Feltételes hozzáférés: Feltételek

A feltételes hozzáférési szabályzatok esetében a rendszergazda a feltételekből származó jeleket, például a kockázatokat, az eszközplatformot vagy a helyet használhatja a szabályzattal kapcsolatos döntések továbbfejlesztéséhez.

Define a Conditional Access policy and specify conditions

Több feltétel kombinálható részletes és konkrét feltételes hozzáférési szabályzatok létrehozásához.

Ha például bizalmas alkalmazáshoz fér hozzá, a rendszergazda az Egyéb vezérlők, például a többtényezős hitelesítés mellett az Identity Protection és a hely bejelentkezési kockázati adatait is figyelembe veheti a hozzáférési döntésében.

Bejelentkezési kockázat

Az Identity Protection-hozzáféréssel rendelkező ügyfelek esetében a bejelentkezési kockázat egy feltételes hozzáférési szabályzat részeként értékelhető ki. A bejelentkezési kockázat annak a valószínűségét jelenti, hogy egy adott hitelesítési kérést nem engedélyez az identitás tulajdonosa. A bejelentkezési kockázattal kapcsolatos további információkért tekintse meg a kockázatiszabályzatok konfigurálását és engedélyezését ismertető cikkeket.

Felhasználói kockázat

Az Identity Protection-hozzáféréssel rendelkező ügyfelek esetében a felhasználói kockázat egy feltételes hozzáférési szabályzat részeként értékelhető ki. A felhasználói kockázat annak a valószínűségét jelenti, hogy egy adott identitás vagy fiók biztonsága sérül. A felhasználói kockázattal kapcsolatos további információkat a kockázatokat ismertető cikkekben talál, valamint a kockázati szabályzatok konfigurálásáról és engedélyezéséről.

Eszközplatformok

Az eszközplatformot az eszközön futó operációs rendszer jellemzi. Az Azure AD az eszköz által megadott információk, például a felhasználói ügynök sztringjei alapján azonosítja a platformot. Mivel a felhasználói ügynök sztringjei módosíthatók, ezek az információk nem lesznek ellenőrizve. Az eszközplatformot a Microsoft Intune eszközmegfelelési szabályzataival vagy egy blokkutasítás részeként kell használni. Az alapértelmezett beállítás az összes eszközplatformra érvényes.

Az Azure AD feltételes hozzáférés a következő eszközplatformokat támogatja:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Ha letiltja az örökölt hitelesítést az Egyéb ügyfelek feltétellel, akkor az eszközplatform-feltételt is beállíthatja.

Fontos

A Microsoft azt javasolja, hogy a nem támogatott eszközplatformokhoz használjon feltételes hozzáférési szabályzatot. Ha például a Chrome OS-ből vagy más nem támogatott ügyfelekről szeretné letiltani a vállalati erőforrásokhoz való hozzáférést, akkor olyan eszközplatform-feltételt kell konfigurálnia, amely bármilyen eszközt tartalmaz, és kizárja a támogatott eszközplatformokat, és a Hozzáférés letiltása beállítású Vezérlőelem megadása beállítást.

Helyek

Ha feltételként konfigurálja a helyet, a szervezetek dönthetnek úgy, hogy belefoglalják vagy kizárják a helyeket. Ezek a megnevezett helyek tartalmazhatják a nyilvános IPv4-hálózati információkat, az országot vagy régiót, vagy akár azokat az ismeretlen területeket is, amelyek nem képezhetők le adott országokra vagy régiókra. Csak AZ IP-tartományok jelölhetők meg megbízható helyként.

Ha bármilyen helyet felvesz, ez a beállítás az interneten található IP-címeket is magában foglalja, nem csak a névvel ellátott helyek konfigurálását. Bármely hely kiválasztásakor a rendszergazdák dönthetnek úgy, hogy kizárják az összes megbízható vagy kijelölt helyet.

Előfordulhat például, hogy egyes szervezetek nem igényelnek többtényezős hitelesítést, ha a felhasználók megbízható helyen, például a fizikai központban csatlakoznak a hálózathoz. A rendszergazdák létrehozhatnak olyan házirendet, amely bármilyen helyet tartalmaz, de kizárja a központi hálózataikhoz kiválasztott helyeket.

A helyekről további információt az Azure Active Directory feltételes hozzáférésének helyfeltételeit ismertető cikkben talál.

Ügyfélalkalmazások

Alapértelmezés szerint az újonnan létrehozott feltételes hozzáférési szabályzatok minden ügyfélalkalmazás-típusra érvényesek lesznek, még akkor is, ha az ügyfélalkalmazások feltétele nincs konfigurálva.

Megjegyzés

Az ügyfélalkalmazások állapotának viselkedése 2020 augusztusában frissült. Ha meglévő feltételes hozzáférési szabályzatokkal rendelkezik, azok változatlanok maradnak. Ha azonban egy meglévő szabályzatra kattint, a konfigurálási kapcsoló el lett távolítva, és ki lesz választva az ügyfélalkalmazások, amelyekre a szabályzat vonatkozik.

Fontos

A régi hitelesítési ügyfelekről érkező bejelentkezések nem támogatják az MFA-t, és nem adják át az eszközállapot-információkat az Azure AD-nek, ezért a feltételes hozzáférés-engedélyezési vezérlők blokkolják őket, például MFA vagy megfelelő eszközök megkövetelése esetén. Ha olyan fiókjai vannak, amelyeknek örökölt hitelesítést kell használniuk, ki kell zárnia ezeket a fiókokat a szabályzatból, vagy úgy kell konfigurálnia a házirendet, hogy csak a modern hitelesítési ügyfelekre vonatkozzanak.

A Konfigurálás kapcsoló Igen értékre állítva a bejelölt elemekre vonatkozik, a Nem értékre állítva az összes ügyfélalkalmazásra érvényes, beleértve a modern és régi hitelesítési ügyfeleket is. Ez a kapcsoló nem jelenik meg a 2020 augusztusa előtt létrehozott szabályzatokban.

  • Modern hitelesítési ügyfelek
    • Böngésző
      • Ilyenek például az OLYAN protokollokat használó webalapú alkalmazások, mint az SAML, a WS-Federation, az OpenID Connect vagy az OAuth bizalmas ügyfélként regisztrált szolgáltatások.
    • Mobilalkalmazások és asztali ügyfelek
      • Ez a beállítás olyan alkalmazásokat is tartalmaz, mint az asztali és telefonos Office-alkalmazások.
  • Régi hitelesítési ügyfelek
    • Exchange ActiveSync-ügyfelek
      • Ez a beállítás az Exchange ActiveSync (EAS) protokoll minden használatát magában foglalja.
      • Ha a szabályzat letiltja az Exchange ActiveSync használatát, az érintett felhasználó egyetlen karanténba helyezési e-mailt kap. Ez az e-mail tájékoztatást nyújt arról, hogy miért vannak letiltva, és ha lehetséges, szervizelési utasításokat is tartalmaz.
      • A rendszergazdák csak a támogatott platformokra (például iOS, Android és Windows) alkalmazhatnak szabályzatokat a Feltételes hozzáférés Microsoft Graph API-n keresztül.
    • Más ügyfelek
      • Ez a lehetőség olyan ügyfeleket is tartalmaz, amelyek alapszintű/örökölt hitelesítési protokollokat használnak, amelyek nem támogatják a modern hitelesítést.
        • Hitelesített SMTP – A POP- és IMAP-ügyfél által e-mailek küldésére használt.
        • Automatikus észlelés – Az Outlook és az EAS-ügyfelek az Exchange Online-ban lévő postaládák megkeresésére és az azokhoz való csatlakozásra használják.
        • Exchange Online PowerShell – Az Exchange Online-hoz távoli PowerShell-lel való csatlakozásra szolgál. Ha letiltja az Exchange Online PowerShell alapszintű hitelesítését, a csatlakozáshoz az Exchange Online PowerShell-modult kell használnia. Útmutatásért lásd: Csatlakozás az Exchange Online PowerShellhez többtényezős hitelesítéssel.
        • Exchange Web Services (EWS) – Az Outlook, a Mac Outlook és a külső alkalmazások által használt programozási felület.
        • IMAP4 – Az IMAP levelezőprogramok használják.
        • MAPI HTTP-n keresztül (MAPI/HTTP) – Az Outlook 2010 és újabb verziók használják.
        • Offline címjegyzék (OAB) – Az Outlook által letöltött és használt címlistagyűjtemények másolata.
        • Outlook Anywhere (RPC HTTP-n keresztül) – Az Outlook 2016 és korábbi verziók használják.
        • Outlook Szolgáltatás – A Windows 10 Posta és Naptár appja használja.
        • POP3 – A POP e-mail-ügyfelek használják.
        • Reporting Web Services – Jelentésadatok lekérésére szolgál az Exchange Online-ban.

Ezeket a feltételeket gyakran használják felügyelt eszköz megkövetelésekor, az örökölt hitelesítés blokkolása és a webalkalmazások blokkolása, de a mobil- vagy asztali alkalmazások engedélyezésekor.

Támogatott böngészők

Ez a beállítás minden böngészővel működik. Az eszközházirendek , például a megfelelő eszközkövetelmények kielégítése érdekében azonban a következő operációs rendszerek és böngészők támogatottak. Az alapvető technikai támogatásból kieső operációs rendszerek és böngészők nem jelennek meg ezen a listán:

Operációs rendszerek Böngészők
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (lásd a jegyzeteket)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari

Ezek a böngészők támogatják az eszközhitelesítést, így az eszköz azonosítható és érvényesíthető egy szabályzat alapján. Az eszköz ellenőrzése sikertelen, ha a böngésző privát módban fut, vagy ha a cookie-k le vannak tiltva.

Megjegyzés

Az Edge 85+ használatához a felhasználónak be kell jelentkeznie a böngészőbe az eszközidentitás megfelelő átadásához. Ellenkező esetben úgy viselkedik, mint a Chrome a fiókbővítmény nélkül. Ez a bejelentkezés nem feltétlenül történik meg automatikusan hibrid Azure AD Join-forgatókönyvekben.

A Safari eszközalapú feltételes hozzáférés esetén támogatott, de nem felel meg a Jóváhagyott ügyfélalkalmazás megkövetelése vagy az Alkalmazásvédelmi szabályzat megkövetelése feltételeknek. Az olyan felügyelt böngészők, mint a Microsoft Edge, megfelelnek a jóváhagyott ügyfélalkalmazások és alkalmazásvédelmi szabályzatok követelményeinek. Külső MDM-megoldással rendelkező iOS rendszeren csak a Microsoft Edge böngésző támogatja az eszközházirendet.

A Firefox 91+ támogatja az eszközalapú feltételes hozzáférést, de engedélyezni kell a "Windows egyszeri bejelentkezés engedélyezése Microsoft-, munkahelyi és iskolai fiókokhoz" beállítást.

Miért jelenik meg egy tanúsítványkérés a böngészőben?

Windows 7 rendszeren iOS, Android és macOS rendszeren az Azure AD egy ügyféltanúsítvány használatával azonosítja az eszközt, amely akkor lesz kiépítve, amikor az eszköz regisztrálva van az Azure AD-ben. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer felkéri a felhasználót a tanúsítvány kiválasztására. A felhasználónak ki kell választania ezt a tanúsítványt a böngésző használata előtt.

Chrome-támogatás

A Windows 10 Alkotói frissítés (1703-es verzió) vagy újabb verziójának Chrome-támogatásához telepítse a Windows 10-fiókokat vagy az Office Online-bővítményeket . Ezekre a bővítményekre akkor van szükség, ha a feltételes hozzáférési szabályzat eszközspecifikus adatokat igényel.

A bővítmény Chrome böngészőkben való automatikus üzembe helyezéséhez hozza létre a következő beállításkulcsot:

  • Elérési út HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • 1. név
  • Típus REG_SZ (karakterlánc)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

A Windows 8.1-ben és 7-ben a Chrome-támogatáshoz hozza létre a következő beállításkulcsot:

  • Elérési út HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • 1. név
  • Típus REG_SZ (karakterlánc)
  • Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Támogatott mobilalkalmazások és asztali ügyfelek

A szervezetek kiválaszthatják a mobilalkalmazásokat és az asztali ügyfeleket ügyfélalkalmazásként.

Ez a beállítás hatással van a következő mobilalkalmazásokból és asztali ügyfelekről érkező hozzáférési kísérletekre:

Ügyfélalkalmazások Célszolgáltatás Platform
Dynamics CRM-alkalmazás Dynamics CRM Windows 10, Windows 8.1, iOS és Android
Posta/Naptár/Kapcsolatok alkalmazás, Outlook 2016, Outlook 2013 (modern hitelesítéssel) Exchange Online Windows 10
MFA és helyszabályzat alkalmazásokhoz. Az eszközalapú szabályzatok nem támogatottak. Bármely Saját alkalmazások appszolgáltatás Android és iOS
Microsoft Teams-szolgáltatások – ez az ügyfélalkalmazás vezérli a Microsoft Teamst és annak összes ügyfélalkalmazását támogató összes szolgáltatást – Windows asztali, iOS, Android, WP és webes ügyfél Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android és macOS
Office 2016-alkalmazások, Office 2013 (modern hitelesítéssel), OneDrive szinkronizálási ügyfélalkalmazás SharePoint Windows 8.1, Windows 7
Office 2016-alkalmazások, Univerzális Office-alkalmazások, Office 2013 (modern hitelesítéssel), OneDrive szinkronizálási ügyfélalkalmazás SharePoint Online Windows 10
Office 2016 (csak Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Office-mobilappok SharePoint Android, iOS
Office Yammer app Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (macOS Office) Exchange Online macOS
Outlook 2016, Outlook 2013 (modern hitelesítéssel), Skype Vállalati verzió (modern hitelesítéssel) Exchange Online Windows 8.1, Windows 7
Outlook mobilapp Exchange Online Android, iOS
Power BI alkalmazás Power BI szolgáltatásban Windows 10, Windows 8.1, Windows 7, Android és iOS
Skype Vállalati verzió Exchange Online Android, iOS
Visual Studio Team Services alkalmazás Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS és Android

Exchange ActiveSync-ügyfelek

  • A szervezetek csak akkor választhatják ki az Exchange ActiveSync-ügyfeleket, ha szabályzatot rendelnek felhasználókhoz vagy csoportokhoz. Ha a Minden felhasználó, az Összes vendég- és külső felhasználó, illetve a Címtár szerepkört választja, az összes felhasználóra érvényes lesz a szabályzat.
  • Amikor Exchange ActiveSync-ügyfelekhez rendelt szabályzatot hoz létre, a szabályzathoz csak az Exchange Online lesz hozzárendelve.
  • A szervezetek az Eszközplatformok feltétel használatával meghatározott platformokra szűkíthetik a szabályzat hatókörét.

Ha a szabályzathoz rendelt hozzáférés-vezérlés a Jóváhagyott ügyfélalkalmazás megkövetelése alkalmazást használja, a rendszer arra utasítja a felhasználót, hogy telepítse és használja az Outlook mobilügyfelet. Ha többtényezős hitelesítésre, használati feltételekre vagy egyéni vezérlőkre van szükség, az érintett felhasználók le vannak tiltva, mert az alapszintű hitelesítés nem támogatja ezeket a vezérlőket.

További információért tekintse át a következő cikkeket:

Más ügyfelek

Az Egyéb ügyfelek lehetőséget választva megadhat egy olyan feltételt, amely hatással van az olyan alkalmazásokra, amelyek alapszintű hitelesítést használnak olyan levelezési protokollokkal, mint az IMAP, a MAPI, a POP, az SMTP és a régebbi, nem modern hitelesítést használó Office-alkalmazások.

Eszköz állapota (elavult)

Ez az előzetes verziójú funkció elavult. Az ügyfeleknek a Feltételes hozzáférési szabályzat Eszközszűrése feltételét kell használniuk az eszközállapot (előzetes verzió) feltételével korábban elért forgatókönyvek kielégítése érdekében.

Az eszközállapot-feltételt arra használták, hogy kizárja a hibrid Azure AD-hez csatlakoztatott és/vagy a Microsoft Intune megfelelőségi szabályzatának megfelelőként megjelölt eszközöket a szervezet feltételes hozzáférési szabályzataiból.

Például a Microsoft Azure Management felhőalkalmazáshoz hozzáférő összes felhasználó, beleértve a Hibrid Azure AD-hez csatlakoztatott ésa megfelelőként megjelölt eszköz nélküli összes eszközállapotot, valamint a Hozzáférés-vezérlőkletiltását.

  • Ez a példa olyan szabályzatot hozna létre, amely csak a hibrid Azure AD-hez csatlakoztatott vagy megfelelőként megjelölt eszközökről engedélyezi a Microsoft Azure Management elérését.

A fenti forgatókönyv úgy konfigurálható, hogy a Microsoft Azure Management felhőalkalmazáshoz hozzáférő összes felhasználó a Filter for devices feltétellel kizáró módban használja a következő szabályt: device.trustType -eq "ServerAD" -or device.isCompliant -eq True, valamint a Hozzáférés-vezérlés, Blokkolás.

  • Ez a példa olyan szabályzatot hozna létre, amely letiltja a Hozzáférést a Microsoft Azure Management felhőalkalmazáshoz nem felügyelt vagy nem megfelelő eszközökről.

Fontos

Az eszközállapot és az eszközök szűrői nem használhatók együtt a feltételes hozzáférési szabályzatban. Az eszközök szűrői részletesebb célzást biztosítanak, beleértve az eszközállapot-információk célzásának támogatását a trustType tulajdonságon isCompliant keresztül.

Szűrés eszközökre

A feltételes hozzáférésben van egy új választható feltétel, az eszközök szűrője. Ha feltételként konfigurálja az eszközök szűrőit, a szervezetek dönthetnek úgy, hogy egy szűrő alapján belefoglalják vagy kizárják az eszközöket az eszköztulajdonságok szabálykifejezésével. Az eszközök szűrésére szolgáló szabálykifejezés a szabályszerkesztővel vagy a szabályszintaxissal hozható létre. Ez a felület hasonló a csoportok dinamikus tagsági szabályaihoz használthoz. További információ: Feltételes hozzáférés: Eszközök szűrése (előzetes verzió).

Következő lépések