Nastavení zásad podmíněného přístupu pro Windows 365 Business

Podmíněný přístup je ochrana regulovaného obsahu v systému tím, že před udělením přístupu k obsahu vyžaduje splnění určitých kritérií. Zásady podmíněného přístupu jsou nejjednodušší příkazy if-then. Pokud chce uživatel získat přístup k prostředku, musí dokončit akci. Například manažer mzdy chce získat přístup k mzdové aplikaci a musí k tomu provést vícefaktorové ověřování (MFA).

Pomocí podmíněného přístupu můžete dosáhnout dvou hlavních cílů:

• Umožněte uživatelům kdykoliv být produktivní kdekoli.
• Chraňte prostředky vaší organizace.

Pomocí zásad podmíněného přístupu můžete v případě potřeby použít správné řízení přístupu, abyste zajistili zabezpečení vaší organizace a v případě potřeby zůstali mimo cestu uživatelů.

To, jak často je uživatel vyzván k opětovnému ověření, závisí na nastavení konfigurace Microsoft Entra životnosti relace. I když je zapamatování přihlašovacích údajů pohodlné, může také méně zabezpečit nasazení pomocí osobních zařízení. Pokud chcete chránit uživatele, můžete se ujistit, že klient žádá o Microsoft Entra přihlašovací údaje vícefaktorového ověřování častěji. Ke konfiguraci tohoto chování můžete použít frekvenci přihlašování podmíněného přístupu.

Přiřazení zásad podmíněného přístupu pro cloudové počítače

Zásady podmíněného přístupu nejsou pro vašeho tenanta ve výchozím nastavení nastavené. Zásady podmíněného přístupu můžete cílit na aplikace cloudových počítačů od první strany pomocí některé z následujících platforem:

• Azurový. Další informace najdete v tématu Microsoft Entra podmíněný přístup.
• Microsoft Intune. Tento proces vysvětluje následující postup. Další informace najdete v tématu Informace o podmíněném přístupu a Intune.

Bez ohledu na to, kterou metodu použijete, se zásady vynucují na portálu Cloud PC Pro koncové uživatele a při připojení ke cloudovým počítačům.

1. Přihlaste se do Centra pro správu Microsoft Intune a vyberte Zabezpečení >koncových bodůPodmíněný přístup>Vytvořit novou zásadu.

2. Zadejte Název pro konkrétní zásady podmíněného přístupu.

3. V části Uživatelé vyberte 0 vybraných uživatelů a skupin.

4. Na kartě Zahrnout vyberte Vybrat uživatele a skupiny a zaškrtněte políčko Uživatelé a skupiny. Pokud se nové podokno neotevře automaticky, vyberte 0 vybraných uživatelů a skupin.

5. V podokně Vybrat uživatele a skupiny , které se otevře, vyhledejte a vyberte konkrétní uživatele nebo skupiny, na které chcete cílit pomocí zásad podmíněného přístupu, a pak vyberte Vybrat.

6. V části Cílové prostředky vyberte Nejsou vybrané žádné cílové prostředky.

7. Na kartě Zahrnout vyberte Vybrat aplikace a pak v části Vybrat vyberte Žádné.

8. V podokně Vybrat vyhledejte a vyberte následující aplikace na základě prostředků, které se pokoušíte chránit:

   • Windows 365 (ID aplikace 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Tuto aplikaci můžete najít také tak, že vyhledáte "cloud". Tato aplikace se používá při načítání seznamu prostředků pro uživatele a při zahájení akcí na cloudovém počítači, jako je restartování.
   • Azure Virtual Desktop (ID aplikace 9cdead84-a844-4324-93f2-b2e6bb768d07) Tato aplikace se může zobrazit také jako Windows Virtual Desktop. Tato aplikace se používá k ověření ve službě Azure Virtual Desktop Gateway během připojení a při odesílání diagnostických informací do služby klientem.
   • Vzdálená plocha Microsoft (ID aplikace a4a365df-50f1-4397-bc59-1a1564b8bb9c) a přihlášení ke cloudu Windows (ID aplikace 270efc09-cd0d-444b-a71f-39af4910ec45). Tyto aplikace jsou potřeba jenom v případě, že ve svém prostředí nakonfigurujete jednotné přihlašování . Tyto aplikace se používají k ověřování uživatelů v cloudovém počítači.

   Doporučujeme mezi těmito aplikacemi shodovat zásady podmíněného přístupu. Tím se zajistí, že se zásady vztahují na portál Cloud PC Pro koncové uživatele, připojení k bráně a cloudový počítač pro zajištění konzistentního prostředí. Pokud chcete vyloučit aplikace, musíte také vybrat všechny tyto aplikace.

   Důležité

   S povoleným jednotným přihlašováním se dnes při ověřování ke cloudovým počítačům používá aplikace Microsoft Remote Desktop Entra ID. Chystaná změna převede ověřování na aplikaci Entra ID pro přihlášení ke cloudu Windows . Abyste zajistili hladký přechod, musíte do zásad podmíněného přístupu přidat obě aplikace Entra ID.

   Poznámka

   Pokud při konfiguraci zásad podmíněného přístupu nevidíte aplikaci Windows Cloud Login, vytvořte aplikaci pomocí následujícího postupu. Abyste mohli provést tyto změny, musíte mít k předplatnému oprávnění vlastníka nebo přispěvatele:

   1. Přihlaste se k webu Azure Portal.
   2. V seznamu služeb Azure vyberte Předplatná .
   3. Vyberte název předplatného.
   4. Vyberte Poskytovatelé prostředků a pak vyberte Microsoft.DesktopVirtualizace.
   5. Nahoře vyberte Zaregistrovat .

   Po registraci poskytovatele prostředků se aplikace Windows Cloud Login zobrazí v konfiguraci zásad podmíněného přístupu při výběru aplikací, na které se mají zásady použít. Pokud nepoužíváte Službu Azure Virtual Desktop, můžete zrušit registraci poskytovatele prostředků Microsoft.DesktopVirtualization, jakmile bude dostupná aplikace Windows Cloud Login.

9. Pokud chcete vyladit zásady, vyberte v části Udělenímožnost 0 vybraných ovládacích prvků.

10. V podokně Udělit zvolte možnosti udělení nebo blokování přístupu, které chcete použít pro všechny objekty přiřazené k této zásadě, a pak vyberte Vybrat.

11. Pokud chcete zásadu nejdřív otestovat, vyberte v části Povolit zásadumožnost Pouze sestava. Pokud ho nastavíte na Zapnuto, použije se zásada hned po jejím vytvoření.

12. Vyberte Vytvořit a vytvořte zásadu.

Seznam aktivních a neaktivních zásad můžete zobrazit v zobrazení Zásady v uživatelském rozhraní podmíněného přístupu.

Konfigurace frekvence přihlašování

Zásady četnosti přihlašování umožňují nakonfigurovat, jak často se uživatelé musí přihlašovat při přístupu k prostředkům založeným na Microsoft Entra. To může pomoct zabezpečit vaše prostředí a je to obzvláště důležité pro osobní zařízení, kde místní operační systém nemusí vyžadovat vícefaktorové ověřování nebo se po nečinnosti nemusí automaticky uzamknout. Uživatelům se při přístupu k prostředku zobrazí výzva k ověření jenom v případech, kdy se od Microsoft Entra ID vyžaduje nový přístupový token.

Zásady četnosti přihlašování mají za následek odlišné chování v závislosti na vybrané Microsoft Entra aplikaci:

Název aplikace	ID aplikace	Chování
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Vynucuje opětovné ověření, když uživatel načte seznam cloudových počítačů a když na svém cloudovém počítači zahájí akce, jako je restartování.
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Vynucuje opětovné ověření, když se uživatel během připojení ověřuje ve službě Azure Virtual Desktop Gateway.
Vzdálená plocha Microsoft Přihlášení ke cloudu Windows	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Vynucuje opětovné ověření, když se uživatel přihlásí ke cloudovému počítači, když je povolené jednotné přihlašování . Obě aplikace by měly být nakonfigurované společně, protože klienti brzy přejdou z aplikace Vzdálená plocha Microsoftu na aplikaci Windows Cloud Login, aby se mohli ověřovat na cloudovém počítači.

Konfigurace časového období, po kterém se uživateli zobrazí výzva k opětovnému přihlášení:

1. Otevřete zásadu, kterou jste vytvořili dříve.
2. V části Relace vyberte 0 vybraných ovládacích prvků.
3. V podokně Relace vyberte Frekvence přihlašování.
4. Vyberte Pravidelné opakované ověřování nebo Pokaždé.
   • Pokud vyberete Možnost Pravidelné opakované ověřování, nastavte hodnotu pro časové období, po kterém se uživateli při provádění akce, která vyžaduje nový přístupový token, a pak vyberte Vybrat. Například nastavení hodnoty na 1 a jednotky na Hodiny vyžaduje vícefaktorové ověřování, pokud se připojení spustí více než hodinu po posledním ověření uživatele.
   • Možnost Pokaždé je aktuálně dostupná ve verzi Preview a podporuje se jenom v případě, že se použije u aplikací Vzdálená plocha Microsoft a Přihlášení do cloudu, když je pro vaše cloudové počítače povolené jednotné přihlašování. Pokud vyberete možnost Pokaždé, zobrazí se uživatelům výzva k opětovnému ověření při spuštění nového připojení po uplynutí 5 až 10 minut od posledního ověření.
5. V dolní části stránky vyberte Uložit.

Poznámka

• K opětovnému ověření dochází pouze v případě, že se uživatel musí ověřit u prostředku a je potřeba nový přístupový token. Po navázání připojení se uživatelům nezobrazí výzva ani v případě, že připojení trvá déle, než je nakonfigurovaná frekvence přihlašování.
• Uživatelé se musí znovu ověřit, pokud dojde k přerušení sítě, které vynutí opětovné navázání relace po nakonfigurované frekvenci přihlašování. To může vést k častějším žádostem o ověření v nestabilních sítích.