Vad är enhetsidentitet i Azure?

7 minuter

I den här lektionen får du lära dig mer om alternativ för enhetsidentitet och registrering och hur de gäller för olika enheter. Du får lära dig hur du kan använda villkorsstyrd åtkomst för att förbättra åtkomstkontrollen med dina enheter. Slutligen tar du hänsyn till fördelarna och övervägandena med att använda enhetsidentitet i Azure.

Grundläggande om enhetsidentitet

Enhetsidentitet i Microsoft Entra-ID hjälper dig att styra de enheter som du lägger till i din organisations Microsoft Entra-instans. Den hjälper dig också att kontrollera de data, resurser och tillgångar som enheterna kan komma åt. Det tillhandahåller ett ramverk för att implementera enhetsbaserad villkorlig åtkomst. Du kan använda en enhetsbaserad princip för villkorsstyrd åtkomst för att begränsa enhetsåtkomsten till organisationens tillgångar.

Dagens arbetsmiljö sträcker sig utanför de kontrollerbara gränserna hos din lokala arbetsyta. Nu kan dina anställda arbeta på olika platser, inte bara i företagets hemland eller region, utan även utomlands. Användare har tillgång till ett bredare utbud av tekniker. Din organisation äger vissa av dessa tekniker, men äger inte andra.

Den utmaning IT-personal står inför är hur man ger användarna flexibilitet samtidigt som de skyddar företagets data. Du vill stödja dina användare och göra det möjligt för dem att vara produktiva oavsett var de arbetar och på vilken enhet de använder, men du måste fortfarande skydda organisationens resurser och tillgångar.

Att hitta en balans mellan skydd av tillgångar och att ge användare större flexibilitet vad gäller enheter är centralt för enhetsidentitet. Alla enheter som du vill ansluta till ditt nätverk måste vara kända. Verktyg som Microsoft Intune kan förbättra känd information om enheter genom att säkerställa efterlevnad med organisationens krav.

Genom att kombinera Microsoft Entra-ID med enkel inloggning kan användarna komma åt tjänster och appar via valfri enhet. Den här lösningen uppfyller organisationens behov av att skydda dess resurser och tillgångar och ger användarna den flexibilitet de vill ha.

Alternativ för enhetsregistrering

Du har tre alternativ för enhetsregistrering för att lägga till en enhet i Microsoft Entra-ID:

Microsoft Entra-registrerad: Dessa enheter ingår i byod-kategorin (Bring Your Own Device). De är vanligtvis privatägda eller använder ett personligt Microsoft-konto eller ett annat lokalt konto. Den här metoden för enhetsregistrering är den minst restriktiva eftersom den stöder enheter som kör Windows 10 eller senare, iOS, iPadOS, Android och macOS. Enhetssäkerhet tillhandahålls vanligtvis via lösenord, PIN-kod, mönster eller Windows Hello.
Microsoft Entra-ansluten: Din organisation äger dessa enheter. Användare får åtkomst till din molnbaserade Microsoft Entra-instans via sitt arbetskonto. Enhetsidentiteter finns bara i molnet. Det här alternativet är endast tillgängligt för Windows 10-, Windows 11- eller Windows Server 2019-enheter. Windows Server 2019 Server Core-installationen stöds inte. Säkerhet för det här alternativet använder antingen ett lösenord eller Windows Hello.
Microsoft Entra-hybridanslutning: Det här alternativet liknar Microsoft Entra-ansluten. Organisationen äger dessa enheter och de är inloggade med ett Microsoft Entra-konto som tillhör den organisationen. Enhetsidentiteter finns i molnet och lokalt. Hybridalternativet passar bättre för organisationer som behöver lokal och molnbaserad åtkomst. Det här alternativet stöder Windows 8.1, 10 och 11 och Windows Server 2012 eller senare.

Villkorlig åtkomst

Villkorsstyrd åtkomst i Microsoft Entra-ID använder data från källor som kallas signaler, validerar dem mot en användardefinierbar regelbas och väljer det bästa resultatet för att framtvinga organisationens säkerhetsprinciper. Villkorlig åtkomst möjliggör enhetsidentitetshantering, men principer för villkorsstyrd åtkomst kan vara komplexa.

Som enklast kan du se dessa principer som "if-then"-instruktioner. Om en användare vill ha åtkomst till en resurs måste användaren uppfylla villkoret för att slutföra begäran. Exempel: En löneansvarig vill få åtkomst till löneprogrammet. Principen för villkorsstyrd åtkomst kräver att de använder en kompatibel enhet och slutför multifaktorautentisering för att få åtkomst till programmet.

Bild som visar en villkorlig signal plus ett beslut om att få framtvingande.

Principer för villkorsstyrd åtkomst tillämpas när en användare har slutfört förstafaktorautentiseringen, vanligtvis med ett användarnamn och lösenord. Dessa principer är inte en ersättning för autentisering med första faktor. De används för åtkomst till faktorer såsom enhet, plats och program samt för att bedöma risk i realtid.

Vanliga signaltyper

Villkorlig åtkomst använder många vanliga signaltyper för att fatta ett beslut om vilket resultat som ska rekommenderas.

Bild som visar processflödet för villkorsstyrd åtkomst.

Signaler omfattar följande typer:

Användar- eller gruppmedlemskap för att ge detaljerad åtkomst till resurser.
IP-platsinformation använder en lista över betrodda IP-adresser och en blockeringslista över blockerade eller förbjudna IP-adresser.
Enhet gör att du kan ange typen av enhet och dess tillstånd.
Program gör att du kan styra åtkomsten till ett visst program för en specifik enhet.
Med realtids- och beräknad riskidentifiering kan Microsoft Entra-ID identifiera beteenden, inte bara under inloggningen, utan även under hela användarens session.
Microsoft Defender för molnet Apps ger realtidsövervakning av användarens session och programåtkomst. Defender för molnet Apps hjälper dig också att styra din molnmiljö.

Vanliga beslut

Villkorsstyrd åtkomst utvärderar signalerna och ger ett beslut:

Blockera åtkomst, vilket är det mest restriktiva.
Bevilja åtkomst, vilket är den minst restriktiva, men kan kräva ytterligare kriterier innan åtkomst tillåts.

Dessa kriterier kan vara en eller flera av:

Multifaktorautentisering
Enheten markeras som kompatibel
Enhet som är Microsoft Entra Hybrid-ansluten
Godkänt program
Behov av en appskyddsprincip

Om din organisation använder Microsoft Entra multifaktorautentisering behöver användarna inte utföra multifaktorautentisering när de använder en enhet som är kompatibel med hantering av mobila enheter (MDM) och Microsoft Entra-ansluten. Du kan välja alternativet Kräv en av de valda kontrollerna med dina beviljandekontroller valda. Om du behöver extra säkerhet för något som liknar en löneapp väljer du Kräv alla valda kontroller för att kräva multifaktorautentisering och en kompatibel enhet.

Skärmbild av inställningarna för beviljande av åtkomstkontroll med de valda alternativen: Kräv multifaktorautentisering, Kräv enhetskompatibel och Kräv en av de valda kontrollerna.

Principer som tillämpas ofta

Många organisationer har vanliga åtkomstproblem som principer för villkorsstyrd åtkomst kan hjälpa till med, till exempel:

Kräva multifaktorautentisering för användare som har administrativa roller.
Kräva multifaktorautentisering för Azure-hanteringsuppgifter.
Blockera inloggningar av användare som försöker använda äldre autentiseringsprotokoll.
Kräver betrodda platser för registrering av multifaktorautentisering i Microsoft Entra.
Blockera eller bevilja åtkomst från specifika platser.
Blockera riskfyllda inloggningsbeteenden.
Kräva organisationshanterade enheter för specifika program.

Val för att skapa en princip för villkorsstyrd åtkomst

Om du vill skapa en princip för villkorlig åtkomst går du till Microsoft Entra ID>Security>Villkorlig åtkomst>Ny princip i Azure Portal.

Skärmbild som visar en ny princip för villkorsstyrd åtkomst utan angivna tilldelningar eller åtkomstkontroller.

För att principen ska fungera måste du konfigurera:

Vad	Hur	Varför
Molnappar	Välj en eller flera appar.	Målet med en princip för villkorsstyrd åtkomst är att du ska kunna styra hur auktoriserade användare kan komma åt molnappar.
Användare och grupper	Välj minst en användare eller grupp som har behörighet att komma åt dina valda molnappar.	En princip för villkorsstyrd åtkomst som inte har några användare och grupper tilldelade utlöses aldrig.
Åtkomstkontroller	Välj minst en åtkomstkontroll.	Om dina villkor är uppfyllda måste din principbehandlare veta vad den ska göra.

Fördelarna med enhetsidentitetshantering

Här är några av fördelarna med att använda enhetsidentitet i kombination med villkorsstyrd åtkomst i Microsoft Entra-ID:

Kombinationen förenklar proceduren för att lägga till och hantera enheter i Microsoft Entra-ID.
Kombinationen gör det smidigare för användarna att växla mellan enheter.
Microsoft Entra ID stöder MDM-verktyg som Microsoft Intune.
Du kan använda enkel inloggning (SSO) med alla registrerade eller anslutna enheter.

Saker att tänka på vid användning av enhetsidentitetshantering

När du utvärderar enhetsidentitet bör du tänka på följande faktorer:

Om du använder alternativet Microsoft Entra-ansluten eller hybrid kan du använda ett Windows-baserat eller Windows Server-baserat operativsystem på enheten.
Villkorsstyrd åtkomst kräver en Microsoft Entra ID P1-licens eller en Microsoft 365 Business-licens.

Kontrollera dina kunskaper

Vilka operativsystem stöder Microsoft Entra-registrerade enheter?

Windows 10, Windows 11, iOS, Android och macOS

Endast Windows 7, Windows 8.1 och Windows 10

Windows 10 och macOS

Vilka inloggningsalternativ för enhetssäkerhet stöder Microsoft Entra-anslutning?

Ett Microsoft Entra-ID-arbetskonto med lösenord, PIN-kod, mönster eller Windows Hello

Ett Microsoft Entra-arbetskonto med lösenord eller Windows Hello och multifaktorautentisering

Ett Microsoft-konto med lösenord, Windows Hello och multifaktorautentisering

När tillämpas villkorsstyrd åtkomst?

Före autentisering med första faktor

Som en del av autentisering med första faktor

Efter autentisering med första faktor

Du måste svara på alla frågor innan du kontrollerar ditt arbete.