Dostęp warunkowy: tożsamości użytkowników, grup i obciążeń
Zasady dostępu warunkowego muszą zawierać przypisanie tożsamości użytkownika, grupy lub obciążenia jako jeden z sygnałów w procesie decyzyjnym. Te tożsamości można dołączać lub wykluczać z zasad dostępu warunkowego. Identyfikator Entra firmy Microsoft ocenia wszystkie zasady i zapewnia spełnienie wszystkich wymagań przed udzieleniem dostępu.
Dołączanie użytkowników
Ta lista użytkowników zazwyczaj obejmuje wszystkich użytkowników, których organizacja jest przeznaczona w zasadach dostępu warunkowego.
Poniższe opcje są dostępne do uwzględnienia podczas tworzenia zasad dostępu warunkowego.
- Żaden
- Nie wybrano żadnych użytkowników
- Wszyscy użytkownicy
- Wszyscy użytkownicy, którzy istnieją w katalogu, w tym goście B2B.
- Wybieranie użytkowników i grup
- Goście lub użytkownicy zewnętrzni
- Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników. Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
- Użytkownicy-goście współpracy B2B
- Użytkownicy członków współpracy B2B
- Bezpośrednie łączenie użytkowników B2B
- Lokalni użytkownicy-goście, na przykład każdy użytkownik należący do dzierżawy macierzystej z atrybutem typu użytkownika ustawionym na gościa
- Użytkownicy dostawcy usług, na przykład Dostawca rozwiązań w chmurze (CSP)
- Inni użytkownicy zewnętrzni lub użytkownicy, którzy nie są reprezentowani przez inne wybory typu użytkownika
- Dla wybranych typów użytkowników można określić co najmniej jedną dzierżawę lub określić wszystkie dzierżawy.
- Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników. Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
- Role katalogu
- Umożliwia administratorom wybieranie określonych wbudowanych ról katalogu używanych do określania przypisania zasad. Na przykład organizacje mogą tworzyć bardziej restrykcyjne zasady dotyczące użytkowników, którzy aktywnie przypisyli rolę uprzywilejowaną. Inne typy ról nie są obsługiwane, w tym role w zakresie jednostki administracyjnej i role niestandardowe.
- Dostęp warunkowy umożliwia administratorom wybieranie niektórych ról wymienionych jako przestarzałe. Te role nadal pojawiają się w podstawowym interfejsie API i zezwalamy administratorom na stosowanie do nich zasad.
- Umożliwia administratorom wybieranie określonych wbudowanych ról katalogu używanych do określania przypisania zasad. Na przykład organizacje mogą tworzyć bardziej restrykcyjne zasady dotyczące użytkowników, którzy aktywnie przypisyli rolę uprzywilejowaną. Inne typy ról nie są obsługiwane, w tym role w zakresie jednostki administracyjnej i role niestandardowe.
- Użytkownicy i grupy
- Umożliwia określanie wartości docelowych określonych zestawów użytkowników. Na przykład organizacje mogą wybrać grupę zawierającą wszystkich członków działu kadr po wybraniu aplikacji kadr jako aplikacji w chmurze. Grupa może być dowolnym typem grupy użytkowników w usłudze Microsoft Entra ID, w tym dynamicznymi lub przypisanymi grupami zabezpieczeń i dystrybucji. Zasady są stosowane do zagnieżdżonych użytkowników i grup.
- Goście lub użytkownicy zewnętrzni
Ważne
W przypadku wybierania użytkowników i grup uwzględnionych w zasadach dostępu warunkowego istnieje ograniczenie liczby poszczególnych użytkowników, które można dodać bezpośrednio do zasad dostępu warunkowego. Jeśli do zasad dostępu warunkowego jest wymagana duża liczba użytkowników, którzy muszą zostać dodani bezpośrednio do zasad dostępu warunkowego, zalecamy umieszczenie użytkowników w grupie i przypisanie grupy do zasad dostępu warunkowego.
Jeśli użytkownicy lub grupy są członkami ponad 2048 grup, dostęp może zostać zablokowany. Ten limit dotyczy zarówno członkostwa w grupach bezpośrednich, jak i zagnieżdżonych.
Ostrzeżenie
Zasady dostępu warunkowego nie obsługują użytkowników przypisanych do roli katalogu w zakresie jednostki administracyjnej lub ról katalogu, które mają zakres bezpośrednio do obiektu, na przykład za pomocą ról niestandardowych.
Uwaga
W przypadku określania docelowych zasad dla użytkowników zewnętrznych B2B bezpośrednich połączeń te zasady będą również stosowane do użytkowników współpracy B2B, którzy uzyskują dostęp do usługi Teams lub SharePoint Online, którzy również kwalifikują się do bezpośredniego połączenia B2B. To samo dotyczy zasad przeznaczonych dla użytkowników zewnętrznych współpracy B2B, co oznacza, że użytkownicy korzystający z udostępnionych kanałów usługi Teams będą mieli zastosowanie do zasad współpracy B2B, jeśli mają również obecność użytkownika-gościa w dzierżawie.
Wykluczanie użytkowników
Gdy organizacje obejmują i wykluczają użytkownika lub grupę, użytkownik lub grupa jest wykluczony z zasad. Akcja wykluczania zastępuje akcję dołączania w zasadach. Wykluczenia są często używane w przypadku kont dostępu awaryjnego lub szklenia. Więcej informacji na temat kont dostępu awaryjnego i ich znaczenia można znaleźć w następujących artykułach:
- Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID
- Tworzenie odpornej strategii zarządzania kontrolą dostępu za pomocą identyfikatora Entra firmy Microsoft
Poniższe opcje są dostępne do wykluczenia podczas tworzenia zasad dostępu warunkowego.
- Goście lub użytkownicy zewnętrzni
- Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników. Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
- Użytkownicy-goście współpracy B2B
- Użytkownicy członków współpracy B2B
- Bezpośrednie łączenie użytkowników B2B
- Lokalni użytkownicy-goście, na przykład każdy użytkownik należący do dzierżawy macierzystej z atrybutem typu użytkownika ustawionym na gościa
- Użytkownicy dostawcy usług, na przykład Dostawca rozwiązań w chmurze (CSP)
- Inni użytkownicy zewnętrzni lub użytkownicy, którzy nie są reprezentowani przez inne wybory typu użytkownika
- Dla wybranych typów użytkowników można określić co najmniej jedną dzierżawę lub określić wszystkie dzierżawy.
- Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników. Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
- Role katalogu
- Umożliwia administratorom wybranie określonych ról katalogu entra firmy Microsoft używanych do określania przypisania.
- Użytkownicy i grupy
- Umożliwia określanie wartości docelowych określonych zestawów użytkowników. Na przykład organizacje mogą wybrać grupę zawierającą wszystkich członków działu kadr po wybraniu aplikacji kadr jako aplikacji w chmurze. Grupa może być dowolnym typem grupy w identyfikatorze Entra firmy Microsoft, w tym dynamicznymi lub przypisanymi grupami zabezpieczeń i dystrybucji. Zasady są stosowane do zagnieżdżonych użytkowników i grup.
Zapobieganie blokadzie administratora
Aby zapobiec blokadzie administratora, podczas tworzenia zasad zastosowanych do wszystkich użytkowników i wszystkich aplikacji zostanie wyświetlone następujące ostrzeżenie.
Nie zamykaj się! Zalecamy najpierw zastosowanie zasad do małego zestawu użytkowników, aby sprawdzić, czy działa zgodnie z oczekiwaniami. Zalecamy również wykluczenie co najmniej jednego administratora z tych zasad. Gwarantuje to, że nadal masz dostęp i możesz zaktualizować zasady, jeśli jest wymagana zmiana. Przejrzyj użytkowników i aplikacje, których dotyczy problem.
Domyślnie zasady udostępniają opcję wykluczania bieżącego użytkownika z zasad, ale administrator może przesłonić, jak pokazano na poniższej ilustracji.
Jeśli okaże się, że blokada została zablokowana, zobacz Co zrobić, jeśli masz blokadę?
Dostęp partnera zewnętrznego
Zasady dostępu warunkowego przeznaczone dla użytkowników zewnętrznych mogą zakłócać dostęp dostawcy usług, na przykład szczegółowe delegowane uprawnienia administratora Wprowadzenie do szczegółowych delegowanych uprawnień administratora (GDAP). W przypadku zasad przeznaczonych dla dzierżaw dostawców usług należy użyć typu użytkownika zewnętrznego dostawcy usług dostępnego w opcjach wyboru Gościa lub użytkowników zewnętrznych.
Tożsamości obciążeń
Tożsamość obciążenia to tożsamość, która umożliwia aplikacji lub jednostce usługi dostęp do zasobów, czasami w kontekście użytkownika. Zasady dostępu warunkowego można stosować do pojedynczych jednostek usługi dzierżawy zarejestrowanych w dzierżawie. Aplikacje SaaS i aplikacje wielodostępne innych firm są poza zakresem. Tożsamości zarządzane nie są objęte zasadami.
Organizacje mogą określać określone tożsamości obciążeń, które mają być uwzględniane lub wykluczane z zasad.
Aby uzyskać więcej informacji, zobacz artykuł Dostęp warunkowy dla tożsamości obciążeń.