytvořte zásady podmíněného přístupu založené na riziku

Vytvořte zásadu podmíněného přístupu na základě rizik, která se vztahuje na provozní identity.

Vytvoření zásady podmíněného přístupu s identitou úlohy a rizikem jako podmínkou

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte na Ochranu>Podmíněný přístup>Zásady.
  3. Vyberte Nová politika.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Na co se tato zásada vztahuje? zvolte Identity pracovního zatížení.
    2. V části Zahrnout zvolte Vybrat instanční objekty a ze seznamu vyberte příslušné instanční objekty.
  6. V části >> vyberte Všechny prostředky (dříve Všechny cloudové aplikace). Zásady platí pouze tehdy, když služební objekt požádá o token.
  7. Za podmínek>riziko hlavního účtu služby
    1. Nastavte přepínač Konfigurovat na Ano.
    2. Vyberte úrovně rizika, ve kterých chcete tuto zásadu aktivovat.
    3. Vyberte Hotovo.
  8. Pod možností Udělení je Blokovat přístup jedinou dostupnou možností. Přístup se zablokuje, když se zobrazí zadané úrovně rizika.
  9. Zásady je možné uložit v režimu pouze pro sestavy, což správcům umožňuje odhadnout účinky, nebo se zásady vynucují jejich zapnutím.
  10. Vyberte Vytvořit pro dokončení politiky.

Vrátit zpět

Pokud chcete tuto funkci vrátit zpět, můžete odstranit nebo zakázat všechny vytvořené zásady.

Přihlašovací protokoly

Protokoly přihlašování slouží ke kontrole, jak se zásady vynucují pro služební identity nebo jaký je očekávaný vliv zásad při použití režimu pouze pro sestavy.

  1. Přejděte k Identita>Monitorování a stav>Protokoly přihlášení>Přihlášení hlavní služby.
  2. Vyberte položku protokolu a výběrem karty Podmíněný přístup zobrazte informace o vyhodnocení.

Důvod selhání, když podmíněný přístup blokuje služební principál: Přístup byl zablokován kvůli zásadám podmíněného přístupu.

Režim pouze pro hlášení

Pokud chcete zobrazit výsledky zásad založených na poloze, přejděte na kartu Pouze sestava událostí v Sestava přihlášení nebo použijte sešit Přehledy a sestavy podmíněného přístupu.

Pokud chcete zobrazit výsledky zásad založených na rizicích, podívejte se na kartu Pouze sestava událostí v sestavě přihlášení.

Odkaz

Vyhledání ID objektu

Id objektu služby můžete získat z podnikových aplikací Microsoft Entra. ID objektu v registraci aplikací Microsoft Entra nelze použít. Tento identifikátor je ID objektu pro registraci aplikace, nikoli pro službu principal.

  1. Přejděte k aplikacím identity>aplikacím>podnikovým aplikacím, a vyhledejte aplikaci, kterou jste zaregistrovali.
  2. Na kartě Přehled zkopírujte ID objektu aplikace. Tento identifikátor je jedinečný pro služební objekt a je používán zásadami podmíněného přístupu k nalezení volající aplikace.

Microsoft Graph

Ukázkový JSON pro konfiguraci založenou na umístění pomocí beta rozhraní Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Další kroky