Udostępnij za pośrednictwem


Struktura dostępu warunkowego i zasady

Ten artykuł przedstawia ramy do implementacji architektury dostępu warunkowego opartej na personach, takiej jak opisana w architektura dostępu warunkowego Zero Trust. W tym artykule znajdują się szczegółowe informacje na temat tworzenia i nazywania zasad dostępu warunkowego. Istnieje również punkt wyjścia do tworzenia zasad.

Jeśli nie używasz ram, takich jak te przedstawione tutaj, w tym standardu nazewnictwa, zasady są tworzone z czasem przez różne osoby w sposób ad hoc. Może to spowodować nakładanie się zasad. Jeśli osoba, która utworzyła zasady, nie jest już dostępna, może być trudno innym znać cel polityki.

Przestrzeganie struktury ustrukturyzowanej ułatwia zrozumienie zasad. Ułatwia to również pokrycie wszystkich scenariuszy i unikanie zasad powodujących konflikt, które są trudne do rozwiązania.

Konwencje nazewnictwa

Prawidłowo zdefiniowana konwencja nazewnictwa pomaga tobie i współpracownikom zrozumieć przeznaczenie zasad, co ułatwia zarządzanie zasadami i rozwiązywanie problemów. Konwencja nazewnictwa powinna pasować do struktury używanego przez Ciebie modelu do tworzenia zasad.

Zalecane zasady nazewnictwa są oparte na osobach, typach zasad i aplikacjach. Wygląda na to:

<CANumber>—<Persona>—<PolicyType>—<App>—<Platform>—<GrantControl>—<OptionalDescription>

Składniki tej nazwy są opisane tutaj:

Komponent nazewnictwa Opis/przykład
Numer urzędu certyfikacji Służy do szybkiego identyfikowania zakresu i kolejności typów zasad. Przykład: CA001-CA099.
Osobowość Globalni, Administratorzy, Wewnętrzni, Zewnętrzni, GośćUżytkownicy, GośćAdministratorzy, Microsoft365ServiceAccounts, AzureServiceAccounts, CorpServiceAccounts.
Typ zasad OchronaPodstawowa, OchronaAplikacji, OchronaDanych, OchronaTożsamości, RedukcjaPowierzchniAtaku, Zgodność.
Aplikacja AllApps, O365 (dla wszystkich usług Office 365), EXO (dla usługi Exchange Online).
Platforma AnyPlatform, Unknown, WindowsPhone, macOS, iOS, Android.
Udzielanie kontroli Blokuj, ADHJ, Zgodne, Niezarządzane (gdzie stan urządzenia jest określony jako niezarządzany).
Opis Opcjonalny opis przeznaczenia zasad.

Schemat numerowania

Aby ułatwić administrowanie, sugerujemy następujący schemat numerowania:

Grupa użytkownika Alokacja liczb
Ca-Persona-Global CA001-CA099
Ca-Persona-Admins CA100-CA199
Ca-Persona-Internals CA200-CA299
Ca-Persona-Externals CA300-CA399
Ca-Persona-GuestUsers CA400-CA499
CA-Persona-GuestAdmins CA500-CA599
Ca-Persona-M365ServiceAccounts CA600-CA699
Ca-Persona-AzureServiceAccounts CA700-CA799
Ca-Persona-CorpServiceAccounts CA800-CA899
Ca-Persona-WorkloadIdentities CA900-CA999
Ca-Persona-Developers CA1000-CA1099

Typy zasad

Są to zalecane typy zasad:

Typ zasad Opis/przykłady
BaseProtection Dla każdej osoby istnieje ochrona punktu odniesienia, która jest objęta tym typem zasad. W przypadku użytkowników na urządzeniach zarządzanych zazwyczaj są to znany użytkownik i znane urządzenie. W przypadku gości zewnętrznych może to być znany użytkownik i uwierzytelnianie wieloskładnikowe.

Ochrona podstawowa to domyślna zasada dla wszystkich aplikacji dla użytkowników w danej kategorii. Jeśli określona aplikacja powinna mieć inne zasady, wyklucz tę aplikację z zasad ochrony podstawowej i dodaj jawne zasady przeznaczone tylko dla tej aplikacji.

Przykład: Załóżmy, że podstawowa ochrona systemów wewnętrznych jest wymagana dla znanego użytkownika i znanego urządzenia dla wszystkich aplikacji w chmurze, ale chcesz zezwolić programowi Outlook na korzystanie z dowolnego urządzenia. Możesz wykluczyć usługę Exchange Online z podstawowych zasad ochrony i dodać oddzielne zasady dla usługi Exchange Online, w przypadku których wymagane jest znane urządzenie LUB uwierzytelnianie wieloskładnikowe.
Ochrona Tożsamości Oprócz podstawowej ochrony dla każdej osoby można mieć zasady dostępu warunkowego, które odnoszą się do tożsamości.

Przykłady: Blokuj starsze uwierzytelnianie, wymaga dodatkowego uwierzytelniania wieloskładnikowego dla wysokiego ryzyka związanego z użytkownikiem lub logowaniem, wymagaj znanego urządzenia do rejestracji uwierzytelniania wieloskładnikowego.
Ochrona danych Ten typ zasad wskazuje zasady różnicowe, które chronią dane jako dodatkową warstwę ponad podstawową ochroną.

Przykłady:
  • Zasady ochrony aplikacji dla systemów iOS i Android, których można używać do szyfrowania danych na telefonie i zapewniają lepszą ochronę tych danych. (Zasady ochrony aplikacji obejmują również ochronę aplikacji).
  • Zasady sesji, w których usługa Azure Information Protection pomaga zabezpieczyć dane podczas pobierania, jeśli dane są poufne.
Ochrona aplikacji Ten typ zasad jest kolejnym dodatkiem do ochrony podstawowej.

Przykłady:
  • Załóżmy, że chcesz zezwolić na dostęp internetowy do usługi Exchange Online z dowolnego urządzenia. Można wykluczyć program Exchange z zasad podstawowych i utworzyć nowe jawne zasady dostępu do programu Exchange, gdzie na przykład zezwalasz na dostęp tylko do odczytu do usługi Exchange Online.
  • Załóżmy, że wymagane jest uwierzytelnianie wieloskładnikowe na potrzeby rejestracji w programie Microsoft Endpoint Manager. Rejestrację usługi Intune Endpoint Manager można wykluczyć z zasad podstawowych i dodać zasady ochrony aplikacji, które wymagają uwierzytelniania wieloskładnikowego na potrzeby rejestracji w programie Endpoint Manager.
Redukcja Powierzchni Ataku Celem tych zasad jest eliminowanie różnych ataków.

Przykłady:
  • Jeśli próba dostępu pochodzi z nieznanej platformy, może to być próba obejścia zasad dostępu warunkowego, w których wymagana jest określona platforma. Możesz zablokować żądania z nieznanych platform w celu ograniczenia tego ryzyka.
  • Blokuj dostęp do usług Office 365 dla administratorów platformy Azure lub blokuj dostęp do aplikacji dla wszystkich użytkowników, jeśli aplikacja jest znana jako zła.
Zgodność Możesz użyć zasad zgodności, aby wymagać od użytkownika wyświetlania warunków użytkowania dla gości, którzy uzyskują dostęp do usług klienta.

Aplikacja

W poniższej tabeli opisano składnik aplikacji w nazwie zasady:

Nazwa aplikacji Opis/przykłady
Wszystkie aplikacje AllApps wskazuje, że wszystkie aplikacje w chmurze są objęte zasadami dostępu warunkowego. Wszystkie punkty końcowe są omówione, w tym te, które obsługują dostęp warunkowy, i te, które nie. W niektórych scenariuszach obejmowanie wszystkich aplikacji nie działa prawidłowo. Zalecamy uwzględnienie wszystkich aplikacji w polityce bazowej, aby wszystkie urządzenia końcowe zostały objęte tą polityką. Nowe aplikacje, które są wyświetlane w identyfikatorze Entra firmy Microsoft, będą również automatycznie zgodne z zasadami.
<AppName> <AppName> to zamiennik nazwy aplikacji, do którego odnoszą się zasady. Unikaj zbyt długiej nazwy.

Przykładowe nazwy:
  • EXO dla usługi Exchange Online
  • SPO dla usługi SharePoint Online

Typ platformy

Poniższa tabela opisuje składnik Platforma w nazwie polityki.

Typ platformy Opis
AnyPlatform Zasady dotyczą dowolnej platformy. Zazwyczaj można to skonfigurować, wybierając pozycję Dowolne urządzenie. (W zasadach dostępu warunkowego używane są zarówno słowo platform, jak i słowo device).
Ios Zasady dotyczą platform Apple iOS.
Android Polityka dotyczy platform Android Google.
Windows Te zasady dotyczą platformy systemu Windows.
Linux Te zasady dotyczą platform systemu Linux.
WindowsPhone Polityka dotyczy platform Windows Phone.
macOS Polityka dotyczy platform macOS
iOSAndroid Zasady dotyczą zarówno platform iOS, jak i Android.
Nieznany Polityka dotyczy każdej platformy, która nie jest wcześniej wymieniona. Zazwyczaj można to skonfigurować, włączając Dowolne urządzenie i wykluczając wszystkie poszczególne platformy.

Rodzaje kontroli

W poniższej tabeli opisano składnik Grant Control nazwy zasad:

Typ udzielenia Opis/przykłady
Blok Polityka blokuje logowanie się
MFA Zasady wymagają uwierzytelniania wieloskładnikowego.
Zgodny Zasady wymagają zgodnego urządzenia określonego przez program Endpoint Manager, więc urządzenie musi być zarządzane przez program Endpoint Manager.
CompliantorAADHJ Zasady wymagają zgodnego urządzenia LUB urządzenia połączonego hybrydowo z Microsoft Entra. Standardowy komputer firmowy przyłączony do domeny jest również przyłączony do Hybrid Microsoft Entra ID. Telefony komórkowe i komputery z systemem Windows 10, które są współzarządzane lub dołączone do Microsoft Entra, mogą spełniać wymagania.
Zgodne i AADHJ Zasady wymagają urządzenia, które jest zgodne i jednocześnie połączone hybrydowo z Microsoft Entra.
Uwierzytelnianie Wieloskładnikowe lub Zgodny Zasady wymagają zgodnego urządzenia LUB uwierzytelniania wieloskładnikowego, jeśli nie są zgodne.
MFA i zgodność Zasady wymagają zgodnego urządzenia i uwierzytelniania wieloskładnikowego.
MFAorAADHJ Zasady wymagają komputera przyłączonego hybrydowo do firmy Microsoft LUB uwierzytelniania wieloskładnikowego, jeśli nie jest to komputer dołączony hybrydowo do firmy Microsoft Entra.
MFAandAADHJ Zasady wymagają komputera hybrydowo dołączonego do Microsoft Entra ORAZ uwierzytelniania wieloskładnikowego.
WymagajZatwierdzonegoKlienta Zasady wymagają zatwierdzonej aplikacji klienckiej.
Ochrona aplikacji Polityka wymaga ochrony aplikacji
Niezarządzany Polityka dotyczy urządzeń, które nie są rozpoznawane przez Microsoft Entra ID. Możesz na przykład użyć tego typu udzielania, aby zezwolić na dostęp do usługi Exchange Online z dowolnego urządzenia.

Nazwane lokalizacje

Zalecamy zdefiniowanie tych standardowych lokalizacji do użycia w zasadach dostępu warunkowego:

  • Zaufane adresy IP/sieci wewnętrzne. Te podsieci IP reprezentują lokalizacje i sieci, które mają ograniczenia dostępu fizycznego lub inne mechanizmy kontroli, takie jak zarządzanie systemem komputerowym, uwierzytelnianie na poziomie sieci lub wykrywanie nieautoryzowanego dostępu. Te lokalizacje są bezpieczniejsze, więc wymuszanie dostępu warunkowego może być złagodzone. Czy platforma Azure lub inne lokalizacje centrów danych (IP) powinny być uwzględnione w tej lokalizacji czy mieć własne nazwane lokalizacje?
  • Zaufane adresy IP firmy Citrix. Jeśli masz lokalne rozwiązanie Citrix, może być przydatne skonfigurowanie oddzielnych wychodzących adresów IPv4 dla farm Citrix, jeśli musisz mieć możliwość łączenia się z usługami w chmurze z sesji Citrix. W takim przypadku można wykluczyć te lokalizacje z zasad dostępu warunkowego, jeśli zajdzie taka potrzeba.
  • Lokalizacje rozwiązania Zscaler, jeśli ma to zastosowanie. Komputery mają zainstalowanego agenta ZPA i przesyłają cały ruch do Internetu do chmury Zscaler lub przez nie. Warto więc zdefiniować źródłowe adresy IP rozwiązania Zscaler w dostępie warunkowym i wymagać, aby wszystkie żądania z urządzeń innych niż urządzenia przenośne przechodziły przez rozwiązanie Zscaler.
  • Kraje/regiony, z którymi można zezwolić na działalność biznesową. Przydatne może być podzielenie krajów/regionów na dwie grupy lokalizacji: jeden reprezentujący obszary świata, w których pracownicy zazwyczaj pracują, i jeden reprezentujący inne lokalizacje. Dzięki temu można zastosować dodatkowe mechanizmy kontroli do żądań pochodzących z spoza obszarów, w których organizacja normalnie działa.
  • Lokalizacje, w których uwierzytelnianie wieloskładnikowe może być trudne lub niemożliwe. W niektórych scenariuszach wymaganie uwierzytelniania wieloskładnikowego może utrudnić pracownikom wykonywanie pracy. Na przykład pracownicy mogą nie mieć czasu ani możliwości reagowania na częste wyzwania związane z uwierzytelnianiem wieloskładnikowym. Lub w niektórych lokalizacjach ekranowanie RF lub interferencja elektryczna może utrudnić korzystanie z urządzeń przenośnych. Zazwyczaj używa się innych kontroli w tych lokalizacjach lub mogą być one zaufane.

Mechanizmy kontroli dostępu oparte na lokalizacji opierają się na źródłowym adresie IP żądania w celu określenia lokalizacji użytkownika w momencie żądania. Fałszowanie w publicznym Internecie nie jest łatwe, ale ochrona zapewniana przez granice sieci może być uważana za mniej istotne niż kiedyś. Nie zalecamy polegania wyłącznie na lokalizacji jako warunku dostępu. Jednak w niektórych scenariuszach może to być najlepsza kontrola, której można użyć, na przykład jeśli zabezpieczasz dostęp z konta usługi ze środowiska lokalnego, który jest używany w scenariuszu nieinterakcyjnym.

Utworzyliśmy arkusz kalkulacyjny zawierający zalecane zasady dostępu warunkowego. Możesz pobrać arkusz kalkulacyjny tutaj.

Użyj sugerowanych zasad jako punktu wyjścia.

Twoje zasady prawdopodobnie zmienią się w czasie, aby uwzględnić przypadki użycia, które są ważne dla Twojej firmy. Oto kilka przykładów scenariuszy, które mogą wymagać zmian:

  • Zaimplementuj dostęp tylko do odczytu do usługi Exchange Online dla pracowników przy użyciu dowolnego niezarządzanego urządzenia na podstawie uwierzytelniania wieloskładnikowego, ochrony aplikacji i zatwierdzonej aplikacji klienckiej.
  • Zaimplementuj ochronę informacji, aby upewnić się, że poufne informacje nie są pobierane bez lepszej ochrony zapewnianej przez usługę Azure Information Protection.
  • Zapewnij ochronę przed kopiowaniem i wklejaniem przez gości.

Obecnie wiele wersji jest w publicznej wersji zapoznawczej, więc można się wkrótce spodziewać aktualizacji sugerowanego zestawu zasad dostępu warunkowego.

Wskazówki dotyczące dostępu warunkowego

Teraz, gdy masz zestaw początkowy zasad dostępu warunkowego, musisz wdrożyć je w kontrolowany i etapowy sposób. Zalecamy użycie modelu wdrażania.

Oto jedno podejście:

Diagram przedstawiający model wdrażania dostępu warunkowego.

Chodzi o to, aby najpierw wdrożyć zasady dla niewielkiej liczby użytkowników w jednej grupie osób. Dla tego wdrożenia możesz użyć skojarzonej grupy microsoft Entra o nazwie Persona Ring 0. Po sprawdzeniu, czy wszystko działa, należy zmienić przypisanie do grupy Persona Ring 1, która ma więcej członków itd.

Następnie włączysz zasady przy użyciu tego samego podejścia opartego na pierścieniu do momentu wdrożenia wszystkich zasad.

Zazwyczaj zarządzasz członkami pierścienia 0 i pierścieniem 1 ręcznie. Pierścień 2 lub 3, który zawiera setki lub nawet tysiące użytkowników, może być zarządzany za pośrednictwem grupy dynamicznej opartej na procentowym udziale użytkowników w danej personie.

Użycie pierścieni w ramach modelu wdrażania nie dotyczy tylko początkowego wdrożenia. Można go również użyć, gdy są wymagane nowe zasady lub zmiany istniejących zasad.

Po zakończeniu wdrażania należy również zaprojektować i wdrożyć mechanizmy monitorowania i kontroli, które zostały omówione w zasadach dostępu warunkowego.

Oprócz automatyzacji początkowego wdrożenia można zautomatyzować zmiany zasad przy użyciu potoków ciągłej integracji/ciągłego wdrażania. W tej automatyzacji można użyć usługi Microsoft365DSC.

Współpracownicy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki