Tworzenie zasad dostępu warunkowego

Jak wyjaśniono w artykule Co to jest dostęp warunkowy, zasady dostępu warunkowego to instrukcja if-then, z Przypisaniami i Kontrolami dostępu. Polityka dostępu warunkowego gromadzi sygnały w celu podejmowania decyzji i egzekwowania zasad organizacyjnych.

Jak organizacja tworzy te zasady? Co jest wymagane? Jak są one stosowane?

Wiele zasad dostępu warunkowego może mieć zastosowanie do pojedynczego użytkownika w dowolnym momencie. W takim przypadku wszystkie stosowane zasady muszą być spełnione. Jeśli na przykład jedna zasada wymaga uwierzytelniania wieloskładnikowego, a druga wymaga zgodnego urządzenia, musisz ukończyć uwierzytelnianie wieloskładnikowe i użyć zgodnego urządzenia. Wszystkie przypisania są logicznie anded. Jeśli skonfigurowano więcej niż jedno przypisanie, wszystkie przypisania muszą być spełnione, aby wyzwolić politykę.

Jeśli wybrano zasady "Wymagaj jednej z wybranych kontrolek", zostanie wyświetlony monit w określonej kolejności, gdy tylko wymagania dotyczące zasad zostaną spełnione, zostanie udzielony dostęp.

Wszystkie zasady są wymuszane w dwóch fazach:

• faza 1: zbieranie szczegółów sesji
  • Zbierz szczegóły sesji, takie jak lokalizacja sieciowa i tożsamość urządzenia niezbędne do oceny zasad.
  • Faza 1 oceny polityki odbywa się dla aktywnych polityk oraz polityk w trybie tylko do raportowania .
• faza 2: wymuszanie
  • Użyj szczegółów sesji zebranych w fazie 1, aby zidentyfikować wszelkie wymagania, które nie zostały spełnione.
  • Jeżeli istnieją zasady skonfigurowane przy użyciu bloku , który przyznaje kontrolę, wymuszanie zatrzymuje się na tym etapie i użytkownik zostaje zablokowany.
  • Użytkownik jest proszony o spełnienie dodatkowych wymagań dotyczących kontroli przydzielania, które nie zostały spełnione w fazie 1, w następującej kolejności, aż polityka będzie spełniona:
    1. uwierzytelnianie wieloskładnikowe
    2. Urządzenie, które ma być oznaczone jako zgodne
    3. hybrydowo przyłączone urządzenie Microsoft Entra
    4. Zatwierdzona aplikacja kliencka
    5. zasady ochrony aplikacji
    6. zmiana hasła
    7. Warunki użytkowania
    8. kontrolki niestandardowe
  • Po spełnieniu wszystkich kontrolek udzielania zastosuj kontrolki sesji (App Enforced, Microsoft Defender for Cloud Apps i okres istnienia tokenu)
  • Faza 2 oceny zasad jest wykonywana dla wszystkich włączonych zasad.

Przypisania

Sekcja przypisań kontroluje kogo, co i gdzie polityki dostępu warunkowego.

Użytkownicy i grupy

Użytkownicy i grupy, którym przypisuje się, czy polityka ich obejmuje lub wyklucza po zastosowaniu. To przypisanie może obejmować wszystkich użytkowników, określone grupy użytkowników, role katalogowe lub zewnętrznych użytkowników będących gośćmi.

Zasoby docelowe

zasoby docelowe mogą obejmować lub wykluczać aplikacje w chmurze, akcje użytkownika lub konteksty uwierzytelniania, które podlegają zasadom.

Sieć

sieci zawiera adresy IP, lokalizacje geograficzne i globalnego bezpiecznego dostępu do decyzji dotyczących zasad dostępu warunkowego. Administratorzy mogą definiować lokalizacje i oznaczać niektóre jako zaufane, takie jak te dla głównych lokalizacji sieciowych swojej organizacji.

Warunki

Zasady mogą zawierać wiele warunków .

Ryzyko związane z logowaniem

W przypadku organizacji z Microsoft Entra ID Protection, wykryte tam zagrożenia mogą mieć wpływ na zasady dostępu warunkowego.

Platformy urządzeń

Organizacje z wieloma platformami systemu operacyjnego urządzeń mogą wymuszać określone zasady na różnych platformach.

Informacje używane do obliczania platformy urządzenia pochodzą z niezweryfikowanych źródeł, takich jak ciągi agenta użytkownika, które można zmienić.

Aplikacje klienckie

Oprogramowanie, z których korzysta użytkownik w celu uzyskania dostępu do aplikacji w chmurze. Na przykład "Przeglądarka" i "Aplikacje mobilne i klienci komputerowi". Domyślnie wszystkie nowo utworzone zasady dostępu warunkowego mają zastosowanie do wszystkich typów aplikacji klienckich, nawet jeśli warunek aplikacji klienckich nie jest skonfigurowany.

Filtrowanie dla urządzeń

Ta kontrolka umożliwia kierowanie działań na określone urządzenia na podstawie ich atrybutów w ramach polityki.

Mechanizmy kontroli dostępu

Część zasad dostępu kontroluje sposób wymuszania zasad dostępu warunkowego.

Dotacja

Grant zapewnia administratorom środki do egzekwowania zasad, gdzie mogą blokować dostęp lub go udzielać.

Blokuj dostęp

Blokowanie dostępu dokładnie to robi: blokuje dostęp w ramach określonych przypisań. Kontrola bloku jest potężna i powinna być zarządzana z odpowiednią wiedzą.

Udzielanie dostępu

Kontrolka udzielania może wyzwalać wymuszanie co najmniej jednej kontrolki.

• Wymaganie uwierzytelniania wieloskładnikowego
• Wymagaj, aby urządzenie było oznaczone jako zgodne (Intune)
• Wymagaj hybrydowego urządzenia przyłączonego do Microsoft Entra
• Wymagaj zatwierdzonej aplikacji klienckiej
• Wymaganie zasad ochrony aplikacji
• Wymagaj zmiany hasła
• Wymaganie warunków użytkowania

Administratorzy mogą zdecydować się na wymaganie jednej z poprzednich kontrolek lub wszystkich wybranych kontrolek przy użyciu następujących opcji. Ustawieniem domyślnym dla wielu kontrolek jest wymaganie wszystkich.

• Wymagaj wszystkich wybranych kontrolek (kontrola i kontrola)
• Wymagaj jednej z wybranych kontrolek (element kontrolny lub wskaźnik)

Sesja

Kontrolki sesji mogą ograniczyć doświadczenie użytkowników.

• Użyj ograniczeń wymuszanych przez aplikację:
  • Obecnie działa tylko z usługami Exchange Online i SharePoint Online.
  • Przekazuje informacje o urządzeniu, aby umożliwić kontrolę doświadczenia poprzez udzielanie pełnego lub ograniczonego dostępu.
• Użyj kontroli dostępu warunkowego aplikacji:
  • Używa sygnałów z usługi Microsoft Defender for Cloud Apps do wykonywania takich czynności jak:
    • Blokuj pobieranie, wycinanie, kopiowanie i drukowanie poufnych dokumentów.
    • Monitoruj ryzykowne zachowania związane z sesją.
    • Wymagaj etykietowania poufnych plików.
• Częstotliwość logowania:
  • Możliwość zmiany domyślnej częstotliwości logowania dla nowoczesnego uwierzytelniania.
• Trwała sesja przeglądarki:
  • Umożliwia użytkownikom pozostanie zalogowanym po zamknięciu i ponownym otwarciu okna przeglądarki.
• Dostosuj ocenę ciągłego dostępu
• Wyłącz domyślne ustawienia odporności

Proste zasady

Zasady dostępu warunkowego muszą zawierać co najmniej następujące elementy, które należy wymusić:

• Nazwa polityki.
• Przypisania
  • użytkownicy i/lub grupy, do których ma być zastosowana polityka.
  • Aplikacje w chmurze lub akcje, do zastosowania polityki.
• Kontrola dostępu
  • Udzielaj kontroli lub Blokuj

Artykuł Typowe zasady dostępu warunkowego zawiera niektóre zasady, które uważamy za przydatne dla większości organizacji.

Powiązana zawartość

• tworzenie zasad dostępu warunkowego

• Zarządzanie zgodnością urządzeń za pomocą usługi Intune

• Microsoft Defender for Cloud Apps i Dostęp Warunkowy