Skapa en princip för villkorsstyrd åtkomst
Som beskrivs i artikeln Vad är villkorlig åtkomstär en policy för villkorsstyrd åtkomst en om-så-sats för Tilldelningar och Åtkomstkontroller. En princip för villkorsstyrd åtkomst samlar signaler, fattar beslut och tillämpar organisationsprinciper.
Hur skapar en organisation dessa principer? Vad krävs? Hur tillämpas de?
Flera principer för villkorsstyrd åtkomst kan när som helst gälla för en enskild användare. I det här fallet måste alla principer som gäller vara uppfyllda. Om en princip till exempel kräver multifaktorautentisering och en annan kräver en kompatibel enhet måste du slutföra MFA och använda en kompatibel enhet. Alla tilldelningar är logiskt ANDed. Om du har ställt in fler än en tilldelning måste alla tilldelningar vara uppfyllda för att utlösa en policy.
Om en princip där "Kräv en av de valda kontrollerna" har valts, uppmanar vi enligt den angivna ordningen. Åtkomst beviljas så snart principkraven är uppfyllda.
Alla principer tillämpas i två faser:
-
Fas 1: Samla in sessiondetaljer
- Samla in sessionsinformation, till exempel nätverksplats och enhetsidentitet som krävs för principutvärdering.
- Fas 1 av policyutvärderingen sker för aktiverade policyer och policyer i enbart rapportläge.
-
fas 2: Tillämpning
- Använd sessionsinformationen som samlats in i fas 1 för att identifiera eventuella krav som inte uppfylls.
- Om det finns en princip som har konfigurerats med blockera bevilja kontroll stoppas verkställigheten här och användaren blockeras.
- Användaren uppmanas att slutföra fler krav för beviljandekontroll som inte uppfylldes under fas 1 i följande ordning tills principen är uppfylld:
- När alla beviljandekontroller har uppfyllts tillämpar du sessionskontroller (App Enforced, Microsoft Defender for Cloud Apps och token Lifetime)
- Fas 2 av principutvärderingen sker för alla aktiverade principer.
Uppdrag
Tilldelningsdelen styr vem, vad och var i principen för villkorsstyrd åtkomst.
Användare och grupper
Användare och grupper anger vilka policyn inkluderar eller exkluderar när den tillämpas. Den här tilldelningen kan omfatta alla användare, specifika grupper av användare, katalogroller eller externa gästanvändare.
Målresurser
Målresurser kan inkludera eller exkludera molnprogram, användaråtgärder eller autentiseringskontexter som omfattas av principen.
Nätverk
Network innehåller IP-adresser, geografiska områden och Globala säkra åtkomstens kompatibla nätverk beslut om principer för villkorsstyrd åtkomst. Administratörer kan välja att definiera platser och markera vissa som betrodda som de för organisationens primära nätverksplatser.
Villkor
En policy kan innehålla flera villkor.
Inloggningsrisk
För organisationer med Microsoft Entra ID Protectionkan riskidentifieringarna som genereras där påverka dina principer för villkorsstyrd åtkomst.
Enhetsplattformar
Organisationer med flera enhetsoperativsystemplattformar kan framtvinga specifika principer på olika plattformar.
Den information som används för att beräkna enhetsplattformen kommer från icke-verifierade källor, till exempel användaragentsträngar som kan ändras.
Klientappar
Programvaran som användaren använder för att komma åt molnappen. Till exempel "Webbläsare" och "Mobilappar och skrivbordsklienter". Som standard gäller alla nyligen skapade principer för villkorsstyrd åtkomst för alla klientapptyper även om klientappens villkor inte har konfigurerats.
Filtrera efter enheter
Med den här kontrollen kan du rikta in dig på specifika enheter baserat på deras attribut i en princip.
Åtkomstkontroller
Åtkomstkontrolldelen av principen för villkorsstyrd åtkomst styr hur en princip tillämpas.
Bevilja
Grant ger administratörer ett sätt att genomföra policyer där de kan blockera eller bevilja åtkomst.
Blockera åtkomst
Blockera åtkomst gör just det, det blockerar åtkomsten under de angivna tilldelningarna. Blockkontrollen är kraftfull och bör utövas med lämplig kunskap.
Bevilja åtkomst
Beviljandekontrollen kan utlösa tillämpning av en eller flera kontroller.
- Kräv multifaktorautentisering
- Kräv att enheten markeras som kompatibel (Intune)
- Kräv enheter som är anslutna till Microsoft Entra hybridmiljön
- Kräv godkänd klientapp
- Kräv appskyddsprincip
- Kräv lösenordsändring
- Kräv användningsvillkor
Administratörer kan välja att kräva någon av de tidigare kontrollerna eller alla valda kontroller med hjälp av följande alternativ. Standardvärdet för flera kontroller är att kräva alla.
- Kräv alla valda kontroller (kontroll och kontroll)
- Kräv en av de valda kontrollerna (kontroll eller kontroll)
Session
Sessionskontroller kan begränsa användarnas upplevelse.
- Använd apptvingande begränsningar:
- Fungerar för närvarande endast med Exchange Online och SharePoint Online.
- Skickar enhetsinformation för att tillåta kontroll över funktioner som ger fullständig eller begränsad åtkomst.
- Använd appkontroll för villkorsstyrd åtkomst:
- Använder signaler från Microsoft Defender för Cloud Apps för att göra saker som:
- Blockera nedladdning, klipp ut, kopiera och skriv ut känsliga dokument.
- Övervaka riskfyllda sessionsbeteenden.
- Kräv etikettering av känsliga filer.
- Använder signaler från Microsoft Defender för Cloud Apps för att göra saker som:
- Inloggningsfrekvens:
- Möjlighet att ändra standardinloggningsfrekvensen för modern autentisering.
- Beständiga webbläsarsessioner:
- Tillåter att användare förblir inloggade när de har stängt och öppnat webbläsarfönstret igen.
- Anpassa utvärdering av kontinuerlig åtkomst
- Inaktivera standardvärden för resiliensegenskaper
Enkla principer
En princip för villkorsstyrd åtkomst måste innehålla minst följande som ska tillämpas:
- Namn för principen.
-
Tilldelningar
- Användare och/eller grupper att tillämpa principen på.
- Molnappar eller åtgärder att tillämpa policyn på.
-
Åtkomstkontroller
- Bevilja- eller Blockera-kontroller
Artikeln vanliga principer för villkorlig åtkomst innehåller vissa principer som vi tror skulle vara användbara för de flesta organisationer.