Beskriv betinget adgang til Azure

  • 3 minutter

Betinget adgang er et værktøj, som Microsoft Entra ID bruger til at tillade (eller nægte) adgang til ressourcer, der er baseret på identitetssignaler. Disse signaler omfatter, hvem brugeren er, hvor brugeren er, og hvilken enhed brugeren anmoder om adgang fra.

Betinget adgang hjælper it-administratorer:

  • Gør det muligt for brugerne at være produktive, uanset hvor og hvornår.
  • Beskyt organisationens aktiver.

Betinget adgang giver også brugerne en mere detaljeret flerfaktorgodkendelsesoplevelse. En bruger kan f.eks. ikke blive udfordret for den anden godkendelsesfaktor, hvis vedkommende er på en kendt placering. De kan dog blive udfordret for en anden godkendelsesfaktor, hvis deres logonsignaler er usædvanlige, eller de er på et uventet sted.

Under logon indsamler Betinget adgang signaler fra brugeren, træffer beslutninger baseret på disse signaler og gennemtvinger derefter denne beslutning ved at tillade eller nægte adgangsanmodningen eller udfordrende for et multifaktorgodkendelsessvar.

I følgende diagram illustreres dette flow:

diagram, der viser flowet for betinget adgang for et signal, der fører til en beslutning, der fører til håndhævelse.

Her kan signalet være brugerens placering, brugerens enhed eller det program, som brugeren forsøger at få adgang til.

Baseret på disse signaler kan beslutningen være at give fuld adgang, hvis brugeren logger på fra sin sædvanlige placering. Hvis brugeren logger på fra en usædvanlig placering eller en placering, der er markeret som høj risiko, kan adgangen blive blokeret helt eller muligvis tildelt, når brugeren har angivet en anden form for godkendelse.

Tvangsfuldbyrdelse er den handling, der udfører afgørelsen. Handlingen er f.eks. at tillade adgang eller kræve, at brugeren angiver en anden form for godkendelse.

Hvornår kan jeg bruge betinget adgang?

Betinget adgang er nyttig, når du har brug for at:

  • Kræv multifaktorgodkendelse for at få adgang til et program, afhængigt af anmoderens rolle, placering eller netværk. Du kan f.eks. kræve MFA for administratorer, men ikke almindelige brugere, eller for personer, der opretter forbindelse uden for virksomhedens netværk.
  • Kræv kun adgang til tjenester via godkendte klientprogrammer. Du kan f.eks. begrænse, hvilke mailprogrammer der kan oprette forbindelse til din mailtjeneste.
  • Kræv, at brugerne kun får adgang til dit program fra administrerede enheder. En administreret enhed er en enhed, der opfylder dine standarder for sikkerhed og overholdelse af angivne standarder.
  • Bloker adgang fra kilder, der ikke er tillid til, f.eks. adgang fra ukendte eller uventede placeringer.