Mi az a feltételes hozzáférés?

A modern biztonsági határ mostantól a szervezeti hálózaton kívülre is kiterjed, és magában foglalja a felhasználó- és eszközidentitást is. A szervezetek ezeket az identitásjeleket a hozzáférés-vezérléssel kapcsolatos döntések részeként is felhasználhatják.

A feltételes hozzáférés az az eszköz, Azure Active Directory a jeleket összehozzuk, döntéseket hozunk, és betartatjuk a szervezeti szabályzatokat. A feltételes hozzáférés az új identitásvezérelt vezérlősík egyik fontos része.

Fogalmi feltételes jel plusz döntés a kényszerítési folyamat érvénybe hozásában

A feltételes hozzáférési szabályzatok a legegyszerűbben if-then utasítások, ha egy felhasználó hozzá szeretne férni egy erőforráshoz, akkor el kell végrehajtania egy műveletet. Példa: A bérszámfejtési vezető hozzá szeretne férni a bérszámfejtési alkalmazáshoz, és a hozzáféréshez többtényezős hitelesítést kell végeznie.

A rendszergazdák két elsődleges céllal szembesülnek:

  • A felhasználók hatékony munkájának támogatása bárhol és bármikor
  • A szervezet eszközeinek védelme

A feltételes hozzáférési szabályzatok használatával szükség esetén alkalmazhatja a megfelelő hozzáférés-vezérlést a szervezet biztonságának biztosítása és a felhasználó nem szükséges módon való szabályozása érdekében.

Fogalmi feltételes hozzáférési folyamat

Fontos

A feltételes hozzáférési szabályzatok az első tényezős hitelesítés befejezése után érvényesülnek. A feltételes hozzáférés nem a szervezet első védelmi vonala az olyan helyzetekben, mint a szolgáltatásmegtagadásos (DoS-) támadások, de képes ezen események jeleit használni a hozzáférés meghatározásához.

Gyakori jelek

A feltételes hozzáférésnek a szabályzattal kapcsolatos döntések meghozatala során figyelembe veheti a következő jeleket:

  • Felhasználói vagy csoporttagság
    • A szabályzatok adott felhasználókra és csoportokra vonatkoznak, így a rendszergazdák részletesen szabályozhatják a hozzáférést.
  • IP-cím helyének adatai
    • A szervezetek létrehozhatnak megbízható IP-címtartományokat, amelyek a szabályzatokkal kapcsolatos döntések meghozatalához használhatók.
    • A rendszergazdák megadhatnak teljes országok/régiók IP-címtartományokat a forgalom blokkolása vagy engedélyezése érdekében.
  • Eszköz
    • A feltételes hozzáférési szabályzatok érvénybe érvénybe hajtása során az adott platformon vagy adott állapottal megjelölt eszközökkel ellátott felhasználók használhatók.
  • Alkalmazás
    • Az adott alkalmazásokhoz hozzáférni próbáló felhasználók különböző feltételes hozzáférési szabályzatokat aktiválnak.
  • Valós idejű és számított kockázatészlelés
    • A jelekkel való Azure AD Identity Protection lehetővé teszi a feltételes hozzáférési szabályzatok számára a kockázatos bejelentkezési viselkedés azonosítását. A szabályzatok ezt követően jelszóváltozások vagy többtényezős hitelesítés elvégzésére kényszerítik a felhasználókat a kockázati szint csökkentése érdekében, vagy letiltják a hozzáférést, amíg a rendszergazda manuális műveletet nem hajt végre.
  • Microsoft Cloud App Security (MCAS)
    • Lehetővé teszi a felhasználói alkalmazások hozzáférésének és munkamenetének valós idejű monitorozását és szabályozását, ami növeli a felhőkörnyezetben végzett hozzáférések és tevékenységek átláthatóságát és szabályozását.

Gyakori döntések

  • Hozzáférés letiltása
    • Legszigorúbb döntés
  • Hozzáférés biztosítása
    • A legkevésbé korlátozó döntéshez továbbra is szükség lehet a következő lehetőségek közül egy vagy többre:
      • Többtényezős hitelesítés megkövetelve
      • Eszköz megfelelőként való jelölésének megkövetelve
      • Hibrid Azure AD-hez csatlakozott eszköz megkövetelve
      • Jóváhagyott ügyfélalkalmazás megkövetelve
      • Alkalmazásvédelmi szabályzat megkövetelve (előzetes verzió)

Gyakran alkalmazott szabályzatok

Számos szervezet rendelkezik olyan gyakori hozzáférési aggályokkal, amelyekben a feltételes hozzáférési szabályzatok segíthetnek, például:

  • Többtényezős hitelesítés megkövetelve a rendszergazdai szerepkörökkel rendelkező felhasználók számára
  • Többtényezős hitelesítés megkövetelása az Azure felügyeleti feladataihoz
  • A régi hitelesítési protokollokat használni próbáló felhasználók bejelentkezésének blokkolása
  • Megbízható helyek megkövetel használata az Azure AD Multi-Factor Authentication regisztrációhoz
  • Hozzáférés letiltása vagy megadása adott helyekről
  • Kockázatos bejelentkezési viselkedések blokkolása
  • Szervezet által felügyelt eszközök megkövetelve adott alkalmazásokhoz

Licenckövetelmények

A szolgáltatás használatához prémium szintű Azure AD P1 licenc szükséges. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az ingyenes, alapszintű és prémium kiadások általánosan elérhető szolgáltatásait összehasonlító cikket.

A Microsoft 365 Vállalati prémium verzió licenccel rendelkező ügyfelek is hozzáférhetnek a feltételes hozzáférési funkciókhoz.

A bejelentkezési kockázathoz hozzáférés szükséges az Identity Protection szolgáltatáshoz

Következő lépések