Beskriva villkorsstyrd åtkomst

  • 6 minuter

Villkorsstyrd åtkomst är en funktion i Microsoft Entra-ID som ger ett extra säkerhetslager innan autentiserade användare får åtkomst till data eller andra tillgångar. Villkorlig åtkomst implementeras via principer som skapas och hanteras i Microsoft Entra-ID. En princip för villkorsstyrd åtkomst analyserar signaler som användare, plats, enhet, program och risk för att automatisera beslut om auktorisering av åtkomst till resurser (appar och data).

Skärmbild som visar principflödet för villkorsstyrd åtkomst. Signaler används för att avgöra om du vill tillåta eller blockera åtkomst till appar och data.

Principer för villkorsstyrd åtkomst är som enklast if-then-instruktioner. En princip för villkorsstyrd åtkomst kan till exempel ange att om en användare tillhör en viss grupp måste de tillhandahålla multifaktorautentisering för att logga in på ett program.

Viktigt!

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Principkomponenter för villkorsstyrd åtkomst

En princip för villkorlig åtkomst i Microsoft Entra-ID består av två komponenter, tilldelningar och åtkomstkontroller.

Skärmbild som visar de två komponenterna i en princip för villkorlig åtkomst, tilldelningarna och åtkomstkontrollerna.

Tilldelningar

När du skapar en princip för villkorlig åtkomst kan administratörer avgöra vilka signaler som ska användas via tilldelningar. Tilldelningsdelen av principen styr vem, vad, var och när för principen för villkorsstyrd åtkomst. Alla tilldelningar är logiskt ANDed. Om du har konfigurerat fler än en tilldelning måste alla tilldelningar vara uppfyllda för att utlösa en princip. Några av tilldelningarna är:

  • Användare tilldelar vem principen ska inkludera eller exkludera. Den här tilldelningen kan omfatta alla användare i katalogen, specifika användare och grupper, katalogroller, externa gäster och arbetsbelastningsidentiteter.
  • Målresurser inkluderar program eller tjänster, användaråtgärder, global säker åtkomst (förhandsversion) eller autentiseringskontext.
    • Molnappar – Administratörer kan välja från listan över program eller tjänster som innehåller inbyggda Microsoft-program, inklusive Microsoft Cloud-program, Office 365, Windows Azure Service Management API, Microsoft Admin-portaler och alla Microsoft Entra-registrerade program.
    • Användaråtgärder – Administratörer kan välja att definiera principer som inte baseras på ett molnprogram utan på en användaråtgärd som Registrera säkerhetsinformation eller Registrera eller ansluta enheter, vilket gör att villkorlig åtkomst kan framtvinga kontroller kring dessa åtgärder.
    • Global säker åtkomst (förhandsversion) – Administratörer kan använda principer för villkorlig åtkomst för att skydda trafiken som passerar genom tjänsten Global säker åtkomst. Detta görs genom att definiera trafikprofiler i Global säker åtkomst. Principer för villkorlig åtkomst kan sedan tilldelas till trafikprofilen global säker åtkomst.
    • Autentiseringskontext – Autentiseringskontext kan användas för att ytterligare skydda data och åtgärder i program. Till exempel kan användare som har åtkomst till specifikt innehåll på en SharePoint-webbplats behöva komma åt innehållet via en hanterad enhet eller godkänna specifika användningsvillkor.
  • Med nätverket kan du styra användaråtkomsten baserat på användarens nätverk eller fysiska plats. Du kan inkludera alla nätverk eller platser, platser som markerats som betrodda nätverk eller betrodda IP-adressintervall eller namngivna platser. Du kan också identifiera kompatibla nätverk som består av användare och enheter som följer organisationens säkerhetsprinciper.
  • Villkor definierar var och när principen ska tillämpas. Flera villkor kan kombineras för att skapa detaljerade och specifika principer för villkorsstyrd åtkomst. Några av villkoren är:
    • Inloggningsrisk och användarrisk. Integrering med Microsoft Entra ID Protection gör att principer för villkorsstyrd åtkomst kan identifiera misstänkta åtgärder relaterade till användarkonton i katalogen och utlösa en princip. Inloggningsrisk är sannolikheten att en viss inloggning eller autentiseringsbegäran inte godkänns av identitetsägaren. Användarrisk är sannolikheten att en viss identitet eller ett visst konto komprometteras.
    • Insiderrisk. Administratörer med åtkomst till Microsoft Purview adaptivt skydd kan införliva risksignaler från Microsoft Purview i principbeslut för villkorsstyrd åtkomst. Insiderrisker tar hänsyn till datastyrning, datasäkerhet och risk- och efterlevnadskonfigurationer från Microsoft Purview.
    • Enhetsplattform. Enhetsplattformen, som kännetecknas av operativsystemet som körs på en enhet, kan användas när principer för villkorlig åtkomst tillämpas.
    • Klientappar. Klientappar, programvaran som användaren använder för att komma åt molnappen, inklusive webbläsare, mobilappar, skrivbordsklienter, kan också användas i beslut om åtkomstprincip.
    • Filter för enheter. Organisationer kan tillämpa principer baserat på enhetsegenskaper med hjälp av alternativet filter för enheter. Det här alternativet kan till exempel användas för att rikta principer till specifika enheter som arbetsstationer för privilegierad åtkomst.

I grund och botten styr tilldelningsdelen vem, vad och var av principen för villkorsstyrd åtkomst.

Åtkomstkontroller

När principen för villkorsstyrd åtkomst har tillämpats fattas ett välgrundat beslut om att blockera åtkomst, bevilja åtkomst, bevilja åtkomst med extra verifiering eller tillämpa en sessionskontroll för att möjliggöra en begränsad upplevelse. Beslutet kallas för åtkomstkontrolldelen av principen för villkorsstyrd åtkomst och definierar hur en princip tillämpas. Vanliga beslut är:

  • Blockera åtkomst
  • Bevilja åtkomst. Administratörer kan bevilja åtkomst utan ytterligare kontroll, eller så kan de välja att framtvinga en eller flera kontroller när de beviljar åtkomst. Exempel på kontroller som används för att bevilja åtkomst är att kräva att användare utför multifaktorautentisering, kräver specifika autentiseringsmetoder för åtkomst till en resurs, kräver att enheter uppfyller specifika efterlevnadsprincipkrav, kräver en lösenordsändring med mera. En fullständig lista finns i Bevilja kontroller i principen för villkorsstyrd åtkomst.
  • Session. I en princip för villkorsstyrd åtkomst kan en administratör använda sessionskontroller för att aktivera begränsade funktioner i specifika molnprogram. Till exempel använder Appkontroll för villkorsstyrd åtkomst signaler från Microsoft Defender för molnet-appar för att blockera funktionerna för nedladdning, klipp ut, kopiera och skriva ut för känsliga dokument eller för att kräva etikettering av känsliga filer. Andra sessionskontroller inkluderar inloggningsfrekvens och begränsningar för program som för valda program använder enhetsinformationen för att ge användarna en begränsad eller fullständig upplevelse, beroende på enhetens tillstånd. En fullständig lista finns i Sessionskontroller i principen för villkorsstyrd åtkomst.

Sammanfattningsvis styr tilldelningsdelen vem, vad och var av principen för villkorsstyrd åtkomst medan åtkomstkontrolldelen styr hur en princip tillämpas.