Tworzenie zasad dostępu warunkowego

Jak wyjaśniono w artykule Co to jest dostęp warunkowy, zasady dostępu warunkowego są instrukcją if-then, przypisania i kontroli dostępu. Zasady dostępu warunkowego łączą sygnały, podejmowanie decyzji i wymuszanie zasad organizacji.

Jak organizacja tworzy te zasady? Co jest wymagane? Jak są one stosowane?

Wiele zasad dostępu warunkowego może mieć zastosowanie do pojedynczego użytkownika w dowolnym momencie. W takim przypadku wszystkie stosowane zasady muszą być spełnione. Jeśli na przykład jedna zasada wymaga uwierzytelniania wieloskładnikowego, a druga wymaga zgodnego urządzenia, musisz ukończyć uwierzytelnianie wieloskładnikowe i użyć zgodnego urządzenia. Wszystkie przypisania są logicznie anDed. Jeśli skonfigurowano więcej niż jedno przypisanie, wszystkie przypisania muszą być spełnione, aby wyzwolić zasady.

Jeśli wybrano zasady "Wymagaj jednej z wybranych kontrolek", zostanie wyświetlony monit w określonej kolejności, gdy tylko wymagania dotyczące zasad zostaną spełnione, zostanie udzielony dostęp.

Wszystkie zasady są wymuszane w dwóch fazach:

• Faza 1. Zbieranie szczegółów sesji
  • Zbierz szczegóły sesji, takie jak lokalizacja sieciowa i tożsamość urządzenia niezbędne do oceny zasad.
  • Faza 1 oceny zasad jest wykonywana dla zasad i zasad w trybie tylko do raportowania.
• Faza 2. Wymuszanie
  • Użyj szczegółów sesji zebranych w fazie 1, aby zidentyfikować wszelkie wymagania, które nie zostały spełnione.
  • Jeśli istnieją zasady skonfigurowane z kontrolą udzielania bloków, wymuszanie zostanie zatrzymane w tym miejscu i użytkownik zostanie zablokowany.
  • Użytkownik jest monitowany o ukończenie większej liczby wymagań dotyczących kontroli udzielania, które nie zostały spełnione w fazie 1 w następującej kolejności, dopóki zasady nie będą spełnione:
    1. Uwierzytelnianie wieloskładnikowe
    2. Urządzenie do oznaczenia jako zgodne
    3. Urządzenie dołączone hybrydo do firmy Microsoft Entra
    4. Zatwierdzona aplikacja kliencka
    5. zasady Ochrona aplikacji
    6. Zmiana hasła
    7. Warunki użytkowania
    8. Kontrolki niestandardowe
  • Po spełnieniu wszystkich kontrolek udzielania zastosuj kontrolki sesji (App Enforced, Microsoft Defender dla Chmury Apps i token Lifetime)
  • Faza 2 oceny zasad jest wykonywana dla wszystkich włączonych zasad.

Przypisania

Część przypisań kontroluje, kto, co i gdzie zasady dostępu warunkowego.

Użytkownicy i grupy

Użytkownicy i grupy przypisują, którzy zasady obejmują lub wykluczają je po zastosowaniu. To przypisanie może obejmować wszystkich użytkowników, określone grupy użytkowników, role katalogu lub zewnętrznych użytkowników-gości.

Zasoby docelowe

Zasoby docelowe mogą obejmować lub wykluczać aplikacje w chmurze, akcje użytkownika lub konteksty uwierzytelniania, które podlegają zasadom.

Sieć

Sieć zawiera adresy IP, lokalizacje geograficzne i zgodną z globalną siecią bezpiecznego dostępu do decyzji dotyczących zasad dostępu warunkowego. Administracja istratorzy mogą wybrać definiowanie lokalizacji i oznaczanie niektórych jako zaufanych, takich jak te dla podstawowych lokalizacji sieciowych swojej organizacji.

Warunki

Zasady mogą zawierać wiele warunków.

Ryzyko związane z logowaniem

W przypadku organizacji z Ochrona tożsamości Microsoft Entra wykryte tam zagrożenia mogą mieć wpływ na zasady dostępu warunkowego.

Platformy urządzeń

Organizacje z wieloma platformami systemu operacyjnego urządzeń mogą wymuszać określone zasady na różnych platformach.

Informacje używane do obliczania platformy urządzenia pochodzą z niezweryfikowanych źródeł, takich jak ciągi agenta użytkownika, które można zmienić.

Aplikacje klienckie

Oprogramowanie, z których korzysta użytkownik w celu uzyskania dostępu do aplikacji w chmurze. Na przykład "Przeglądarka" i "Aplikacje mobilne i klienci klasyczni". Domyślnie wszystkie nowo utworzone zasady dostępu warunkowego mają zastosowanie do wszystkich typów aplikacji klienckich, nawet jeśli warunek aplikacji klienckich nie jest skonfigurowany.

Filtr dla urządzeń

Ta kontrolka umożliwia określanie wartości docelowych określonych urządzeń na podstawie ich atrybutów w zasadach.

Kontrole dostępu

Część zasad dostępu kontroluje sposób wymuszania zasad dostępu warunkowego.

Grant

Udzielanie zapewnia administratorom środki wymuszania zasad, w których mogą blokować lub udzielać dostępu.

Zablokuj dostęp

Blokuj dostęp powoduje to zablokowanie dostępu w ramach określonych przypisań. Kontrolka bloku jest potężna i powinna być dzierżona odpowiednią wiedzą.

Udzielanie dostępu

Kontrolka udzielania może wyzwalać wymuszanie co najmniej jednej kontrolki.

• Wymaganie uwierzytelniania wieloskładnikowego
• Wymagaj, aby urządzenie było oznaczone jako zgodne (Intune)
• Wymagaj urządzenia przyłączonego hybrydowego firmy Microsoft Entra
• Wymaganie zatwierdzonej aplikacji klienckiej
• Wymaganie zasad ochrony aplikacji
• Wymaganie zmiany haseł
• Wymaganie warunków użytkowania

Administracja istratory mogą wymagać jednej z poprzednich kontrolek lub wszystkich wybranych kontrolek przy użyciu następujących opcji. Ustawieniem domyślnym dla wielu kontrolek jest wymaganie wszystkich.

• Wymagaj wszystkich wybranych kontrolek (kontrolka i kontrolka)
• Wymagaj jednej z wybranych kontrolek (kontrolka lub kontrolka)

Sesja

Kontrolki sesji mogą ograniczać środowisko użytkowników.

• Użyj ograniczeń wymuszanych przez aplikację:
  • Obecnie działa tylko z usługami Exchange Online i SharePoint Online.
  • Przekazuje informacje o urządzeniu, aby umożliwić kontrolę nad udzielaniem pełnego lub ograniczonego dostępu.
• Użyj kontroli dostępu warunkowego aplikacji:
  • Używa sygnałów z usługi Microsoft Defender dla Chmury Apps do wykonywania takich czynności jak:
    • Blokuj pobieranie, wycinanie, kopiowanie i drukowanie poufnych dokumentów.
    • Monitoruj ryzykowne zachowanie sesji.
    • Wymagaj etykietowania poufnych plików.
• Częstotliwość logowania:
  • Możliwość zmiany domyślnej częstotliwości logowania dla nowoczesnego uwierzytelniania.
• Trwała sesja przeglądarki:
  • Umożliwia użytkownikom pozostanie zalogowanym po zamknięciu i ponownym otwarciu okna przeglądarki.
• Dostosowywanie ciągłej weryfikacji dostępu
• Wyłącz ustawienia domyślne odporności

Proste zasady

Zasady dostępu warunkowego muszą zawierać co najmniej następujące elementy, które należy wymusić:

• Nazwa zasad.
• Przypisania
  • Użytkownicy i/lub grupy , do których mają być stosowane zasady.
  • Aplikacje lub akcje w chmurze, do których mają być stosowane zasady.
• Kontrole dostępu
  • Udzielanie lub blokowanie kontrolek

Artykuł Typowe zasady dostępu warunkowego zawiera niektóre zasady, które uważamy za przydatne dla większości organizacji.

Powiązana zawartość

• Tworzenie zasady dostępu warunkowego

• Zarządzanie zgodnością urządzeń z usługą Intune

• aplikacje Microsoft Defender dla Chmury i dostęp warunkowy