Popis podmíněného přístupu Azure

  • 3 min

Podmíněný přístup je nástroj, který Microsoft Entra ID používá k povolení (nebo zamítnutí) přístupu k prostředkům na základě signálů identity. K této signalizaci patří, kdo je uživatel, na jakém je místě a z jakého zařízení uživatel žádá o přístup.

Jak pomáhá podmíněný přístup správcům IT:

  • Zajistit uživatelům produktivitu kdekoli a kdykoli.
  • Chránit majetek organizace.

Podmíněný přístup také nabízí uživatelům podrobnější prostředí vícefaktorového ověřování. Uživatelům se například nemusí zobrazovat výzva k druhému ověřovacímu znaku, pokud jsou na známém místě. Výzva k druhému ověřovacímu znaku se ale zobrazí při neobvyklých přihlašovacích signálech nebo když je uživatel na nečekaném místě.

Při přihlášení shromažďuje podmíněný přístup signály uživatele, na základě těchto signálů se rozhodne a pak toto rozhodnutí vynutí tím, že žádosti o přístup buď vyhoví, nebo ji zamítne, případně vyzve k odpovědi vícefaktorového ověřování.

Tento tok znázorňuje následující diagram:

Diagram znázorňující tok podmíněného přístupu signálu, který vede k rozhodnutí, což vede k vynucení

Zde může být signálem místo uživatele, zařízení nebo aplikace, ke které se uživatel snaží získat přístup.

Rozhodnutím, učiněným na základě těchto signálů, může být povolení plného přístupu, pokud se uživatel přihlašuje z obvyklého místa. Pokud se uživatel přihlašuje z neobvyklého místa nebo z místa, které je označené jako vysoce rizikové, může být přístup zablokován úplně nebo může být umožněn, pokud se uživatel ověří ještě druhým způsobem.

Vynucení je akce, která provádí rozhodnutí. Může to být například povolení přístupu nebo vyžadování, aby se uživatel ověřil ještě druhým způsobem.

Kdy můžu použít podmíněný přístup?

Podmíněný přístup je užitečný, když:

  • Vyžadovat vícefaktorové ověřování (MFA) pro přístup k aplikaci v závislosti na roli, umístění nebo síti žadatele. Můžete například vyžadovat vícefaktorové ověřování pro správce, ale ne pro běžné uživatele nebo pro uživatele, kteří se připojují mimo vaši podnikovou síť.
  • Vyžadujete přístup ke službám jen prostřednictvím schválených klientských aplikací. Můžete například omezit, které e-mailové aplikace se můžou připojit k vaší e-mailové službě.
  • Vyžadujete, aby uživatel přistupoval k aplikaci jenom ze spravovaných zařízení. Spravované zařízení je zařízení, které vyhovuje normám po stránce bezpečnostní i po stránce dodržování předpisů.
  • Blokovat přístup z nedůvěryhodných zdrojů, jako je přístup z neznámých nebo nečekaných míst.