Udostępnij za pośrednictwem


Dostęp warunkowy: zasoby docelowe

Zasoby docelowe (wcześniej aplikacje w chmurze, akcje i kontekst uwierzytelniania) są kluczowymi sygnałami w zasadach dostępu warunkowego. Zasady dostępu warunkowego umożliwiają administratorom przypisywanie kontrolek do określonych aplikacji, usług, akcji lub kontekstu uwierzytelniania.

  • Administratorzy mogą wybrać spośród listy aplikacji lub usług, które obejmują wbudowane aplikacje firmy Microsoft i wszystkie zintegrowane aplikacje firmy Microsoft, w tym galerię, spoza galerii i aplikacje opublikowane za pośrednictwem serwer proxy aplikacji.
  • Administratorzy mogą zdecydować się na zdefiniowanie zasad nie opartych na aplikacji w chmurze, ale na akcji użytkownika, takiej jak Rejestrowanie informacji o zabezpieczeniach lub rejestrowanie lub dołączanie urządzeń, co umożliwia dostęp warunkowy do wymuszania kontroli wokół tych akcji.
  • Administratorzy mogą kierować profile przesyłania dalej ruchu z globalnego bezpiecznego dostępu w celu zwiększenia funkcjonalności.
  • Administratorzy mogą używać kontekstu uwierzytelniania, aby zapewnić dodatkową warstwę zabezpieczeń w aplikacjach.

Zrzut ekranu przedstawiający zasady dostępu warunkowego i panel zasobów docelowych.

Aplikacje w chmurze firmy Microsoft

Wiele istniejących aplikacji w chmurze firmy Microsoft znajduje się na liście aplikacji, z której można je wybrać.

Administratorzy mogą przypisać zasady dostępu warunkowego do tych aplikacji w chmurze firmy Microsoft. Niektóre aplikacje, takie jak Office 365 i API zarządzania usługą Windows Azure, obejmują wiele powiązanych aplikacji podrzędnych lub usług.

Ważne

Aplikacje, które są dostępne do dostępu warunkowego, przechodzą przez proces dołączania i walidacji. Te aplikacje nie obejmują wszystkich aplikacji firmy Microsoft. Wiele aplikacji to usługi zaplecza, które nie mają mieć do nich bezpośrednio zastosowanych zasad. Jeśli szukasz brakującej aplikacji, możesz skontaktować się z konkretnym zespołem aplikacji lub wysłać żądanie w witrynie UserVoice.

Office 365

Platforma Microsoft 365 oferuje oparte na chmurze usługi zwiększające produktywność i współpracę, takie jak Exchange, SharePoint i Microsoft Teams. Usługi w chmurze platformy Microsoft 365 są głęboko zintegrowane, aby zapewnić bezproblemowe i wspólne środowisko pracy. Ta integracja może spowodować zamieszanie podczas tworzenia zasad, takich jak niektóre aplikacje, takie jak Microsoft Teams, mają zależności od innych, takich jak SharePoint lub Exchange.

Pakiet Office 365 umożliwia jednoczesne odnoszenie się do wszystkich tych usług. Zalecamy użycie nowego pakietu usługi Office 365 zamiast określania docelowych dla poszczególnych aplikacji w chmurze, aby uniknąć problemów z zależnościami usług.

Ukierunkowanie tej grupy aplikacji pomaga uniknąć problemów, które mogą wystąpić z powodu niespójnych zasad i zależności. Na przykład: aplikacja Exchange Online jest powiązana z tradycyjnymi danymi usługi Exchange Online, takimi jak poczta, kalendarz i informacje kontaktowe. Powiązane metadane mogą być udostępniane za pośrednictwem różnych zasobów, takich jak wyszukiwanie. Aby zapewnić ochronę wszystkich metadanych zgodnie z oczekiwaniami, administratorzy powinni przypisać zasady do aplikacji usługi Office 365.

Administratorzy mogą wykluczyć cały pakiet Office 365 lub określone aplikacje w chmurze usługi Office 365 z zasad dostępu warunkowego.

Pełną listę wszystkich dostępnych usług można znaleźć w artykule Aplikacje zawarte w pakiecie aplikacji Office 365 dla dostępu warunkowego.

Interfejs API zarządzania usługami platformy Microsoft Azure

W przypadku odnoszenia się do aplikacji Windows Azure Service Management API zasady są egzekwowane w odniesieniu do tokenów wystawionych dla zestawu usług ściśle powiązanych z portalem. To grupowanie obejmuje identyfikatory aplikacji:

  • Azure Resource Manager
  • Witryna Azure Portal, która obejmuje również centrum administracyjne Microsoft Entra
  • Azure Data Lake
  • Interfejs API usługi Application Insights
  • Interfejs API analizy dzienników

Ponieważ zasady są stosowane do portalu zarządzania Platformy Azure i interfejsu API, usług lub klientów z zależnością usługi interfejsu API platformy Azure, mogą mieć wpływ pośrednio. Na przykład:

  • Interfejs wiersza polecenia platformy Azure
  • Portal usługi Azure Data Factory
  • Azure DevOps
  • Azure Event Hubs
  • Azure PowerShell
  • Azure Service Bus
  • Azure SQL Database
  • Azure Synapse
  • Klasyczne interfejsy API modelu wdrażania
  • Centrum administracyjne platformy Microsoft 365
  • Microsoft IoT Central
  • Wystąpienie zarządzane SQL
  • Portal administratora subskrypcji programu Visual Studio

Uwaga

Aplikacja interfejsu API zarządzania usługami platformy Windows Azure ma zastosowanie do programu Azure PowerShell, który wywołuje interfejs API usługi Azure Resource Manager. Nie dotyczy Microsoft Graph PowerShell, który wywołuje API Microsoft Graph.

Aby uzyskać więcej informacji na temat konfigurowania przykładowych zasad dla usługi Windows Azure Service Management API, zobacz Dostęp warunkowy: wymaganie uwierzytelniania wieloskładnikowego na potrzeby zarządzania platformą Azure.

Napiwek

W przypadku platformy Azure Government należy zastosować aplikację interfejsu API zarządzania chmurą platformy Azure Dla instytucji rządowych.

Portale administracyjne Microsoft

Gdy zasady dostępu warunkowego odnoszą się do aplikacji chmurowej Microsoft Admin Portals, zasady są egzekwowane w odniesieniu do tokenów wystawionych dla identyfikatorów aplikacji następujących portali administracyjnych firmy Microsoft:

  • Azure Portal
  • Centrum administracyjne programu Exchange
  • Centrum administracyjne platformy Microsoft 365
  • Portal Microsoft 365 Defender
  • Centrum administracyjne Microsoft Entra
  • Centrum administracyjne Microsoft Intune
  • Portal zgodności Microsoft Purview
  • Centrum administracyjne platformy Microsoft Teams

Stale dodajemy do listy kolejne portale administracyjne.

Uwaga

Aplikacja Portale administracyjne firmy Microsoft ma zastosowanie tylko do logowania interakcyjnego do wymienionych portali administracyjnych. Logowania do podstawowych zasobów lub usług, takich jak Microsoft Graph lub Azure Resource Manager API, nie są objęte tą aplikacją. Te zasoby są chronione przez aplikację interfejsu API zarządzania usługami platformy Windows Azure. To grupowanie umożliwia klientom przejście przez proces wdrażania uwierzytelniania wieloskładnikowego dla administratorów bez wpływu na automatyzację, która opiera się na interfejsach API i programie PowerShell. Gdy będziesz gotowy, firma Microsoft zaleca korzystanie z polityki wymagającej administratorów do stosowania uwierzytelniania wieloskładnikowego zawsze, aby zapewnić kompleksową ochronę.

Inne aplikacje

Administratorzy mogą dodać dowolną zarejestrowaną aplikację usługi Microsoft Entra do zasad dostępu warunkowego. Te aplikacje mogą obejmować:

Uwaga

Ponieważ zasady dostępu warunkowego określają wymagania dotyczące uzyskiwania dostępu do usługi, nie można zastosować jej do aplikacji klienckiej (publicznej/natywnej). Innymi słowy, zasady nie są ustawiane bezpośrednio w aplikacji klienckiej (publicznej/natywnej), ale są stosowane, gdy klient wywołuje usługę. Na przykład zasady ustawione w usłudze SharePoint mają zastosowanie do wszystkich klientów wywołujących program SharePoint. Zasady ustawione w programie Exchange dotyczą próby uzyskania dostępu do poczty e-mail przy użyciu klienta programu Outlook. Dlatego w oknie wyboru aplikacji nie są dostępne do wyboru aplikacje klienckie (publiczne/natywne), a opcja Dostępu Warunkowego nie jest dostępna w ustawieniach aplikacji dla takich aplikacji zarejestrowanych w twojej dzierżawie.

Niektóre aplikacje w ogóle nie są wyświetlane w selektorze. Jedynym sposobem uwzględnienia tych aplikacji w zasadach dostępu warunkowego jest uwzględnienie wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze").

Opis dostępu warunkowego dla różnych typów klientów

Dostęp warunkowy ma zastosowanie do zasobów, które nie są klientami, z wyjątkiem sytuacji, gdy klient jest poufnym klientem żądającym tokenu identyfikatora.

  • Klient publiczny
    • Klienci publiczni to klienci, którzy działają lokalnie na urządzeniach, takich jak Microsoft Outlook w aplikacjach klasycznych lub mobilnych, takich jak Microsoft Teams.
    • Zasady dostępu warunkowego nie mają zastosowania do samego klienta publicznego, ale mają zastosowanie na podstawie zasobów żądanych przez klientów publicznych.
  • Poufny klient
    • Dostęp warunkowy ma zastosowanie do zasobów żądanych przez klienta i samego klienta poufnego, jeśli żąda tokenu identyfikatora.
    • Na przykład: Jeśli program Outlook Web żąda tokenu dla zakresów Mail.Read i Files.Read, dostęp warunkowy stosuje zasady dla programów Exchange i SharePoint. Ponadto jeśli program Outlook Web żąda tokenu identyfikatora, dostęp warunkowy stosuje również zasady dla programu Outlook Web.

Aby wyświetlić dzienniki logowania dla tych typów klientów z centrum administracyjnego firmy Microsoft Entra:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako przynajmniej Czytelnik raportów.
  2. Przejdź do Identity>Monitorowanie & health>Dzienniki logowania.
  3. Dodaj filtr dla typu poświadczeń klienta .
  4. Dostosuj filtr, aby wyświetlić określony zestaw dzienników na podstawie poświadczeń klienta używanych w logowaniu.

Aby uzyskać więcej informacji, zobacz artykuł Publiczne aplikacje klienckie i poufne aplikacje klienckie.

Wszystkie zasoby

Zastosowanie zasad dostępu warunkowego do Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze") bez żadnych wykluczeń aplikacji sprawia, że zasady są egzekwowane dla wszystkich żądań tokenów ze wszystkich witryn internetowych i usług, w tym Global Secure Access profili przekazywania ruchu. Ta opcja obejmuje aplikacje, które nie są indywidualnie przeznaczone dla zasad dostępu warunkowego, takie jak Windows Azure Active Directory (0000002-0000-0000-0000-c000-00000000000).

Ważne

Firma Microsoft zaleca utworzenie podstawowych zasad uwierzytelniania wieloskładnikowego przeznaczonego dla wszystkich użytkowników i wszystkich zasobów (bez żadnych wykluczeń aplikacji), takich jak opisane w artykule Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.

Zachowanie dostępu warunkowego, gdy zasada dla wszystkich zasobów ma wykluczenie aplikacji

Jeśli jakakolwiek aplikacja zostanie wykluczona z zasad, aby nie przypadkowo zablokować dostępu użytkowników, niektóre zakresy niskich uprawnień są wykluczone z wymuszania zasad. Te zakresy umożliwiają wywołania bazowych interfejsów API programu Graph, takich jak Windows Azure Active Directory (0000002-0000-0000-c000-000000000000000) i Microsoft Graph (00000003-0000-0000-c000-000000000000), aby uzyskać dostęp do informacji o profilu użytkownika i członkostwie w grupach często używanych przez aplikacje w ramach uwierzytelniania. Na przykład: gdy program Outlook żąda tokenu dla programu Exchange, prosi również o zakres User.Read, aby móc wyświetlać podstawowe informacje o koncie bieżącego użytkownika.

Większość aplikacji ma podobne zależności, dlatego te zakresy niskich uprawnień są automatycznie wykluczane za każdym razem, gdy aplikacja zostaje wykluczona w zasadzie Wszystkie zasoby. Te wykluczenia z zakresu niskich uprawnień nie zezwalają na dostęp do danych poza podstawowymi informacjami o profilu użytkownika i grupie. Wykluczone zakresy są wymienione w następujący sposób, zgoda jest nadal wymagana, aby aplikacje korzystały z tych uprawnień.

  • Klienci natywni i aplikacje jednostronicowe (SPA) mają dostęp do następujących zakresów niskich uprawnień:
    • Azure AD Graph: email, offline_access, openid, profile, User.Read
    • Microsoft Graph: email, offline_access, openid, profile, User.Read, People.Read
  • Poufni klienci mają dostęp do następujących zakresów niskich uprawnień, jeśli są wykluczeni z Wszystkie zasoby polityki:
    • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All,User.ReadBasic.All
    • Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

Aby uzyskać więcej informacji na temat wymienionych zakresów, zobacz informacja o uprawnieniach w Microsoft Graph oraz Zakresy i uprawnienia w platformie tożsamości Microsoft.

Ochrona informacji o katalogu

Jeśli zalecanych zasad uwierzytelniania wieloskładnikowego bez wykluczeń aplikacji nie można skonfigurować ze względu na przyczyny biznesowe, zasady zabezpieczeń organizacji muszą obejmować zakresy z niskimi uprawnieniami związane z katalogiem (User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden), alternatywą jest utworzenie oddzielnej zasady dostępu warunkowego przeznaczonego dla Windows Azure Active Directory (00000002-0000-0000-c000-000000000000000). Usługa Windows Azure Active Directory (nazywana również usługą Azure AD Graph) to zasób reprezentujący dane przechowywane w katalogu, takim jak użytkownicy, grupy i aplikacje. Zasób usługi Windows Azure Active Directory jest uwzględniony w Wszystkie zasoby, ale może być indywidualnie objęty zasadami dostępu warunkowego, wykonując następujące czynności:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako administrator definicji atrybutów i administrator przypisania atrybutów .
  2. Przejdź do Protection>atrybutów zabezpieczeń niestandardowych.
  3. Utwórz nowy zestaw atrybutów i definicję atrybutów. Aby uzyskać więcej informacji, zobacz Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w usłudze Microsoft Entra ID.
  4. Przejdź do witryny Identity>Applications>Enterprise applications.
  5. Usuń filtr typ aplikacji i wyszukaj numer aplikacji , rozpoczynający się od 00000002-0000-0000-c000-000000000000.
  6. Wybierz Windows Azure Active Directory>Atrybuty zabezpieczeń niestandardowych>Dodaj przypisanie.
  7. Wybierz zestaw atrybutów i wartość atrybutu, która ma być używana w zasadach.
  8. Przejdź do Ochrona>Zasady dostępu warunkowego>.
  9. Utwórz lub zmodyfikuj istniejące zasady.
  10. W obszarze Target resources>Resources (dawniej aplikacje w chmurze)>Uwzględnijwybierz pozycję >Wybierz zasoby>Edytuj filtr.
  11. Dostosuj filtr, aby uwzględnić zestaw atrybutów i definicję z wcześniejszej wersji.
  12. Zapisz politykę

Wszystkie zasoby internetowe z globalnym bezpiecznym dostępem

Opcja Wszystkie zasoby internetowe z globalnym bezpiecznym dostępem umożliwia administratorom kierowanie profilu przekazywania ruchu do Internetu z Dostęp do Internetu Microsoft Entra.

Te profile w globalnym bezpiecznym dostępie umożliwiają administratorom definiowanie i kontrolowanie sposobu kierowania ruchu przez Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra. Profile przekazywania ruchu można przypisać do urządzeń i sieci zdalnych. Aby zapoznać się z przykładem zastosowania zasad dostępu warunkowego do tych profilów ruchu, zobacz artykuł How to apply Conditional Access policies to the Microsoft 365 traffic profile (Jak stosować zasady dostępu warunkowego do profilu ruchu platformy Microsoft 365).

Aby uzyskać więcej informacji na temat tych profilów, zobacz artykuł Global Secure Access traffic forwarding profiles (Globalne profile przekazywania ruchu bezpiecznego dostępu).

Akcje użytkownika

Akcje użytkownika to zadania wykonywane przez użytkownika. Obecnie dostęp warunkowy obsługuje dwie akcje użytkownika:

  • Zarejestruj informacje o zabezpieczeniach: ta akcja użytkownika umożliwia wymuszanie zasad dostępu warunkowego, gdy użytkownicy włączeni do połączonej rejestracji próbują zarejestrować swoje informacje zabezpieczające. Więcej informacji można znaleźć w artykule Rejestracja połączonych informacji zabezpieczających.

Uwaga

Gdy administratorzy stosują zasady przeznaczone dla akcji użytkownika w celu zarejestrowania informacji zabezpieczających, jeśli konto użytkownika jest gościem z konta osobistego Microsoft (MSA), przy użyciu kontrolki "Wymagaj uwierzytelniania wieloskładnikowego", będzie wymagać od użytkownika MSA zarejestrowania informacji zabezpieczających w organizacji. Jeśli użytkownik-gość pochodzi z innego dostawcy, takiego jak Google, dostęp jest zablokowany.

  • Rejestrowanie lub dołączanie urządzeń: ta akcja użytkownika umożliwia administratorom wymuszanie zasad dostępu warunkowego podczas rejestrowania lub dołączania urządzeń do identyfikatora Entra firmy Microsoft. Zapewnia ona stopień szczegółowości konfigurowania uwierzytelniania wieloskładnikowego na potrzeby rejestrowania lub dołączania urządzeń zamiast zasad dotyczących całej dzierżawy, które obecnie istnieją. Istnieją trzy kluczowe zagadnienia dotyczące tej akcji użytkownika:
    • Require multifactor authentication jest jedyną kontrolą dostępu dostępną w tej akcji użytkownika, a wszystkie inne są wyłączone. To ograniczenie zapobiega konfliktom z mechanizmami kontroli dostępu, które są zależne od rejestracji urządzeń firmy Microsoft Entra lub nie mają zastosowania do rejestracji urządzeń firmy Microsoft Entra.
    • Client apps, Filters for devicesi Device state warunki nie są dostępne dla tej akcji użytkownika, ponieważ są one zależne od rejestracji urządzeń Firmy Microsoft Entra w celu wymuszenia zasad dostępu warunkowego.

Ostrzeżenie

Po skonfigurowaniu zasad dostępu warunkowego przy użyciu akcji użytkownika Rejestrowanie lub dołączanie urządzeń należy ustawić ustawienie>na > W przeciwnym razie zasady dostępu warunkowego z tą akcją użytkownika nie są prawidłowo wymuszane. Więcej informacji na temat tego ustawienia urządzenia można znaleźć w temacie Konfigurowanie ustawień urządzenia.

Kontekst uwierzytelniania

Kontekst uwierzytelniania może służyć do dalszego zabezpieczania danych i akcji w aplikacjach. Te aplikacje mogą być własnymi aplikacjami niestandardowymi, niestandardowymi aplikacjami biznesowymi (LOB), aplikacjami, takimi jak SharePoint, lub aplikacjami chronionymi przez usługę Microsoft Defender for Cloud Apps.

Na przykład organizacja może przechowywać pliki w witrynach programu SharePoint, takich jak menu obiadowe lub tajny przepis sosu GRILL. Każdy może mieć dostęp do witryny menu obiadowego, ale użytkownicy, którzy mają dostęp do tajnego witryny przepisy sosu grillowego, mogą potrzebować dostępu z zarządzanego urządzenia i wyrazić zgodę na określone warunki użytkowania.

Kontekst uwierzytelniania współpracuje z użytkownikami lub tożsamościami obciążeń, ale nie w tych samych zasadach dostępu warunkowego.

Konfigurowanie kontekstów uwierzytelniania

Konteksty uwierzytelniania są zarządzane w obszarze >warunkowego.

Zrzut ekranu przedstawiający zarządzanie kontekstami uwierzytelniania.

Utwórz nowe definicje kontekstu uwierzytelniania, wybierając pozycję Nowy kontekst uwierzytelniania. Organizacje są ograniczone do łącznie 99 definicji kontekstu uwierzytelniania c1-c99. Skonfiguruj następujące atrybuty:

  • Nazwa wyświetlana to nazwa używana do identyfikowania kontekstu uwierzytelniania w identyfikatorze Entra firmy Microsoft i w aplikacjach korzystających z kontekstów uwierzytelniania. Zalecamy używanie nazw między zasobami, takimi jak zaufane urządzenia, aby zmniejszyć wymaganą liczbę kontekstów uwierzytelniania. Posiadanie ograniczonego zestawu ogranicza liczbę przekierowań i zapewnia lepsze środowisko użytkownika końcowego.
  • Opis zawiera więcej informacji na temat zasad używanych przez administratorów i osób stosujących konteksty uwierzytelniania do zasobów.
  • Pole wyboru Publikuj w aplikacjach po zaznaczeniu anonsuje kontekst uwierzytelniania do aplikacji i udostępnia je do przypisania. Jeśli kontekst uwierzytelniania nie jest sprawdzany, jest niedostępny dla zasobów podrzędnych.
  • Identyfikator jest tylko do odczytu i używany w tokenach i aplikacjach dla definicji kontekstu uwierzytelniania specyficznego dla żądania. Wymienione tutaj na potrzeby rozwiązywania problemów i przypadków użycia programowania.

Dodawanie do zasad dostępu warunkowego

Administratorzy mogą wybrać opublikowane konteksty uwierzytelniania w zasadach dostępu warunkowego w obszarze Przypisania>aplikacje lub akcje w chmurze i wybrać kontekst uwierzytelniania z menu Wybierz, które zasady mają zastosowanie do menu.

Zrzut ekranu przedstawiający sposób dodawania kontekstu uwierzytelniania dostępu warunkowego do zasad

Usuwanie kontekstu uwierzytelniania

Po usunięciu kontekstu uwierzytelniania upewnij się, że żadne aplikacje nie korzystają z niego. W przeciwnym razie dostęp do danych aplikacji nie jest już chroniony. To wymaganie wstępne można potwierdzić, sprawdzając dzienniki logowania w przypadkach, gdy są stosowane zasady dostępu warunkowego kontekstu uwierzytelniania.

Aby usunąć kontekst uwierzytelniania, nie musi mieć przypisanych zasad dostępu warunkowego i nie może być publikowany w aplikacjach. To wymaganie pomaga zapobiec przypadkowemu usunięciu kontekstu uwierzytelniania, który jest nadal używany.

Tagowanie zasobów przy użyciu kontekstów uwierzytelniania

Aby uzyskać więcej informacji na temat użycia kontekstu uwierzytelniania w aplikacjach, zobacz następujące artykuły.

Następne kroki