Přidání podmíněného přístupu k tokům uživatelů v Azure Active Directory B2C

Než začnete,pomocí selektoru Zvolte typ zásady zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody pro definování způsobu interakce uživatelů s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky vyžadované v tomto článku se u jednotlivých metod liší.

Podmíněný přístup můžete přidat do toků uživatelů Azure Active Directory B2C (Azure AD B2C) nebo vlastních zásad pro správu rizikových přihlášení k aplikacím. Azure Active Directory (Azure AD) je nástroj, pomocí Azure AD B2C spojuje signály, rozhodování a vynucuje organizační zásady. Conditional access flow Automatizace posouzení rizik s podmínkami zásad znamená, že se riziková přihlášení identifikují okamžitě a pak se buď napraví, nebo zablokují.

Přehled služby

Azure AD B2C před udělením uživatelského přístupu vyhodnotí každou událost přihlášení a zajistí, aby byly splněny všechny požadavky na zásady. Během této zkušební fáze služba podmíněného přístupu vyhodnocuje signály shromážděné detekcí rizik služby Identity Protection během událostí přihlášení. Výsledkem tohoto procesu vyhodnocení je sada deklarací identity, které indikují, jestli se má přihlášení udělit nebo zablokovat. Zásady Azure AD B2C tyto deklarace identity používají k těmto úkonům v rámci toku uživatele. Příkladem je blokování přístupu nebo zpochybní uživatele s konkrétní nápravou, jako je vícefaktorové ověřování (MFA). Možnost Blokovat přístup přepíše všechna ostatní nastavení.

Následující příklad ukazuje technický profil podmíněného přístupu, který se používá k vyhodnocení hrozby přihlášení.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Abyste zajistili správné vyhodnocení signálů Identity Protection, budete chtít technický profil volat pro všechny uživatele, včetně místních i ConditionalAccessEvaluationConditionalAccessEvaluation. V opačném případě bude Identity Protection indikovat nesprávnou míru rizika souvisejícího s uživateli.

Ve fázi nápravy, která následuje, se uživateli bude zobrazit výzva k více ověřování. Po dokončení Azure AD B2C Identity Protection, že identifikovaná přihlašovací hrozba byla odstraněna a kterou metodou. V tomto příkladu Azure AD B2C, že uživatel úspěšně dokončil vícefaktorové ověřování. K nápravě může dojít také prostřednictvím jiných kanálů. Například při resetování hesla účtu, a to buď správcem, nebo uživatelem. Stav rizika uživatele můžete zkontrolovat vsestavě rizikových uživatelů.

Důležité

Pokud chcete na cestě úspěšně napravit riziko, ujistěte se, že se po spuštění technického profilu vyhodnocení volá technický profil Náprava. Pokud se vyhodnocení vyvolá bez nápravy,rizikový stav bude Ohrožený. Když doporučení k technickému profilu vyhodnocení vrátí , volání technického profilu Vyhodnocení se nevyžaduje. Stav rizika je nastavený na Ohroženo. Následující příklad ukazuje technický profil podmíněného přístupu, který se používá k nápravě identifikované hrozby:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Součásti řešení

Toto jsou součásti, které umožňují podmíněný přístup v Azure AD B2C:

  • Tok uživatele nebo vlastní zásady, které uživatele pro průvodci procesem přihlášení a registrace
  • Zásady podmíněného přístupu, které sdružují signály pro rozhodování a vynucování zásad organizace. Když se uživatel přihlásí k vaší aplikaci prostřednictvím zásady Azure AD B2C, zásady podmíněného přístupu pomocí signálů Azure AD Identity Protection identifikují riziková přihlášení a předvedou příslušnou nápravnou akci.
  • Zaregistrovaná aplikace, která uživatele přesměruje na příslušný Azure AD B2C toku uživatele nebo vlastní zásady.
  • TOR Browser pro simulaci rizikového přihlášení.

Omezení a důležité informace týkající se služeb

Při použití podmíněného přístupu Azure AD zvažte následující:

  • Služba Identity Protection je dostupná pro místní i sociální identity, jako je Google nebo Facebook. U sociálních identit musíte podmíněný přístup aktivovat ručně. Detekce je omezená, protože přihlašovací údaje k účtům sociálních sítí spravuje externí zprostředkovatel identity.
  • V Azure AD B2C tenantů je k dispozici pouze podmnožina zásad podmíněného přístupu Azure AD.

Požadavky

Cenová úroveň

Azure AD B2C Premium vytvoření rizikových zásad přihlašování se vyžaduje P2. Premium tenanti P1 mohou vytvořit zásadu, která je založená na zásadách na základě umístění, aplikace, uživatele nebo skupiny. Další informace najdete v tématu Změna cenové Azure AD B2C úrovně.

Příprava Azure AD B2C tenanta

Pokud chcete přidat zásady podmíněného přístupu, zakažte výchozí nastavení zabezpečení:

  1. Přihlaste se k webu Azure Portal.

  2. Ujistěte se, že používáte adresář, který obsahuje vašeho Azure AD B2C tenanta. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná.

  3. V nastavení portálu | Přejděte na stránku Adresáře a předplatná, Azure AD B2C adresáři v seznamu Název adresáře a pak vyberte Přepnout.

  4. V části Služby Azurevyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.

  5. Vyberte Vlastnostia pak vyberte Spravovat výchozí nastavení zabezpečení.

    Disable the security defaults

  6. V části Povolit výchozí nastavení zabezpečenívyberte Ne.

    Set the Enable security defaults toggle to No

Přidání zásad podmíněného přístupu

Zásady podmíněného přístupu jsou příkazem if-then přiřazení a řízení přístupu. Zásady podmíněného přístupu sdružují signály pro rozhodování a vynucování zásad organizace.

Tip

V tomto kroku nakonfigurujete zásady podmíněného přístupu. Doporučujeme použít jednu z následujících šablon: Šablona 1:Podmíněný přístup na základě rizika přihlašování, Šablona 2:Podmíněný přístup na základě rizika uživatele nebo Šablona 3: Blokováníumístění s podmíněným přístupem . Zásady podmíněného přístupu můžete nakonfigurovat prostřednictvím Azure Portal nebo MS Graph API.

Logický operátor mezi přiřazeními je And. Operátor v každém přiřazení je Nebo.

Conditional access assignments Přidání zásad podmíněného přístupu:

  1. V Azure Portal vyhledejte a vyberte Azure AD B2C.

  2. V části Zabezpečení vyberte Podmíněný přístup. Otevře se stránka Zásady podmíněného přístupu.

  3. Vyberte + Nová zásada.

  4. Zadejte název zásady, například Blokovat rizikové přihlášení.

  5. V části Přiřazenízvolte Uživatelé a skupinya pak vyberte jednu z následujících podporovaných konfigurací:

    Zařadit členy Licence Poznámky
    Všichni uživatelé P1, P2 Pokud se rozhodnete zahrnout všechny uživatele, tato zásada ovlivní všechny vaše uživatele. Pokud se chcete ujistit, že se nezamknete, vylučte svůj účet pro správu tak,že zvolíte Vyloučit, vyberete Role adresáře a pak v seznamu vyberete Globální správce. Můžete také vybrat uživatelé a skupiny a pak vybrat svůj účet v seznamu Vybrat vyloučené uživatele.
  6. Vyberte Cloudové aplikace nebo akcea pak Vyberte aplikace. Vyhledejte aplikaci předávající strany.

  7. Vyberte Podmínky apak vyberte z následujících podmínek. Vyberte například Riziko přihlášení a Vysoké,Střednía Nízké úrovně rizika.

    Podmínka Licence Poznámky
    Riziko uživatele P2 Riziko uživatele představuje pravděpodobnost ohrožení dané identity nebo účtu.
    Riziko přihlášení P2 Riziko přihlášení představuje pravděpodobnost, že daný požadavek na ověření není autorizovaný vlastníkem identity.
    Platformy zařízení Nepodporováno Je charakterizován operačním systémem, který běží na zařízení. Další informace najdete v tématu platformy zařízení.
    Umístění P1, P2 Pojmenovaná umístění mohou zahrnovat informace o veřejné síti IPv4, zemi nebo oblast nebo neznámé oblasti, které nejsou namapovány na konkrétní země nebo oblasti. Další informace najdete v tématu umístění.
  8. V části Ovládací prvky přístupu zvolte Udělení. Pak vyberte, jestli se má blokovat nebo udělit přístup:

    Možnost Licence Poznámky
    Blokovat přístup P1, P2 Zabrání přístupu na základě podmínek uvedených v těchto zásadách podmíněného přístupu.
    Udělení přístupu s vyžadováním vícefaktorového ověřování P1, P2 Na základě podmínek uvedených v těchto zásadách podmíněného přístupu musí uživatel projít Azure AD B2C vícefaktorového ověřování.
  9. V části Povolit zásaduvyberte jednu z následujících možností:

    Možnost Licence Poznámky
    Pouze sestava P1, P2 Sestava – umožňuje správcům vyhodnotit dopad zásad podmíněného přístupu ještě předtím, než je povolí ve svém prostředí. Doporučujeme, abyste kontrolovali zásady s tímto stavem a určili dopad na koncové uživatele bez nutnosti vícefaktorového ověřování nebo blokování uživatelů. Další informace najdete v tématu Kontrola výsledků podmíněného přístupu v sestavě auditu .
    Zapnuto P1, P2 Zásady přístupu se vyhodnotí a nevynutily.
    Vypnuto P1, P2 Zásady přístupu nejsou aktivované a nemá žádný vliv na uživatele.
  10. Povolte zásady podmíněného přístupu, a to tak, že vyberete vytvořit.

Šablona 1: podmíněný přístup na základě rizik přihlašování

Většina uživatelů se chová běžným způsobem, který je možné sledovat. Když se mimo tento běžný způsob vychýlí, může být nebezpečné jim povolit se normálně přihlásit. Je možné, že budete chtít tohoto uživatele zablokovat nebo ho můžete jednoduše požádat, aby provedl ověřování pomocí vícefaktorového ověřování, aby prokázal, že jsou ve skutečnosti, na kterých říkají. Riziko přihlášení představuje pravděpodobnost, že daný požadavek na ověření není autorizovaný vlastníkem identity. Klienti Azure AD B2C s licencemi P2 můžou vytvářet zásady podmíněného přístupu, které obsahují Azure AD Identity Protection detekci rizik přihlašování.

Všimněte si omezení detekce Identity Protection pro B2C. Pokud se zjistí riziko, můžou uživatelé provádět vícefaktorové ověřování, aby se opravili, a zavřeli událost rizikového přihlašování, která správcům zabrání zbytečnému hluku.

nakonfigurujte podmíněný přístup prostřednictvím rozhraní api Azure Portal nebo Microsoft Graph, aby bylo možné povolit zásady podmíněného přístupu na základě rizik, které vyžadují vícefaktorové ověřování, když je riziko pro přihlášení střední nebo vysoké.

  1. V části Zahrnoutvyberte Všichni uživatelé.
  2. V části vyloučitvyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo rozklad vaší organizace.
  3. Vyberte Hotovo.
  4. V části cloudové aplikace nebo akcevyberte všechny cloudové aplikace.
  5. V části podmínkypřihlášenínastavte nastavit na Ano. V části Vyberte úroveň rizika přihlašování, na kterou se budou tyto zásady vztahovat .
    1. Vyberte vysoké a střední.
    2. Vyberte Hotovo.
  6. V části řízení přístupuudělenípřístupu vyberte udělit přístup, vyžadovat vícefaktorové ověřovánía vyberte Vybrat.
  7. Potvrďte nastavení a nastavte možnost povolit zásadu na zapnuto.
  8. Vyberte vytvořit a vytvořte tak, aby se zásady povolily.

Povolení šablony 1 s rozhraními API pro podmíněné přístupu (volitelné)

vytvoření zásady podmíněného přístupu na základě rizika přihlašování s využitím rozhraní api MS Graph. Další informace najdete v tématu rozhraní API pro podmíněný přístup. Následující šablonu lze použít k vytvoření zásady podmíněného přístupu se zobrazovaným názvem šablona 1: vyžaduje vícefaktorové ověřování (MFA) pro středně velké riziko přihlášení v režimu pouze sestavy.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Šablona 2: podmíněný přístup na základě rizik uživatelů

Identity Protection může vypočítat, co se považuje za běžné pro chování uživatele a použít ho k základnímu rozhodování o jejich riziku. Riziko uživatele je výpočet pravděpodobnosti ohrožení identity. Klienti B2C s licencemi P2 můžou vytvářet zásady podmíněného přístupu, které zahrnují riziko uživatele. Když je uživatel zjištěn jako ohrožen, můžete vyžadovat, aby si bezpečně změnil heslo, aby opravil riziko a získal přístup ke svému účtu. Důrazně doporučujeme nastavit zásady rizik uživatelů, aby vyžadovaly zabezpečenou změnu hesla, aby se uživatelé mohli sami opravit.

Přečtěte si další informace o rizikech uživatelů v rámci Identity Protectiona vezměte v úvahu omezení detekce identity pro B2C.

nakonfigurujte podmíněný přístup prostřednictvím rozhraní api Azure Portal nebo Microsoft Graph, abyste povolili zásady podmíněného přístupu na základě rizik uživatelů, které požadují vícefaktorové ověřování (MFA) a změnu hesla, když je riziko pro uživatele střední nebo vysoké.

Konfigurace podmíněného přístupu založeného na uživateli:

  1. Přihlaste se k webu Azure Portal.
  2. Vyhledejte Azure AD B2Cpodmíněný přístupzabezpečení.
  3. Vyberte nové zásady.
  4. Zadejte název zásady. Pro názvy svých zásad doporučujeme organizacím vytvořit smysluplný Standard.
  5. V části Přiřazení vyberte Uživatelé a skupiny.
    1. V části Zahrnoutvyberte Všichni uživatelé.
    2. V části vyloučitvyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo rozklad vaší organizace.
    3. Vyberte Hotovo.
  6. V části cloudové aplikace nebo akcevyberte všechny cloudové aplikace.
  7. V části podmínkyrizika uživatelenastavte Konfigurovat na Ano. V části Konfigurace úrovní rizik uživatele potřebných pro vymáhání zásad
    1. Vyberte vysoké a střední.
    2. Vyberte Hotovo.
  8. V části řízení přístupuudělenípřístupu vyberte udělit přístup, vyžadovat změnu heslaa vyberte Vybrat. Ve výchozím nastavení se vyžaduje taky služba Multi-Factor Authentication .
  9. Potvrďte nastavení a nastavte možnost povolit zásadu na zapnuto.
  10. Vyberte vytvořit a vytvořte tak, aby se zásady povolily.

Povolit šablonu 2 s rozhraními API pro podmíněné přístupu (volitelné)

Informace o vytvoření zásady podmíněného přístupu na základě rizik uživatelů pomocí rozhraní API pro podmíněné přístupy najdete v dokumentaci k rozhraním API pro podmíněné přístupy.

Následující šablonu lze použít k vytvoření zásady podmíněného přístupu se zobrazovaným názvem Template 2: vyžaduje zabezpečenou změnu hesla pro střední riziko uživatele v režimu pouze sestavy.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Šablona 3: blokování umístění s podmíněným přístupem

Pomocí podmínky umístění v podmíněném přístupu můžete řídit přístup k vašim cloudovým aplikacím na základě umístění uživatele v síti. Další informace o podmínkách umístění v podmíněném přístupu najdete v článku [použití podmínky umístění v zásadách podmíněného přístupu] (.. /active-directory/conditional-access/location-condition.md

nakonfigurujte podmíněný přístup prostřednictvím rozhraní api Azure Portal nebo Microsoft Graph a umožněte tak zásadám podmíněného přístupu blokování přístupu ke konkrétním umístěním. Další informace o podmínkách umístění v podmíněném přístupu najdete v článku s použitím podmínky umístění v zásadách podmíněného přístupu .

Definovat umístění

  1. Přihlaste se k webu Azure Portal.
  2. Vyhledejte Azure AD B2Czabezpečenípodmíněný přístups názvem umístění.
  3. Vyberte umístění zemí nebo umístění rozsahů IP adres .
  4. Zadejte název svého umístění.
  5. Zadejte rozsahy IP adres nebo vyberte země nebo oblasti pro umístění, které zadáte. Pokud zvolíte země/oblasti, můžete volitelně zahrnout neznámé oblasti.
  6. Klikněte na tlačítko Uložit.

Povolení se zásadou přístupu podmínky:

  1. Přihlaste se k webu Azure Portal.
  2. Přejděte na Azure AD B2Czabezpečení.
  3. Vyberte Nová zásada.
  4. Zadejte název zásady. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  5. V části Přiřazení vyberte Uživatelé a skupiny.
    1. V částiZahrnout vyberte Všichni uživatelé.
    2. V částiVyloučit vyberte Uživatelé a skupiny a zvolte nouzový přístup nebo pohotovostní účty vaší organizace.
    3. Vyberte Hotovo.
  6. V části Cloudové aplikace nebo akceZahrnoutvyberte Všechny cloudové aplikace.
  7. V části Umístěnípodmínek
    1. Nastavte Konfigurovat na Ano.
    2. V části Zahrnoutvyberte Vybraná umístění.
    3. Vyberte pojmenované umístění, které jste vytvořili.
    4. Klikněte na Vybrat.
  8. V části Řízení přístupu vyberte Blokovat přístup a vyberte Vybrat.
  9. Potvrďte nastavení a nastavte Povolit zásadu na Hodnotu On (Zapnout).
  10. Výběrem možnosti Vytvořit zásadu povolte.

Povolení šablony 3 pomocí rozhraní API podmíněného přístupu (volitelné)

Pokud chcete vytvořit zásadu podmíněného přístupu na základě umístění s rozhraními API podmíněného přístupu, přečtěte si dokumentaci k rozhraním API podmíněného přístupu. Pokud chcete nastavit pojmenovaná umístění, přečtěte si dokumentaci pro pojmenovaná umístění.

Následující šablonu můžete použít k vytvoření zásady podmíněného přístupu se zobrazovaným názvem Template 3: Block unallowed locations (Šablona 3: Blokovat nepovolené umístění) v režimu pouze sestav.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Přidání podmíněného přístupu k toku uživatele

Po přidání zásad podmíněného přístupu Azure AD povolte podmíněný přístup v toku uživatele nebo ve vlastních zásadách. Když povolíte podmíněný přístup, nemusíte zazadat název zásady. Na jednotlivé uživatele se může kdykoli vztahovat více zásad podmíněného přístupu. V tomto případě mají přednost nejpřísnější zásady řízení přístupu. Pokud například jedna zásada vyžaduje MFA, zatímco druhá blokuje přístup, bude uživatel blokovaný.

Povolení vícefaktorového ověřování (volitelné)

Při přidávání podmíněného přístupu k toku uživatele zvažte použití vícefaktorového ověřování (MFA). Uživatelé mohou prostřednictvím SMS nebo hlasu použít jednorázový kód, jednorázová hesla prostřednictvím e-mailu nebo jednorázový kód s časovým heslem (TOTP) prostřednictvím ověřovací aplikace pro vícefaktorové ověřování. Nastavení MFA se konfigurují odděleně od nastavení podmíněného přístupu. Můžete si vybrat z těchto možností MFA:

  • Vypnuto – MFA se při přihlašování nikdy nevynucuje a uživatelům se při registraci ani přihlášení výzva k registraci více ověřování nedozvědí.
  • Always On – MFA se vyžaduje vždy bez ohledu na nastavení podmíněného přístupu. Během registrace se uživatelům zobrazí výzva k registraci do MFA. Pokud uživatelé při přihlašování ještě nejsou zaregistrovaní v MFA, zobrazí se jim výzva k registraci.
  • Podmíněné – Při registraci a přihlašování se uživatelům zobrazí výzva, aby se zaregistrovali do MFA (noví i stávající uživatelé, kteří nejsou zaregistrovaní v MFA). Při přihlašování se více ověřování vynucuje jenom v případě, že to vyžaduje aktivní vyhodnocení zásad podmíněného přístupu:
    • Pokud je výsledkem výzva MFA bez rizika, vynutí se MFA. Pokud uživatel ještě není zaregistrovaný v MFA, zobrazí se výzva k registraci.
    • Pokud je výsledkem výzva MFA kvůli riziku a uživatel není zaregistrovaý v MFA, přihlášení se zablokuje.

    Poznámka

    Při obecné dostupnosti podmíněného přístupu Azure AD B2C se teď uživatelům při registraci zobrazí výzva k registraci do metody MFA. Žádné toky uživatelů, které jste vytvořili před obecnou dostupností, toto nové chování automaticky neodrážejí, ale toto chování můžete zahrnout vytvořením nových toků uživatelů.

Pokud chcete povolit podmíněný přístup pro tok uživatele, ujistěte se, že verze podporuje podmíněný přístup. Tyto verze toku uživatele jsou označené jako Doporučené.

  1. Přihlaste se k webu Azure Portal.
  2. Ujistěte se, že používáte adresář, který obsahuje vašeho Azure AD B2C tenanta. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná.
  3. V nastavení portálu | Na stránce Adresáře a předplatná vyhledejte svůj Azure AD B2C adresář v seznamu Název adresáře a pak vyberte Přepnout.
  4. V části Služby Azurevyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.
  5. V části Zásadyvyberte Toky uživatelů. Pak vyberte tok uživatele.
  6. Vyberte Vlastnosti a zkontrolujte, že tok uživatele podporuje podmíněný přístup, a to tak, že hledá nastavení s popiskem Podmíněný přístup. Configure MFA and Conditional Access in Properties
  7. V části Vícefaktorové ověřování vyberte požadovaný typ metodya pak v části Vynucenívícefaktorového ověřování vyberte Podmíněný.
  8. V části Podmíněný přístup zaškrtněte políčko Vynutit zásady podmíněného přístupu.
  9. Vyberte Uložit.

Přidání podmíněného přístupu do zásad

  1. Příklad zásad podmíněného přístupu na GitHub.
  2. V každém souboru nahraďte řetězec yourtenant názvem vašeho tenanta Azure AD B2C tenanta. Pokud je například název vašeho tenanta B2C contosob2c,všechny instance se stanou contosob2c.onmicrosoft.com .
  3. Upload souborů zásad.

Konfigurace jiné deklarace identity než telefonního čísla pro MFA

Ve výše uvedených zásadách podmíněného přístupu metoda transformace deklarace identity zkontroluje, jestli deklarace identity obsahuje hodnotu, například jestli deklarace identity DoesClaimExiststrongAuthenticationPhoneNumber obsahuje telefonní číslo. Transformace deklarací identity není omezena na strongAuthenticationPhoneNumber deklaraci identity. V závislosti na scénáři můžete použít jakoukoli jinou deklaraci identity. V následujícím fragmentu kódu XML se strongAuthenticationEmailAddress místo toho kontroluje deklarace identity. Deklarace identity, kterou zvolíte, musí mít platnou hodnotu, jinak se deklarace IsMfaRegistered nastaví na False . Při nastavení na hodnotu vrátí vyhodnocení zásady podmíněného přístupu typ udělení, který uživateli brání v dokončení FalseBlock toku uživatele.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Testování vlastních zásad

  1. Výběrem B2C_1A_signup_signin_with_ca zásady nebo otevřete její stránku s B2C_1A_signup_signin_with_ca_whatif přehledem. Pak vyberte Run user flow (Spustit tok uživatele). V části Aplikacevyberte webapp1. Adresa URL odpovědi by měla zobrazovat .
  2. Zkopírujte adresu URL v části Spustit koncový bod toku uživatele.
  3. Pokud chcete simulovat rizikové přihlášení, otevřete Prohlížeč Tor a pomocí adresy URL, kterou jste zkopírovali v předchozím kroku, se přihlaste k registrované aplikaci.
  4. Na přihlašovací stránce zadejte požadované informace a pak se pokuste přihlásit. Token se vrátí do a https://jwt.ms měl by se zobrazit. V jwt.ms dekódovaného tokenu byste měli vidět, že přihlášení bylo zablokované.

Testování toku uživatele

  1. Výběrem toku uživatele, který jste vytvořili, otevřete jeho stránku s přehledem a pak vyberte Spustit tok uživatele. V části Aplikacevyberte webapp1. Adresa URL odpovědi by měla zobrazovat .
  2. Zkopírujte adresu URL v části Spustit koncový bod toku uživatele.
  3. Pokud chcete simulovat rizikové přihlášení, otevřete Prohlížeč Tor a pomocí adresy URL, kterou jste zkopírovali v předchozím kroku, se přihlaste k registrované aplikaci.
  4. Na přihlašovací stránce zadejte požadované informace a pak se pokuste přihlásit. Token se vrátí do a https://jwt.ms měl by se zobrazit. V jwt.ms dekódovaného tokenu byste měli vidět, že přihlášení bylo zablokované.

Kontrola výsledků podmíněného přístupu v sestavě auditu

Kontrola výsledku události podmíněného přístupu:

  1. Přihlaste se k webu Azure Portal.
  2. Ujistěte se, že používáte adresář, který obsahuje vašeho Azure AD B2C tenanta. Na panelu nástrojů portálu vyberte ikonu Adresáře a předplatná.
  3. V nastavení portálu | Na stránce Adresáře a předplatná vyhledejte svůj Azure AD B2C adresář v seznamu Název adresáře a pak vyberte Přepnout.
  4. V části Služby Azurevyberte Azure AD B2C. Nebo pomocí vyhledávacího pole vyhledejte a vyberte Azure AD B2C.
  5. V části Aktivityvyberte Protokoly auditu.
  6. Vyfiltrujte protokol auditu tak, že nastavíte Kategoriina B2C a Typ prostředku aktivity na IdentityProtection. Pak vyberte Použít.
  7. Zkontrolujte aktivitu auditu až za posledních sedm dnů. Jsou zahrnuty následující typy aktivit:
    • Vyhodnotit zásady podmíněného přístupu:Tato položka protokolu auditu indikuje, že se během ověřování provedlo vyhodnocení podmíněného přístupu.
    • Napravituživatele: Tato položka indikuje, že koncový uživatel splnil udělení nebo požadavky zásad podmíněného přístupu a že se tato aktivita nahlásila modulu rizik, aby se uživatel zmírní (snížilo riziko).
  8. Výběrem položky protokolu vyhodnotit zásady podmíněného přístupu v seznamu otevřete stránku Podrobnosti o aktivitě: Protokol auditu, která zobrazuje identifikátory protokolu auditu spolu s těmito informacemi v části Další podrobnosti:
    • ConditionalAccessResult:Udělení vyžadované vyhodnocením podmíněné zásady.
    • AppliedPolicies(Použité zásady): Seznam všech zásad podmíněného přístupu, u kterých byly splněny podmínky, a zásad, které jsou v pořádku.
    • ReportingPolicies: Seznam zásad podmíněného přístupu, které byly nastaveny na režim pouze sestav a kde byly podmínky splněny.

Další kroky

Přizpůsobení uživatelského rozhraní v Azure AD B2C toku uživatele