Sdílet prostřednictvím

Použití zásad podmíněného přístupu pro aplikace privátního přístupu

  • Článek

Použití zásad podmíněného přístupu u vašich Microsoft Entra Soukromý přístup aplikací je účinný způsob, jak vynutit zásady zabezpečení pro interní a soukromé prostředky. Zásady podmíněného přístupu můžete použít u aplikací Rychlý přístup a Privátní přístup z globálního zabezpečeného přístupu (Preview).

Tento článek popisuje, jak používat zásady podmíněného přístupu pro aplikace Rychlý přístup a Privátní přístup.

Požadavky

  • Správa istrátory, kteří pracují s Globální funkce zabezpečeného přístupu ve verzi Preview musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
    • Role role globálního zabezpečeného přístupu Správa istrator pro správu funkcí Global Secure Access Ve verzi Preview.
    • Podmíněný přístup Správa istrator pro vytváření a interakci se zásadami podmíněného přístupu.
  • Musíte mít nakonfigurovaný rychlý přístup nebo privátní přístup.
  • Verze Preview vyžaduje licenci Microsoft Entra ID P1. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Známá omezení

  • V tuto chvíli se k získání provozu privátního přístupu vyžaduje připojení přes globálního klienta zabezpečeného přístupu.

Podmíněný přístup a globální zabezpečený přístup

Zásady podmíněného přístupu pro aplikace Rychlý přístup nebo Privátní přístup můžete vytvořit z globálního zabezpečeného přístupu. Spuštění procesu z globálního zabezpečeného přístupu automaticky přidá vybranou aplikaci jako cílový prostředek pro zásadu. Stačí nakonfigurovat nastavení zásad.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

  2. Přejděte do globálního zabezpečeného přístupu (Preview)>Podnikové>aplikace.

  3. Vyberte aplikaci ze seznamu.

    Snímek obrazovky s podrobnostmi o podnikových aplikacích

  4. V boční nabídce vyberte podmíněný přístup . Všechny existující zásady podmíněného přístupu se zobrazí v seznamu.

    Snímek obrazovky s možností nabídky Podmíněný přístup

  5. Vyberte Vytvořit novou zásadu. Vybraná aplikace se zobrazí v podrobnostech o cílových prostředcích .

    Snímek obrazovky se zásadami podmíněného přístupu s vybranou aplikací Rychlý přístup

  6. Nakonfigurujte podmínky, řízení přístupu a podle potřeby přiřaďte uživatele a skupiny.

Zásady podmíněného přístupu můžete použít také u skupiny aplikací na základě vlastních atributů. Další informace najdete v tématu Filtr pro aplikace v zásadách podmíněného přístupu (Preview).

Příklad přiřazení a řízení přístupu

Upravte následující podrobnosti o zásadách a vytvořte zásadu podmíněného přístupu, která vyžaduje vícefaktorové ověřování, dodržování předpisů zařízením nebo hybridní zařízení připojené k Microsoft Entra pro vaši aplikaci Rychlý přístup. Přiřazení uživatelů zajišťují, aby z zásad byly vyloučeny účty tísňového přístupu nebo prolomení přístupu vaší organizace.

  1. V části Přiřazení vyberte Uživatelé:
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
  2. V části Řízení>přístupu Udělení:
    1. Vyberte Vyžadovat vícefaktorové ověřování, Vyžadovat, aby zařízení bylo označené jako vyhovující, a vyžadovat hybridní zařízení připojené k Microsoftu Entra.
  3. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.

Jakmile správci potvrdí nastavení zásad pomocí režimu jen pro sestavy, může správce přesunout přepínač Povolit zásadupouze ze sestavy na Zapnuto.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet Microsoft Entra Připojení Sync. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Další kroky