Membuat kebijakan Akses Bersyarat

Seperti yang dijelaskan dalam artikel Apa itu Akses Bersyarat, kebijakan Akses Bersyarat adalah pernyataan if-then, dari Tutas dan Kontrol akses. Kebijakan Akses Bersyarat menggabungkan sinyal untuk membuat keputusan dan menerapkan kebijakan organisasi.

Bagaimana organisasi membuat kebijakan ini? Apa yang diperlukan? Bagaimana kebijakan tersebut diterapkan?

Akses Bersyarat (Sinyal + Keputusan + Penerapan = Kebijakan)

Beberapa kebijakan Akses Bersyarat mungkin berlaku untuk pengguna individual kapan saja. Dalam hal ini, semua kebijakan yang berlaku harus dipenuhi. Misalnya, jika satu kebijakan memerlukan autentikasi multifaktor (MFA) dan yang lain memerlukan perangkat yang sesuai, Anda harus menyelesaikan MFA, dan menggunakan perangkat yang sesuai. Semua penetapan secara logis ANDed. Jika Anda memiliki lebih dari satu penugasan yang dikonfigurasi, semua penugasan harus dipenuhi untuk memicu kebijakan.

Jika kebijakan di mana "Memerlukan salah satu kontrol yang dipilih" dipilih, kami meminta dalam urutan yang ditentukan, segera setelah persyaratan kebijakan terpenuhi, akses diberikan.

Semua kebijakan diterapkan dalam dua tahap:

  • Tahap 1: Kumpulkan detail sesi
    • Kumpulkan detail sesi, seperti lokasi jaringan dan identitas perangkat yang diperlukan untuk evaluasi kebijakan.
    • Tahap 1 evaluasi kebijakan terjadi untuk kebijakan yang diaktifkan dan kebijakan dalam mode khusus laporan.
  • Tahap 2: Penerapan
    • Gunakan detail sesi yang dikumpulkan dalam tahap 1 untuk mengidentifikasi persyaratan apa pun yang belum terpenuhi.
    • Jika ada kebijakan yang dikonfigurasi untuk memblokir akses, dengan kontrol pemberian pemblokiran, penerapan akan berhenti di sini dan pengguna akan diblokir.
    • Pengguna akan diminta untuk melengkapi persyaratan kontrol pemberian tambahan yang tidak dipenuhi selama tahap 1 dalam urutan berikut, hingga kebijakan terpenuhi:
      • Autentikasi multifaktor
      • Kebijakan perlindungan aplikasi/aplikasi klien yang disetujui
      • Perangkat terkelola (gabungan Azure Active Directory yang memenuh syarat atau hibrid)
      • Persyaratan penggunaan
      • Kontrol kustom
    • Setelah semua kontrol pemberian terpenuhi, terapkan kontrol sesi (Aplikasi yang Diterapkan, Aplikasi Pertahanan Microsoft untuk Cloud, dan Masa Pakai token)
    • Tahap 2 evaluasi kebijakan terjadi untuk semua kebijakan yang diaktifkan.

Penetapan

Bagian penetapan mengontrol siapa, apa, dan di mana kebijakan Akses Bersyarat.

Pengguna dan grup

Pengguna dan grup menetapkan siapa kebijakan yang akan disertakan atau dikecualikan. Penetapan ini dapat mencakup semua pengguna, grup pengguna tertentu, peran direktori, atau pengguna tamu eksternal.

Aplikasi atau tindakan cloud

Tindakan atau aplikasi cloud dapat menyertakan atau mengecualikan aplikasi cloud, tindakan pengguna, atau konteks autentikasi yang akan tunduk pada kebijakan.

Kondisi

Kebijakan dapat berisi beberapa kondisi.

Risiko masuk

Untuk organisasi dengan Azure Active Directory Identity Protection, deteksi risiko yang dihasilkan di sana dapat memengaruhi kebijakan Akses Bersyarat Anda.

Platform perangkat

Organisasi dengan beberapa platform sistem operasi perangkat mungkin ingin menerapkan kebijakan tertentu di platform yang berbeda.

Informasi yang digunakan untuk menghitung platform perangkat berasal dari sumber yang belum diverifikasi seperti string agen pengguna yang dapat diubah.

Lokasi

Data lokasi disediakan oleh data geolokasi IP. Administrator dapat memilih untuk menentukan lokasi dan memilih untuk menandai beberapa sebagai tepercaya seperti yang ada untuk lokasi jaringan organisasi mereka.

Aplikasi klien

Secara default, semua kebijakan Akses Bersyarat yang baru saja dibuat akan berlaku untuk semua jenis aplikasi klien, meskipun ketentuan aplikasi klien tidak dikonfigurasi.

Perilaku ketentuan aplikasi klien diperbarui pada bulan Agustus 2020. Jika Anda telah memiliki kebijakan Akses Bersyarat, kebijakan ini tidak akan berubah. Namun, jika Anda memilih pada kebijakan yang ada, sakelar konfigurasi telah dihapus dan aplikasi klien yang menerapkan kebijakan tersebut dipilih.

Status perangkat

Kontrol ini digunakan untuk mengecualikan perangkat yang digabungkan dengan Azure Active Directory hibrid, atau ditandai sebagai patuh di Intune. Pengecualian ini dapat dilakukan untuk memblokir perangkat yang tidak dikelola.

Filter untuk perangkat (pratinjau)

Kontrol ini memungkinkan penargetan perangkat tertentu berdasarkan atributnya dalam sebuah kebijakan.

Kontrol Akses

Bagian kontrol akses dari kebijakan Akses Bersyarat mengontrol bagaimana kebijakan diberlakukan.

Pemberian

Pemberian menyediakan administrator sarana penerapan kebijakan tempat mereka dapat memblokir atau memberikan akses.

Akses blok

Akses pemblokiran hanya akan memblokir akses dengan tugas yang ditentukan. Kontrol blok sangat kuat dan harus digunakan dengan pengetahuan yang tepat.

Akses pemberian

Kontrol pemberian dapat memicu penerapan satu atau beberapa kontrol.

  • Mewajibkan autentikasi multifaktor (Autentikasi MultiFaktor Azure Active Directory)
  • Mewajibkan perangkat ditandai sebagai sesuai (Intune)
  • Mewajibkan perangkat yang bergabung dengan Azure Active Directory Hibrid
  • Memerlukan aplikasi klien yang disetujui
  • Mewajibkan kebijakan perlindungan aplikasi
  • Mewajibkan perubahan kata sandi
  • Mewajibkan ketentuan penggunaan

Administrator dapat memilih untuk mewajibkan salah satu kontrol sebelumnya atau semua kontrol yang dipilih menggunakan opsi berikut. Nilai default untuk beberapa kontrol adalah mewajibkan semua.

  • Mewajibkan semua kontrol yang dipilih (kontrol dan kontrol)
  • Mewajjibkan salah satu kontrol yang dipilih (kontrol atau kontrol)

Sesi

Kontrol sesi dapat membatasi pengalaman

  • Gunakan pembatasan yang diberlakukan aplikasi
    • Saat ini hanya berfungsi dengan Exchange Online dan SharePoint Online.
      • Meneruskan informasi perangkat untuk memungkinkan kontrol pengalaman pemberian akses penuh atau terbatas.
  • Menggunakan Kontrol Aplikasi Akses Kondisional
    • Menggunakan sinyal dari Aplikasi Pertahanan Microsoft untuk Cloud untuk melakukan hal-hal seperti:
      • Memblokir unduhan, memotong, menyalin, dan mencetak dokumen sensitif.
      • Pantau perilaku sesi berisiko.
      • Wajibkan pelabelan berkas sensitif.
  • Frekuensi masuk
    • Kemampuan untuk mengubah frekuensi masuk default untuk autentikasi modern.
  • Sesi browser tetap
    • Memungkinkan pengguna untuk tetap masuk setelah menutup dan membuka kembali jendela browser mereka.

Kebijakan sederhana

Kebijakan Akses Bersyarat harus berisi minimal hal-hal berikut yang akan diberlakukan:

  • Nama kebijakan.
  • Penetapan
    • Pengguna dan/atau grup yang kebijakannya akan diterapkan.
    • Tindakan atau aplikasi cloud yang kebijakannya akan diterapkan.
  • Kontrol akses
    • Kontrol Pemberian atau Blokir

Kebijakan Akses Bersyarat Kosong

Artikel Kebijakan Akses Bersyarat Umum mencakup beberapa kebijakan yang kami rasa akan berguna bagi kebanyakan organisasi.

Langkah berikutnya

Membuat kebijakan Akses Bersyarat

Mensimulasikan perilaku masuk menggunakan alat Akses Bersyarat What If

Merencanakan penyebaran Autentikasi Multi-Faktor Azure Active Directory berbasis cloud

Mengelola kepatuhan perangkat dengan Intune

Aplikasi Pertahanan Microsoft untuk Cloud dan Akses Bersyarat