Feltételes hozzáférési szabályzat létrehozása

A Feltételes hozzáférés ismertetése című cikkben leírtak szerint a feltételes hozzáférési szabályzatok a hozzárendelések és hozzáférés-vezérlők if-then utasításai. A feltételes hozzáférési szabályzatok jeleket hoznak össze, döntéseket hoznak, és szervezeti szabályzatokat kényszerítenek ki.

Hogyan hozza létre a szervezet ezeket a szabályzatokat? Mire van szükség? Hogyan alkalmazzák őket?

Egy adott felhasználóra bármikor több feltételes hozzáférési szabályzat vonatkozhat. Ebben az esetben minden érvényes szabályzatnak teljesülnie kell. Ha például egy szabályzat többtényezős hitelesítést igényel, egy másiknak pedig megfelelő eszközt kell használnia, akkor az MFA-t be kell fejeznie, és egy megfelelő eszközt kell használnia. Minden hozzárendelés logikailag ANDed. Ha egynél több hozzárendelés van konfigurálva, minden hozzárendelésnek teljesülnie kell egy szabályzat aktiválásához.

Ha egy olyan szabályzat van kiválasztva, amelynél "A kiválasztott vezérlők egyikének megkövetelése" beállítás van kiválasztva, a megadott sorrendben kérünk rá, amint a szabályzatkövetelmények teljesülnek, a hozzáférés meg lesz adva.

A szabályzatok két fázisban lesznek kényszerítve:

• 1. fázis: Munkamenet részleteinek összegyűjtése
  • Gyűjtse össze a munkamenet részleteit, például a hálózati helyet és az eszközidentitást, amely a szabályzat kiértékeléshez szükséges.
  • A szabályzatok kiértékelésének 1. fázisa az engedélyezett szabályzatok és szabályzatok esetében csak jelentésalapú módban történik.
• 2. fázis: Kényszerítés
  • Az 1. fázisban összegyűjtött munkamenet-adatok segítségével azonosíthatja azokat a követelményeket, amelyek nem teljesülnek.
  • Ha van egy olyan szabályzat, amely konfigurálva van a blokkengedély-vezérléssel , a kényszerítés itt leáll, és a felhasználó le lesz tiltva.
  • A rendszer arra kéri a felhasználót, hogy teljesítsen további, az 1. fázisban nem teljesülő engedélyezési vezérlési követelményeket a következő sorrendben, amíg a szabályzat nem teljesül:
    1. Többtényezős hitelesítés
    2. Megfelelőként megjelölendő eszköz
    3. Microsoft Entra hibrid csatlakoztatott eszköz
    4. Jóváhagyott ügyfélalkalmazás
    5. Alkalmazásvédelem szabályzat
    6. Jelszó módosítása
    7. Használati feltételek
    8. Egyéni vezérlők
  • Miután az összes engedélyezési vezérlő teljesült, alkalmazza a munkamenet-vezérlőket (alkalmazás kényszerítve, Felhőhöz készült Microsoft Defender alkalmazások és jogkivonat élettartama)
  • A szabályzat kiértékelésének 2. fázisa minden engedélyezett szabályzat esetében megtörténik.

Hozzárendelések

A hozzárendelések rész szabályozza a feltételes hozzáférési szabályzat kiét, miét és helyét.

Felhasználók és csoportok

A felhasználók és csoportok hozzárendelik, hogy kik tartoznak bele a szabályzatba, vagy kizárják őket az alkalmazáskor. Ez a hozzárendelés magában foglalhatja az összes felhasználót, adott felhasználói csoportot, címtárszerepkört vagy külső vendégfelhasználót.

Célerőforrások

A célerőforrások tartalmazhatnak vagy kizárhatnak felhőalkalmazásokat, felhasználói műveleteket vagy hitelesítési környezeteket, amelyek a szabályzat hatálya alá tartoznak.

Network (Hálózat)

A hálózat IP-címeket, földrajzi helyeket és globális biztonságos hozzáférésnek megfelelő hálózatot tartalmaz a feltételes hozzáférési szabályzatokkal kapcsolatos döntésekhez. Rendszergazda istratorok dönthetnek úgy, hogy meghatározzák a helyeket, és megjelölnek néhányat megbízhatóként, mint a szervezet elsődleges hálózati helyeihez.

Feltételek

A szabályzatok több feltételt is tartalmazhatnak.

Bejelentkezési kockázat

Az Microsoft Entra ID-védelem rendelkező szervezeteknél az ott létrehozott kockázatészlelések befolyásolhatják a feltételes hozzáférési szabályzatokat.

Eszközplatformok

A több eszköz operációsrendszer-platformmal rendelkező szervezetek bizonyos szabályzatokat kényszeríthetnek ki különböző platformokon.

Az eszközplatform kiszámításához használt információk nem ellenőrzött forrásokból származnak, például módosítható felhasználóiügynök-sztringekből.

Ügyfélalkalmazások

A felhasználó által a felhőalkalmazás eléréséhez használt szoftver. Például: "Böngésző" és "Mobilalkalmazások és asztali ügyfelek". Alapértelmezés szerint az újonnan létrehozott feltételes hozzáférési szabályzatok minden ügyfélalkalmazás-típusra érvényesek akkor is, ha az ügyfélalkalmazások feltétele nincs konfigurálva.

Eszközszűrő

Ez a vezérlő lehetővé teszi adott eszközök célzását a szabályzatban szereplő attribútumaik alapján.

Hozzáférés-vezérlés

A feltételes hozzáférési szabályzat hozzáférés-vezérlési része szabályozza a szabályzatok kikényszerítését.

Grant

A Grant olyan szabályzatkényszerítési módot biztosít a rendszergazdáknak, ahol letilthatják vagy hozzáférést biztosíthatnak.

Hozzáférés letiltása

A blokkhozzáférés csak ezt teszi, letiltja a hozzáférést a megadott hozzárendelések alatt. A blokkvezérlés hatékony, és a megfelelő tudással kell rendelkeznie.

Hozzáférés biztosítása

Az engedélyezési vezérlő egy vagy több vezérlő kényszerítésének aktiválását is kiválthatja.

• Többtényezős hitelesítés megkövetelése
• Az eszköz megfelelőként való megjelölésének megkövetelése (Intune)
• Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése
• Jóváhagyott ügyfélalkalmazás megkövetelése
• Alkalmazásvédelmi szabályzat megkövetelése
• Jelszómódosítás megkövetelése
• Használati feltételek megkövetelése

Rendszergazda istratorok az alábbi beállításokkal választhatják ki, hogy az előző vezérlők egyikét vagy az összes kijelölt vezérlőt igénylik. Több vezérlő esetében az alapértelmezett érték az összes megkövetelése.

• Az összes kijelölt vezérlő megkövetelése (vezérlő és vezérlő)
• A kijelölt vezérlők (vezérlők vagy vezérlők) egyikének megkövetelése

Munkamenet

A munkamenet-vezérlők korlátozhatják a felhasználók felhasználói élményét.

• Alkalmazás által kikényszerített korlátozások használata:
  • Jelenleg csak az Exchange Online és a SharePoint Online használatával működik.
  • Átadja az eszközinformációkat a teljes vagy korlátozott hozzáférést biztosító élmény szabályozásához.
• Feltételes hozzáférésű alkalmazásvezérlő használata:
  • Az Felhőhöz készült Microsoft Defender-alkalmazásoktól származó jeleket használ a következő műveletekhez:
    • Bizalmas dokumentumok letöltésének, kivágásának, másolásának és nyomtatásának letiltása.
    • Kockázatos munkamenetek viselkedésének monitorozása.
    • Bizalmas fájlok címkézésének megkövetelése.
• Bejelentkezési gyakoriság:
  • A modern hitelesítés alapértelmezett bejelentkezési gyakoriságának módosítása.
• Állandó böngésző munkamenet:
  • Lehetővé teszi, hogy a felhasználók a böngészőablak bezárása és újbóli megnyitása után is bejelentkezve maradjanak.
• Folyamatos hozzáférés-kiértékelés testreszabása
• A rugalmasság alapértelmezett értékének letiltása

Egyszerű szabályzatok

A feltételes hozzáférési szabályzatnak legalább a következőket kell tartalmaznia a kényszerítéséhez:

• A szabályzat neve .
• Hozzárendelések
  • Felhasználók és/vagy csoportok , hogy alkalmazzák a szabályzatot.
  • Felhőalkalmazások vagy műveletek a szabályzat alkalmazásához.
• Hozzáférés-vezérlés
  • Vezérlőelemek engedélyezése vagy letiltása

A Gyakori feltételes hozzáférési szabályzatok című cikk olyan szabályzatokat tartalmaz, amelyek a legtöbb szervezet számára hasznosak lehetnek.

Kapcsolódó tartalom

• Feltételes hozzáférési házirend létrehozása

• Eszközmegfelelés kezelése az Intune-nal

• Felhőhöz készült Microsoft Defender alkalmazások és feltételes hozzáférés