Co je podmíněný přístup?

Moderní hraniční zabezpečení teď přesahuje síť organizace, aby zahrnovala identitu uživatelů a zařízení. Organizace můžou tyto signály identity využít jako součást jejich rozhodnutí o řízení přístupu.

podmíněný přístup je nástroj používaný Azure Active Directory k spojování signálů, k rozhodování a vymáhání zásad organizace. Podmíněný přístup je srdcem nové roviny ovládacího prvku na základě identity.

Koncepční podmíněný signál plus rozhodnutí pro získání vynucování

Zásady podmíněného přístupu jsou v nejjednodušším případě příkazy if a then, pokud chce uživatel získat přístup k prostředku, musí dokončit akci. Příklad: správce mezd chce získat přístup k aplikaci mzdy a vyžaduje k přístupu k němu službu Multi-Factor Authentication.

Správcům se čelí dva primární cíle:

  • Umožnit uživatelům být produktivní kdykoli a kdekoli
  • Ochrana prostředků organizace

Pomocí zásad podmíněného přístupu můžete použít správné řízení přístupu, pokud je to nutné, aby vaše organizace byla zabezpečená a zůstala v případě potřeby zachována uživateli.

Tok procesu koncepčního podmíněného přístupu

Důležité

Po dokončení prvního faktorového ověřování se vynutily zásady podmíněného přístupu. Podmíněný přístup nepředstavuje první linii obrany organizace pro scénáře, jako jsou útoky DoS (Denial-of-Service), ale může k určení přístupu použít signály z těchto událostí.

Běžné signály

Běžné signály, které může podmíněný přístup vzít v úvahu při rozhodování o zásadách, zahrnuje tyto signály:

  • Členství uživatele nebo skupiny
    • Zásady je možné cílit na konkrétní uživatele a skupiny, které správcům poskytují jemně odstupňovanou kontrolu nad přístupem.
  • Informace o umístění IP adresy
    • Organizace můžou vytvářet důvěryhodné rozsahy IP adres, které se dají použít při rozhodování o zásadách.
    • Správci mohou určit celé země/oblasti IP rozsahů pro blokování nebo povolení provozu.
  • Zařízení
    • Uživatelé se zařízeními konkrétních platforem nebo označenými určitým stavem lze použít při vynucování zásad podmíněného přístupu.
  • Aplikace
    • Uživatelé, kteří se pokoušejí o přístup ke konkrétním aplikacím, můžou aktivovat různé zásady podmíněného přístupu.
  • Zjišťování rizik v reálném čase a vypočtené riziko
    • Signály pro integraci s Azure AD Identity Protection umožňují zásadám podmíněného přístupu identifikovat rizikové chování při přihlašování. Zásady potom můžou vynutit, aby uživatelé prováděli změny hesla nebo službu Multi-Factor Authentication, aby omezili jejich úroveň rizika nebo aby měli přístup blokovaný, dokud správce neprovede ruční akci.
  • Microsoft Defender for Cloud Apps
    • Umožňuje monitorovat a kontrolovat přístup k uživatelským aplikacím v reálném čase, což zvyšuje viditelnost a kontrolu nad přístupem a aktivitami provedenými v rámci vašeho cloudového prostředí.

Běžná rozhodnutí

  • Blokování přístupu
    • Nejvíce omezující rozhodnutí
  • Udělení přístupu
    • Minimální omezující rozhodnutí může stále vyžadovat jednu nebo více z následujících možností:
      • Vyžadovat Multi-Factor Authentication
      • Vyžadovat, aby zařízení bylo označené jako vyhovující
      • Vyžadovat zařízení připojené k hybridní službě Azure AD
      • Vyžadovat klientskou aplikaci schválenou
      • Vyžadovat zásady ochrany aplikací (Preview)

Běžně používané zásady

Mnoho organizací má společný přístup, ke kterým může pomáhat zásada podmíněného přístupu, například:

  • Vyžadování služby Multi-Factor Authentication pro uživatele s administrativními rolemi
  • Vyžadování služby Multi-Factor Authentication pro úlohy správy Azure
  • Blokování přihlášení pro uživatele, kteří se pokoušejí používat starší protokoly ověřování
  • Vyžadování důvěryhodných umístění pro registraci Multi-Factor Authentication služby Azure AD
  • Blokování a udělení přístupu z určitých umístění
  • Blokování rizikových přihlašovacích chování
  • Vyžadování zařízení spravovaných organizací pro konkrétní aplikace

Licenční požadavky

Použití této funkce vyžaduje licenci Azure AD Premium P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si porovnání obecně dostupných funkcí edic Free, Basic a Premium.

zákazníci s licencemi Microsoft 365 Business Premium mají taky přístup k funkcím podmíněného přístupu.

Riziko přihlášení vyžaduje přístup k Identity Protection .

Další kroky