Vytvoření zásady podmíněného přístupu

Jak je vysvětleno v článku co je podmíněný přístup, zásada podmíněného přístupu je příkaz if-then, který slouží k přiřazování a řízení přístupu. Zásada podmíněného přístupu přináší signály dohromady, provede rozhodnutí a vynutila zásady organizace.

Jak organizace vytváří tyto zásady? Co je potřeba? Jak se používají?

Podmíněný přístup (signály + rozhodnutí + vynucení = zásady)

V každém okamžiku se může vztahovat na jednotlivé uživatele víc zásad podmíněného přístupu. V takovém případě musí být splněné všechny zásady, které platí. Pokud například jedna zásada vyžaduje vícefaktorové ověřování (MFA) a jiná vyžaduje vyhovující zařízení, je nutné provést ověřování MFA a použít vyhovující zařízení. Všechna přiřazení jsou logicky ANDed. Pokud máte nakonfigurované více než jedno přiřazení, musí být pro aktivaci zásady splněné všechna přiřazení.

Pokud je vybrána zásada "vyžadovat jeden z vybraných ovládacích prvků", zobrazí se výzva v uvedeném pořadí, jakmile jsou splněny požadavky zásad, přístup je udělen.

Všechny zásady se vynutily ve dvou fázích:

  • Fáze 1: shromáždění podrobností relace
    • Shromážděte podrobnosti o relaci, jako je síťové umístění a identita zařízení, které budou nezbytné pro vyhodnocení zásad.
    • Fáze 1 vyhodnocení zásad probíhá pro povolené zásady a zásady v režimu pouze sestavy.
  • Fáze 2: vynucení
    • Pomocí podrobností o relacích shromážděných ve fázi 1 identifikujte všechny požadavky, které nebyly splněny.
    • Pokud máte zásadu, která je nakonfigurovaná tak, aby blokovala přístup, pomocí ovládacího prvku udělení bloku zastavte vynucení a uživatel se zablokuje.
    • Uživateli se zobrazí výzva k dokončení více požadavků na řízení udělení, které nebyly splněné ve fázi 1 v následujícím pořadí, dokud nesplní zásady:
      • Ověřování pomocí služby Multi-Factor Authentication
      • Schválená klientská aplikace/zásada ochrany aplikací
      • Spravované zařízení (s odpovídajícím nebo hybridním připojením k Azure AD)
      • Podmínky použití
      • Vlastní ovládací prvky
    • Jakmile jsou všechny ovládací prvky grantu splněné, aplikujte řízení relace (vynutilo aplikaci, Microsoft Defender pro cloudové aplikace a životnost tokenů).
    • Fáze 2 vyhodnocení zásad probíhá u všech povolených zásad.

Přiřazení

Část přiřazení řídí, kdo, co a kde je zásada podmíněného přístupu.

Uživatelé a skupiny

Uživatelé a skupiny přiřadí, kdo bude zásada zahrnovat nebo vyloučit. Toto přiřazení může zahrnovat všechny uživatele, konkrétní skupiny uživatelů, role adresáře nebo externí uživatele typu Host.

Cloudové aplikace nebo akce

Cloudové aplikace nebo akce můžou zahrnovat nebo vyloučit cloudové aplikace, uživatelské akce nebo kontexty ověřování, které se budou vztahovat na tyto zásady.

Podmínky

Zásada může obsahovat více podmínek.

Riziko přihlášení

Pro organizace, které mají Azure AD Identity Protection, může detekce rizik ovlivnit vaše zásady podmíněného přístupu.

Platformy zařízení

Organizace s více platformami operačních systémů na zařízeních si můžou vymáhat konkrétní zásady na různých platformách.

Informace, které se používají k výpočtu platformy zařízení, pocházejí z neověřených zdrojů, například řetězců uživatelských agentů, které je možné změnit.

Umístění

Data o poloze jsou poskytována daty geografického umístění IP. Správci se můžou rozhodnout definovat umístění a označit některé jako důvěryhodné pro síťová umístění organizace.

Klientské aplikace

Ve výchozím nastavení se všechny nově vytvořené zásady podmíněného přístupu použijí na všechny typy klientských aplikací, i když není podmínka pro klientské aplikace nakonfigurovaná.

Chování podmínky klientských aplikací bylo aktualizováno v srpnu 2020. Pokud máte existující zásady podmíněného přístupu, zůstanou beze změny. Pokud ale vyberete existující zásadu, odebere se přepínač konfigurace a klientské aplikace, na které se zásady vztahují, se vyberou.

Stav zařízení

Tento ovládací prvek slouží k vyloučení zařízení, která jsou připojená k hybridní službě Azure AD, nebo označení kompatibilního v Intune. Toto vyloučení se dá udělat pro blokování nespravovaných zařízení.

Filtry pro zařízení (Preview)

Tento ovládací prvek umožňuje zaměřit konkrétní zařízení na základě jejich atributů v zásadě.

Řízení přístupu

Část řízení přístupu v zásadách podmíněného přístupu řídí způsob, jakým se zásady vynutily.

Oprávnění

Udělení oprávnění správcům poskytuje prostředky pro vynucení zásad, kde můžou zablokovat nebo udělit přístup.

Blokování přístupu

Blok přístupu zablokuje přístup pouze v rámci zadaných přiřazení. Ovládací prvek blokování je výkonný a měl by být wielded s příslušným vědomím.

Udělení přístupu

Řízení grant může aktivovat vynucení jednoho nebo více ovládacích prvků.

  • Vyžadovat Multi-Factor Authentication (Azure AD Multi-Factor Authentication)
  • Vyžadovat, aby zařízení byla označená jako vyhovující (Intune)
  • Vyžadovat zařízení připojené k hybridní službě Azure AD
  • Vyžadovat klientskou aplikaci schválenou
  • Vyžadování zásad ochrany aplikací
  • Vyžadovat změnu hesla
  • Vyžadování podmínek použití

Správci se mohou rozhodnout, že budou vyžadovat jeden z předchozích ovládacích prvků nebo všechny vybrané ovládací prvky pomocí následujících možností. Výchozí nastavení pro více ovládacích prvků vyžaduje všechny.

  • Vyžadovat všechny vybrané ovládací prvky (ovládací prvek a ovládací prvek)
  • Vyžadovat jeden z vybraných ovládacích prvků (ovládací prvek nebo ovládací prvek)

Relace

Řízení relací může omezit prostředí

  • Použít omezení pro uplatnění aplikace
    • v současné době funguje pouze s Exchange Online a SharePoint pouze Online.
      • Předá informace o zařízení, aby bylo umožněno řízení přístupu na základě úplného nebo omezeného přístupu.
  • Použít Řízení podmíněného přístupu k aplikacím
    • Používá signály od programu Microsoft Defender pro cloudové aplikace k provádění akcí, jako jsou:
      • Blokuje stahování, vyjmutí, kopírování a tisk citlivých dokumentů.
      • Monitorovat nebezpečné chování relace.
      • Vyžaduje označení citlivých souborů.
  • Frekvence přihlášení
    • Možnost změnit výchozí frekvenci přihlašování pro moderní ověřování.
  • Trvalá relace prohlížeče
    • Umožňuje uživatelům zůstat přihlášení po zavření a opětovném otevření okna prohlížeče.

Jednoduché zásady

Zásada podmíněného přístupu musí obsahovat minimálně následující podmínky, které se mají vyhovět:

  • Název zásady
  • Přiřazení
    • Uživatelé a skupiny , u kterých se má zásada použít.
    • Cloudové aplikace nebo akce , na které se má zásada uplatnit
  • Ovládací prvky přístupu
    • Udělit nebo blokovat ovládací prvky

Prázdné zásady podmíněného přístupu

V článku společné zásady podmíněného přístupu jsou některé zásady, které považujeme za užitečné pro většinu organizací.

Další kroky

Vytvoření zásady podmíněného přístupu

Simulace chování při přihlašování pomocí nástroje pro What If podmíněného přístupu

Plánování nasazení cloudové služby Azure AD Multi-Factor Authentication

Správa dodržování předpisů zařízením pomocí Intune

Microsoft Defender pro cloudové aplikace a podmíněný přístup