介绍条件访问

  • 6 分钟

条件访问是 Microsoft Entra 的一项功能,它在允许经过身份验证的用户访问数据或其他资产之前提供了额外的一层安全保障。 条件访问通过在 Microsoft Entra ID 中创建和管理的策略来实现。 条件访问策略分析信号,包括用户、位置、设备、应用程序和风险,以自动决定是否授权访问资源(应用和数据)。

显示条件访问策略流的屏幕截图。信号用于决定是否允许或阻止访问应用和数据。

条件访问策略最简单的形式是 if - then 语句。 例如,条件访问策略可能声明,如果用户属于某个组,则需要提供多重身份验证来登录到应用程序

重要

完成第一因素身份验证后将强制执行条件访问策略。 在遇到拒绝服务 (DoS) 攻击等情景中,条件访问不应充当组织的第一道防线,但它可以使用这些事件的信号来确定访问权限。

条件访问策略组件

Microsoft Entra ID 中的条件访问策略由两个组件组成:分配和访问控制。

屏幕截图显示条件访问策略的两个组件:分配和访问控制。

分配

创建条件访问策略时,管理员可以通过分配来确定要使用哪些信号。 策略的分配部分用于控制条件访问策略的对象、内容、位置和时间。 所有分配在逻辑上采用 AND 运算符。 如果配置了多个分配,则必须满足所有分配才能触发策略。 一些分配包括:

  • 用户会分配策略将包括或排除的人员。 此分配可以包括目录中的所有用户、特定用户和组、目录角色、外部来宾和工作负载标识。
  • 目标资源包括应用程序或服务、用户操作、全局安全访问(预览版)或身份验证上下文。
    • 云应用 - 管理员可以从包含内置 Microsoft 应用程序的应用程序或服务列表中进行选择,包括 Microsoft Cloud 应用程序、Office 365、Windows Azure 服务管理 API、Microsoft 管理门户以及任何 Microsoft Entra 注册的应用程序。
    • 用户操作 - 管理员可以选择基于用户操作(如注册安全信息或注册或加入设备)定义策略,而不是云应用程序,允许条件访问对这些操作强制实施控制。
    • 全局安全访问(预览版)- 管理员可以使用条件访问策略来保护通过全局安全访问服务的流量。 这是通过在全局安全访问中定义流量配置文件来完成的。 然后,可以将条件访问策略分配给全局安全访问流量配置文件。
    • 身份验证上下文 - 身份验证上下文可用于进一步保护应用程序中的数据和操作。 例如,有权访问 SharePoint 网站中的特定内容的用户可能需要通过托管设备访问该内容或同意特定使用条款。
  • 网络允许你根据用户的网络或物理位置来控制用户访问。 可以包括任何网络或位置、标记为受信任的网络或受信任的 IP 地址范围或命名位置的位置。 还可以识别由符合组织安全策略的用户和设备组成的合规网络。
  • 条件定义应用策略的位置和时间。 可以结合多个条件来创建精细且具体的条件访问策略。 一些条件包括:
    • 登录风险和用户风险。 通过与 Microsoft Entra ID 保护集成,条件访问策略可识别与目录中用户帐户相关的可疑操作,并触发策略。 登录风险是指给定登录(或身份验证请求)未经标识所有者授权的概率。 用户风险是指给定标识或帐户遭入侵的概率。
    • 内部风险。 有权访问Microsoft Purview 自适应保护的管理员可以将 Microsoft Purview 的风险信号纳入条件访问策略决策。 内部风险考虑到 Microsoft Purview 中的数据治理、数据安全性和合规性配置。
    • 设备平台。 设备平台可以在强制实施条件访问策略时使用,其特征是在设备上运行的操作系统。
    • 客户端应用。 客户端应用,即用户用于访问云应用的软件(包括浏览器、移动应用、桌面客户端)也可用于访问策略决策。
    • 设备筛选器。 组织可以使用“设备筛选器”选项基于设备属性强制实施策略。 例如,此选项可用于将策略定向到特权访问工作站等特定设备。

从本质上讲,分配部分用于控制条件访问策略的对象、内容和位置。

访问控制

应用条件访问策略后,系统可做出明智的决定,决定是阻止访问、授予访问权限、在进行额外的验证后授予访问权限,还是应用会话控制来启用有限的体验。 决策指的是条件访问策略的访问控制部分,并定义如何实施策略。 常见决策包括:

  • 阻止访问
  • 授予访问权限。 管理员无需任何其他控制即可授予访问权限,也可以选择在授予访问权限时强制实施一项或多项控制措施。 用于授予访问权限的控制示例包括要求用户执行多重身份验证、要求使用特定的身份验证方法来访问资源、要求设备满足特定合规性策略要求、要求更改密码等。 有关完整列表,请参阅条件访问策略中的授权控制
  • 会话。 在条件访问策略中,管理员可以利用会话控制在特定的云应用程序中启用受限体验。 例如,条件访问应用控制使用来自 Microsoft Defender for Cloud Apps 的信号来阻止敏感文档的下载、剪切、复制和打印功能,或者要求对敏感文件进行标记。 其他会话控制包括登录频率和应用程序强制限制,即对于所选应用程序,使用设备信息为用户提供有限或完整的体验,具体视设备状态而定。 有关完整列表,请参阅条件访问策略中的会话控制

概括而言,分配部分控制条件访问策略的对象、内容和位置,而访问控制部分则控制策略的执行方式。