Villkorlig åtkomst: Målresurser

Målresurser (tidigare molnappar, åtgärder och autentiseringskontext) är viktiga signaler i en princip för villkorsstyrd åtkomst. Principer för villkorlig åtkomst gör det möjligt för administratörer att tilldela kontroller till specifika program, tjänster, åtgärder eller autentiseringskontext.

• Administratörer kan välja från listan över program eller tjänster som innehåller inbyggda Microsoft-program och alla Microsoft Entra-integrerade program, inklusive galleri, icke-galleri och program som publicerats via Programproxy.
• Administratörer kan välja att definiera principer som inte baseras på ett molnprogram, utan på en användaråtgärd som Registrera säkerhetsinformation eller Registrera eller ansluta enheter, vilket gör att villkorlig åtkomst kan framtvinga kontroller kring dessa åtgärder.
• Administratörer kan rikta trafikvidarebefordringsprofiler från Global säker åtkomst för förbättrade funktioner.
• Administratörer kan använda autentiseringskontext för att tillhandahålla ett extra säkerhetslager i program.

Microsoft-molnprogram

Många av de befintliga Microsoft-molnprogrammen ingår i listan över program som du kan välja mellan.

Administratörer kan tilldela en princip för villkorlig åtkomst till dessa Microsoft-molnprogram. Vissa appar som Office 365 och Windows Azure Service Management API innehåller flera relaterade underliggande appar eller tjänster.

Viktigt!

Program som är tillgängliga för villkorlig åtkomst genomgår en registrering och valideringsprocess. Dessa program innehåller inte alla Microsoft-appar. Många program är serverdelstjänster som inte är avsedda att ha en princip som tillämpas direkt på dem. Om du letar efter ett program som saknas kan du kontakta det specifika programteamet eller göra en begäran på UserVoice.

Office 365

Microsoft 365 tillhandahåller molnbaserade produktivitets- och samarbetstjänster som Exchange, SharePoint och Microsoft Teams. Microsoft 365-molntjänster är djupt integrerade för att säkerställa smidiga och samarbetsinriktade upplevelser. Den här integreringen kan orsaka förvirring när du skapar principer eftersom vissa appar, till exempel Microsoft Teams, har beroenden på andra, till exempel SharePoint eller Exchange.

Office 365-sviten gör det möjligt att rikta in sig på dessa tjänster på en gång. Vi rekommenderar att du använder den nya Office 365-sviten i stället för att rikta in dig på enskilda molnappar för att undvika problem med tjänstberoenden.

Om du riktar in dig på den här programgruppen kan du undvika problem som kan uppstå på grund av inkonsekventa principer och beroenden. Till exempel: Exchange Online-appen är kopplad till traditionella Exchange Online-data som e-post, kalender och kontaktinformation. Relaterade metadata kan exponeras via olika resurser som sökning. För att säkerställa att alla metadata skyddas av på avsett sätt bör administratörer tilldela principer till Office 365-appen.

Administratörer kan undanta hela Office 365-paketet eller specifika Office 365-molnappar från principen för villkorsstyrd åtkomst.

En fullständig lista över alla tjänster som kan inkluderas finns i artikeln Appar i Office 365-appsviten som ingår i villkorsstyrd åtkomst.

Windows Azure Service Management API

När du riktar in dig på API-programmet för Windows Azure Service Management tillämpas principen för token som utfärdas till en uppsättning tjänster som är nära bundna till portalen. Den här grupperingen innehåller app-ID:t för:

• Azure Resource Manager
• Azure-portalen, som även omfattar Microsoft Entra administrationscenter
• Azure Data Lake
• API för Application Insights
• API för Log Analytics

Eftersom principen tillämpas på Azure-hanteringsportalen och API:et kan tjänster eller klienter med ett Azure API-tjänstberoende indirekt påverkas. Till exempel:

• Azure CLI
• Azure Data Factory-portalen
• Azure DevOps
• Azure Event Hubs
• Azure PowerShell
• Azure Service Bus
• Azure SQL Database
• Azure Synapse
• API:er för klassisk distributionsmodell
• Microsoft 365 administrationscenter
• Microsoft IoT Central
• SQL-hanterad instans
• Administratörsportal för Visual Studio-prenumerationer

Kommentar

Api-programmet för Windows Azure Service Management gäller för Azure PowerShell, som anropar Azure Resource Manager-API:et. Det gäller inte för Microsoft Graph PowerShell, som anropar Microsoft Graph API-.

Mer information om hur du konfigurerar en exempelpolicy för Microsoft Azure Service Management API finns i Villkorsstyrd åtkomst: Kräv MFA för Azure-hantering.

Dricks

För Azure Government bör du rikta in dig på Azure Government Cloud Management API-programmet.

Microsoft Admin Portals

När en princip för villkorsstyrd åtkomst riktar sig mot Microsoft Admin Portals-molnappen tillämpas principen för token som utfärdats till app-ID:t för följande administrationsportaler i Microsoft:

• Azure-portalen
• Exchange administrationscenter
• Microsoft 365 administrationscenter
• Microsoft 365 Defender-portalen
• Microsoft Entra administrationscenter
• Microsoft Intune administrationscenter
• Efterlevnadsportal i Microsoft Purview
• Administrationscenter för Microsoft Teams

Vi lägger kontinuerligt till fler administrativa portaler i listan.

Kommentar

Appen Microsoft Admin Portals gäller endast för interaktiva inloggningar på de listade administratörsportalerna. Inloggningar till underliggande resurser eller tjänster som Microsoft Graph eller Azure Resource Manager-API:er omfattas inte av det här programmet. Dessa resurser skyddas av Windows Azure Service Management API-appen . Den här grupperingen gör det möjligt för kunder att gå vidare med MFA-implementeringsresan för administratörer utan att påverka automatisering som förlitar sig på API:er och PowerShell. När du är redo rekommenderar Microsoft att du använder en princip som kräver att administratörer utför MFA alltid för omfattande skydd.

Andra program

Administratörer kan lägga till alla Microsoft Entra-registrerade program i principer för villkorsstyrd åtkomst. Dessa program kan omfatta:

• Program publicerade via Microsoft Entra-programproxy
• Program som lagts till från galleriet
• Anpassade program som inte finns i galleriet
• Äldre program som publicerats via programleveranskontroller (ADC) och nätverk
• Program som använder lösenordsbaserad enkel inloggning

Kommentar

Eftersom principen för villkorsstyrd åtkomst anger kraven för åtkomst till en tjänst kan du inte tillämpa den på ett klientprogram (offentligt/internt). Med andra ord anges principen inte direkt i ett klientprogram (offentligt/internt), utan tillämpas när en klient anropar en tjänst. En principuppsättning för SharePoint-tjänsten gäller till exempel för alla klienter som anropar SharePoint. Och en policy som angetts för Exchange gäller vid försök att få åtkomst till e-post med Outlook-klienten. Därför är klientprogram (offentliga/interna) inte tillgängliga för val i appväljaren och alternativet Villkorlig åtkomst är inte tillgängligt i programinställningarna för klientprogrammet (offentligt/internt) som registrerats i klientorganisationen.

Vissa program visas inte i väljaren alls. Det enda sättet att inkludera dessa program i en princip för villkorsstyrd åtkomst är att inkludera Alla resurser (tidigare "Alla molnappar").

Förstå villkorsstyrd åtkomst för olika klienttyper

Villkorsstyrd åtkomst gäller för resurser som inte är klienter, förutom när klienten är en konfidentiell klient som begär en ID-token.

• Offentlig klient
  • Offentliga klienter är de som körs lokalt på enheter som Microsoft Outlook på skrivbordet eller mobilappar som Microsoft Teams.
  • Principer för villkorsstyrd åtkomst gäller inte för själva den offentliga klienten, utan tillämpas baserat på de resurser som begärs av de offentliga klienterna.
• Konfidentiell klient
  • Villkorsstyrd åtkomst gäller för de resurser som begärs av klienten och själva den konfidentiella klienten om den begär en ID-token.
  • Exempel: Om Outlook Web begär en token för omfång Mail.Read och Files.Readtillämpar villkorsstyrd åtkomst principer för Exchange och SharePoint. Om Outlook Web begär en ID-token tillämpar villkorsstyrd åtkomst även principerna för Outlook Web.

Så här visar du inloggningsloggar för dessa klienttyper från administrationscentret för Microsoft Entra:

1. Logga in på administrationscentret för Microsoft Entra åtminstone som en Rapportläsare.
2. Bläddra till Identity>Övervakning & hälsa>Inloggningsloggar.
3. Lägg till ett filter för klientautentiseringstyp.
4. Justera filtret för att visa en specifik uppsättning loggar baserat på klientautentiseringsuppgifterna som användes vid inloggningen.

Mer information finns i artikeln Offentliga klientprogram och konfidentiella klientprogram.

Alla resurser

Om du tillämpar en princip för villkorlig åtkomst på Alla resurser (tidigare "Alla molnappar") utan några appundantag resulterar det i att principen tillämpas för alla tokenbegäranden från webbplatser och tjänster, inklusive profiler för trafikvidarebefordring för global säker åtkomst. Det här alternativet innehåller program som inte är individuellt målbara i principen för villkorsstyrd åtkomst, till exempel Windows Azure Active Directory (00000002-0000-0000-c0000-000000000000000).

Viktigt!

Microsoft rekommenderar att du skapar en baslinjeprincip för multifaktorautentisering som riktar sig till alla användare och alla resurser (utan några appundantag), som den som beskrivs i Kräv multifaktorautentisering för alla användare.

Beteende för villkorsstyrd åtkomst när en princip för alla resurser har ett appundantag

Om någon app undantas från principen utesluts vissa omfång med låg behörighet från principtillämpning för att inte oavsiktligt blockera användaråtkomst. Dessa omfång tillåter anrop till underliggande Graph API:er, till exempel Windows Azure Active Directory (00000002-0000-0000-c000-00000000000) och Microsoft Graph (00000003-0000-0000-c00000000000000000) för att få åtkomst till information om användarprofil och gruppmedlemskap som ofta används av program som en del av autentiseringen. Till exempel: när Outlook begär en token för Exchange ber den också om User.Read omfång för att kunna visa den aktuella användarens grundläggande kontoinformation.

De flesta appar har ett liknande beroende, vilket är anledningen till att dessa låga behörighetsområden automatiskt utesluts när det finns ett appundantag i en Alla resurser policy. Dessa undantag med låg behörighet tillåter inte dataåtkomst utöver grundläggande användarprofil- och gruppinformation. De undantagna omfången visas på följande sätt. Medgivande krävs fortfarande för att appar ska kunna använda dessa behörigheter.

• Interna klienter och ensidesprogram (SPA) har åtkomst till följande omfång med låg behörighet:
  • Azure AD Graph: email, offline_access, openid, profile, User.Read
  • Microsoft Graph: email, offline_access, openid, profile, User.Read, People.Read
• Konfidentiella klienter har åtkomst till följande omfång med låg behörighet, om de undantas från en Alla resurser princip:
  • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All,User.ReadBasic.All
  • Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

Mer information om de omfång som nämns finns i Microsoft Graphs behörighetsreferens och Omfång och behörigheter i Microsofts Identitetsplattform .

Skydda kataloginformation

Om den rekommenderade MFA-baslinjeprincipen utan appundantag inte kan konfigureras på grund av affärsskäl, och organisationens säkerhetsprincip måste innehålla katalogrelaterade omfång med låg behörighet (User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden), är alternativet att skapa en separat princip för villkorsstyrd åtkomst för Windows Azure Active Directory (000000002-0000-0000-c000-00000000000000). Windows Azure Active Directory (kallas även Azure AD Graph) är en resurs som representerar data som lagras i katalogen, till exempel användare, grupper och program. Windows Azure Active Directory-resursen ingår i Alla resurser men kan riktas individuellt i principer för villkorsstyrd åtkomst med hjälp av följande steg:

1. Logga in på Microsoft Entra-administrationscentret som attributdefinitionsadministratör och attributtilldelningsadministratör.
2. Bläddra till Protection>Anpassade säkerhetsattribut.
3. Skapa en ny attributuppsättning och attributdefinition. Mer information finns i Lägga till eller inaktivera anpassade definitioner av säkerhetsattribut i Microsoft Entra ID.
4. Bläddra till Identity>Applications>Företagsapplikationer.
5. Ta bort applikationstyp filter och sök efter applikations-ID som börjar med 00000002-0000-0000-c000-000000000000.
6. Välj Windows Azure Active Directory>Anpassade säkerhetsattribut>Lägg till tilldelning.
7. Välj attributuppsättningen och attributvärdet som du planerar att använda i principen.
8. Bläddra till Skydd>Villkorlig Åtkomst>Principer.
9. Skapa eller ändra en befintlig princip.
10. Under Målresurser>Resurser (tidigare molnappar)>Inkluderaväljer du >Välj resurser>Redigera filter.
11. Justera filtret så att det inkluderar din attributuppsättning och definition från tidigare.
12. Spara principen

Alla Internetresurser med global säker åtkomst

Alternativet Alla Internetresurser med global säker åtkomst gör det möjligt för administratörer att rikta in sig på vidarebefordransprofilen för internetåtkomsttrafik från Microsoft Entra internetåtkomst.

Med de här profilerna i Global säker åtkomst kan administratörer definiera och styra hur trafik dirigeras via Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst. Profiler för vidarebefordran av trafik kan tilldelas till enheter och fjärrnätverk. Ett exempel på hur du tillämpar en princip för villkorsstyrd åtkomst på dessa trafikprofiler finns i artikeln Så här tillämpar du principer för villkorsstyrd åtkomst på Microsoft 365-trafikprofilen.

Mer information om dessa profiler finns i artikeln Global Secure Access traffic forwarding profiles (Global Secure Access traffic forwarding profiles).

Användaråtgärder

Användaråtgärder är uppgifter som en användare utför. För närvarande stöder villkorsstyrd åtkomst två användaråtgärder:

• Registrera säkerhetsinformation: Med den här användaråtgärden kan principen för villkorsstyrd åtkomst tillämpas när användare som är aktiverade för kombinerad registrering försöker registrera sin säkerhetsinformation. Mer information finns i artikeln Kombinerad registrering av säkerhetsinformation.

Kommentar

När administratörer tillämpar en princip för användaråtgärder för registrering av säkerhetsinformation måste MSA-användaren registrera säkerhetsinformation med hjälp av kontrollen "Kräv multifaktorautentisering" om användarkontot är en gäst från Microsofts personliga konto (MSA). Om gästanvändaren kommer från en annan leverantör, till exempel Google, blockeras åtkomsten.

• Registrera eller ansluta enheter: Med den här användaråtgärden kan administratörer tillämpa principen för villkorsstyrd åtkomst när användare registrerar eller ansluter enheter till Microsoft Entra-ID. Det ger detaljerad information om hur du konfigurerar multifaktorautentisering för registrering eller anslutning av enheter i stället för en princip för hela klientorganisationen som för närvarande finns. Det finns tre viktiga överväganden med den här användaråtgärden:
  • Require multifactor authentication är den enda åtkomstkontroll som är tillgänglig med den här användaråtgärden och alla andra är inaktiverade. Den här begränsningen förhindrar konflikter med åtkomstkontroller som antingen är beroende av Registrering av Microsoft Entra-enheter eller som inte är tillämpliga för Registrering av Microsoft Entra-enheter.
  • Client apps, Filters for devicesoch Device state villkor är inte tillgängliga med den här användaråtgärden eftersom de är beroende av Microsoft Entra-enhetsregistrering för att tillämpa principer för villkorsstyrd åtkomst.

Varning

När en princip för villkorlig åtkomst har konfigurerats med användaråtgärden Registrera eller ansluta enheter måste du ange till > Annars tillämpas inte principer för villkorsstyrd åtkomst med den här användaråtgärden korrekt. Mer information om den här enhetsinställningen finns i Konfigurera enhetsinställningar.

Autentiseringskontext

Autentiseringskontext kan användas för att ytterligare skydda data och åtgärder i program. Dessa program kan vara dina egna anpassade program, verksamhetsspecifika program, program som SharePoint eller program som skyddas av Microsoft Defender for Cloud Apps.

En organisation kan till exempel behålla filer på SharePoint-webbplatser som lunchmenyn eller deras hemliga BBQ-såsrecept. Alla kan ha tillgång till lunchmenywebbplatsen, men användare som har tillgång till den hemliga BBQ-sås receptwebbplatsen kan behöva komma åt från en hanterad enhet och godkänna specifika användningsvillkor.

Autentiseringskontexten fungerar med användare eller arbetsbelastningsidentiteter, men inte i samma princip för villkorsstyrd åtkomst.

Konfigurera autentiseringskontexter

Autentiseringskontexter hanteras under

Skapa nya kontextdefinitioner för autentisering genom att välja Ny autentiseringskontext. Organisationer är begränsade till totalt 99 autentiseringskontextdefinitioner c1-c99. Konfigurera följande attribut:

• Visningsnamn är det namn som används för att identifiera autentiseringskontexten i Microsoft Entra-ID och för program som använder autentiseringskontexter. Vi rekommenderar namn som kan användas mellan resurser, till exempel betrodda enheter, för att minska antalet autentiseringskontexter som behövs. Att ha en reducerad uppsättning begränsar antalet omdirigeringar och ger en bättre slutanvändarupplevelse.
• Beskrivningen innehåller mer information om de principer som används av administratörer och de som tillämpar autentiseringskontexter på resurser.
• Kryssrutan Publicera till appar när den är markerad annonserar autentiseringskontexten till appar och gör dem tillgängliga för tilldelning. Om den inte är markerad är autentiseringskontexten inte tillgänglig för underordnade resurser.
• ID är skrivskyddat och används i token och appar för kontextdefinitioner för begärandespecifik autentisering. Här visas felsöknings- och utvecklingsanvändningsfall.

Lägg till i princip för villkorsstyrd åtkomst

Administratörer kan välja publicerade autentiseringskontexter i sina principer för villkorsstyrd åtkomst under > och välja Autentiseringskontext på menyn Välj vad den här principen gäller för.

Ta bort en autentiseringskontext

När du tar bort en autentiseringskontext kontrollerar du att inga program fortfarande använder den. Annars skyddas inte längre åtkomsten till appdata. Du kan bekräfta den här förutsättningen genom att kontrollera inloggningsloggarna för fall när principer för villkorsstyrd åtkomst för autentiseringskontext tillämpas.

Om du vill ta bort en autentiseringskontext får den inte ha några tilldelade principer för villkorsstyrd åtkomst och får inte publiceras till appar. Det här kravet förhindrar oavsiktlig borttagning av en autentiseringskontext som fortfarande används.

Tagga resurser med autentiseringskontexter

Mer information om användning av autentiseringskontext i program finns i följande artiklar.

• Använda känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser
• Microsoft Defender for Cloud Apps
• Anpassade program

Nästa steg

• Villkor för villkorsstyrd åtkomst
• Vanliga principer för villkorlig åtkomst
• Beroenden för klientprogram