Membuat kebijakan Akses Bersyarat

Seperti yang dijelaskan dalam artikel Apa itu Akses Bersyarat, kebijakan Akses Bersyarat adalah pernyataan if-then, dari Tutas dan Kontrol akses. Kebijakan Akses Bersyarat menggabungkan sinyal untuk membuat keputusan dan menerapkan kebijakan organisasi.

Bagaimana organisasi membuat kebijakan ini? Apa yang diperlukan? Bagaimana kebijakan tersebut diterapkan?

Beberapa kebijakan Akses Bersyar mungkin berlaku untuk pengguna individual kapan saja. Dalam hal ini, semua kebijakan yang berlaku harus dipenuhi. Misalnya, jika satu kebijakan memerlukan autentikasi multifaktor dan yang lain memerlukan perangkat yang sesuai, Anda harus menyelesaikan MFA, dan menggunakan perangkat yang sesuai. Semua penetapan secara logis ANDed. Jika Anda memiliki lebih dari satu penetapan yang dikonfigurasi, semua tugas harus dipenuhi untuk memicu kebijakan.

Jika kebijakan di mana "Memerlukan salah satu kontrol yang dipilih" dipilih, kami meminta dalam urutan yang ditentukan, segera setelah persyaratan kebijakan terpenuhi, akses diberikan.

Semua kebijakan diterapkan dalam dua tahap:

• Fase 1: Mengumpulkan detail sesi
  • Kumpulkan detail sesi, seperti lokasi jaringan dan identitas perangkat yang diperlukan untuk evaluasi kebijakan.
  • Tahap 1 evaluasi kebijakan terjadi untuk kebijakan yang diaktifkan dan kebijakan dalam mode khusus laporan.
• Fase 2: Penerapan
  • Gunakan detail sesi yang dikumpulkan pada fase 1 untuk mengidentifikasi persyaratan apa pun yang tidak terpenuhi.
  • Jika ada kebijakan yang dikonfigurasi dengan kontrol pemberian blokir , penegakan akan berhenti di sini dan pengguna diblokir.
  • Pengguna diminta untuk menyelesaikan lebih banyak persyaratan kontrol pemberian yang tidak terpenuhi selama fase 1 dalam urutan berikut, hingga kebijakan terpenuhi:
    1. Autentikasi multifaktor
    2. Perangkat yang akan ditandai sebagai sesuai
    3. Perangkat gabungan hibrid Microsoft Entra
    4. Aplikasi klien yang disetujui
    5. Kebijakan perlindungan aplikasi
    6. Perubahan kata sandi
    7. Persyaratan penggunaan
    8. Kontrol kustom
  • Setelah semua kontrol pemberian terpenuhi, terapkan kontrol sesi (App Enforced, Microsoft Defender untuk Cloud Apps, dan token Lifetime)
  • Tahap 2 evaluasi kebijakan terjadi untuk semua kebijakan yang diaktifkan.

Penetapan

Bagian penetapan mengontrol siapa, apa, dan di mana kebijakan Akses Bersyarat.

Pengguna dan grup

Pengguna dan grup menetapkan siapa yang menyertakan atau mengecualikan kebijakan saat diterapkan. Penetapan ini dapat mencakup semua pengguna, grup pengguna tertentu, peran direktori, atau pengguna tamu eksternal.

Sumber daya target

Sumber daya target dapat mencakup atau mengecualikan aplikasi cloud, tindakan pengguna, atau konteks autentikasi yang tunduk pada kebijakan.

Jaringan

Jaringan berisi alamat IP, geografi, dan jaringan yang sesuai dengan Akses Aman Global ke keputusan kebijakan Akses Bersyar. Administrator dapat memilih untuk menentukan lokasi dan menandai beberapa sebagai tepercaya seperti lokasi jaringan utama organisasi mereka.

Kondisi

Kebijakan dapat berisi beberapa kondisi.

Risiko masuk

Untuk organisasi dengan Microsoft Entra ID Protection, deteksi risiko yang dihasilkan di sana dapat memengaruhi kebijakan Akses Bersyar Anda.

Platform perangkat

Organisasi dengan beberapa platform sistem operasi perangkat mungkin memberlakukan kebijakan tertentu pada platform yang berbeda.

Informasi yang digunakan untuk menghitung platform perangkat berasal dari sumber yang belum diverifikasi seperti string agen pengguna yang dapat diubah.

Aplikasi klien

Perangkat lunak yang digunakan pengguna untuk mengakses aplikasi cloud. Misalnya, 'Browser' dan 'Aplikasi seluler dan klien desktop'. Secara default, semua kebijakan Akses Bersyarkat yang baru dibuat berlaku untuk semua jenis aplikasi klien meskipun kondisi aplikasi klien tidak dikonfigurasi.

Filter untuk perangkat

Kontrol ini memungkinkan penargetan perangkat tertentu berdasarkan atributnya dalam sebuah kebijakan.

Kontrol Akses

Bagian kontrol akses dari kebijakan Akses Bersyarat mengontrol bagaimana kebijakan diberlakukan.

Pemberian

Pemberian menyediakan administrator sarana penerapan kebijakan tempat mereka dapat memblokir atau memberikan akses.

Akses blok

Akses blokir melakukan hal itu, memblokir akses di bawah penugasan yang ditentukan. Kontrol blok sangat kuat dan harus digunakan dengan pengetahuan yang tepat.

Memberikan akses

Kontrol pemberian dapat memicu penerapan satu atau beberapa kontrol.

• Memerlukan autentikasi multifaktor
• Mewajibkan perangkat ditandai sebagai sesuai (Intune)
• Memerlukan perangkat gabungan hibrid Microsoft Entra
• Memerlukan aplikasi klien yang disetujui
• Memerlukan kebijakan perlindungan aplikasi
• Perlu perubahan kata sandi
• Mewajibkan ketentuan penggunaan

Administrator dapat memilih untuk mewajibkan salah satu kontrol sebelumnya atau semua kontrol yang dipilih menggunakan opsi berikut. Nilai default untuk beberapa kontrol adalah mewajibkan semua.

• Mewajibkan semua kontrol yang dipilih (kontrol dan kontrol)
• Mewajjibkan salah satu kontrol yang dipilih (kontrol atau kontrol)

Sesi

Kontrol sesi dapat membatasi pengalaman pengguna.

• Gunakan pembatasan yang diberlakukan aplikasi:
  • Saat ini hanya berfungsi dengan Exchange Online dan SharePoint Online.
  • Meneruskan informasi perangkat untuk memungkinkan kontrol pengalaman pemberian akses penuh atau terbatas.
• Gunakan Kontrol Aplikasi Akses Bersyar:
  • Menggunakan sinyal dari Microsoft Defender untuk Cloud Apps untuk melakukan hal-hal seperti:
    • Memblokir unduhan, memotong, menyalin, dan mencetak dokumen sensitif.
    • Pantau perilaku sesi berisiko.
    • Wajibkan pelabelan berkas sensitif.
• Frekuensi masuk:
  • Kemampuan untuk mengubah frekuensi masuk default untuk autentikasi modern.
• Sesi browser persisten:
  • Memungkinkan pengguna untuk tetap masuk setelah menutup dan membuka kembali jendela browser mereka.
• Mengkustomasi evaluasi akses berkelanjutan
• Nonaktifkan default ketahanan

Kebijakan sederhana

Kebijakan Akses Bersyarat harus berisi minimal hal-hal berikut yang akan diberlakukan:

• Nama kebijakan.
• Penetapan
  • Pengguna dan/atau grup yang kebijakannya akan diterapkan.
  • Tindakan atau aplikasi cloud yang kebijakannya akan diterapkan.
• Kontrol akses
  • Kontrol Pemberian atau Blokir

Artikel Kebijakan Akses Bersyarat Umum mencakup beberapa kebijakan yang kami rasa akan berguna bagi kebanyakan organisasi.

Konten terkait

• Membuat kebijakan Akses Bersyarat

• Mengelola kepatuhan perangkat dengan Intune

• Aplikasi Pertahanan Microsoft untuk Cloud dan Akses Bersyarat