Co to jest dostęp warunkowy?What is Conditional Access?

Nowoczesnego obwodu zabezpieczeń wykracza poza sieć organizacji w celu uwzględnienia tożsamości użytkowników i urządzeń.The modern security perimeter now extends beyond an organization's network to include user and device identity. Organizacje mogą korzystać z tych sygnałów tożsamości w ramach decyzji dotyczących kontroli dostępu.Organizations can utilize these identity signals as part of their access control decisions.

Dostęp warunkowy jest narzędziem używanym przez Azure Active Directory do przenoszenia sygnałów ze sobą, podejmowania decyzji i wymuszania zasad organizacji.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. Dostęp warunkowy jest sercem nowej płaszczyzny kontroli sterowanej tożsamością.Conditional Access is at the heart of the new identity driven control plane.

Koncepcyjny sygnał warunkowy i decyzja o konieczności uzyskania wymuszania

Zasady dostępu warunkowego są najprostszą instrukcją If, jeśli użytkownik chce uzyskać dostęp do zasobu, a następnie musi wykonać akcję.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Przykład: Menedżer płac chce uzyskać dostęp do aplikacji do obsługi płac i jest wymagany do przeprowadzenia uwierzytelniania wieloskładnikowego w celu uzyskania do niego dostępu.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Administratorzy mają dwie cele podstawowe:Administrators are faced with two primary goals:

  • Umożliwienie użytkownikom produktywnej pracy w dowolnym czasie i miejscu.Empower users to be productive wherever and whenever
  • Ochrona zasobów organizacjiProtect the organization's assets

Korzystając z zasad dostępu warunkowego, można zastosować odpowiednie metody kontroli dostępu, gdy jest to konieczne, aby zapewnić bezpieczeństwo organizacji i pozostać poza nią, gdy jest to konieczne.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user’s way when not needed.

Przepływ procesu koncepcyjnego dostępu warunkowego

Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego.Conditional Access policies are enforced after the first-factor authentication has been completed. Dostęp warunkowy nie jest przewidziany jako pierwszy wiersz obrony organizacji dla scenariuszy takich jak ataki typu "odmowa usługi" (DoS), ale mogą używać sygnałów z tych zdarzeń w celu określenia dostępu.Conditional Access is not intended as an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but can use signals from these events to determine access.

Typowe sygnałyCommon signals

Typowe sygnały, które mogą być wykonywane przez dostęp warunkowy w przypadku podejmowania decyzji dotyczących zasad, obejmują następujące sygnały:Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Członkostwo użytkowników lub grupUser or group membership
    • Zasady mogą być wskazywane określonym użytkownikom i grupom, które umożliwiają administratorom precyzyjne sterowanie dostępem.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • Informacje o lokalizacji adresu IPIP Location information
    • Organizacje mogą tworzyć zakresy zaufanych adresów IP, które mogą być używane podczas podejmowania decyzji dotyczących zasad.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Administratorzy mogą określać wszystkie zakresy adresów IP w celu blokowania lub zezwalania na ruch z programu.Administrators can specify entire countries IP ranges to block or allow traffic from.
  • UrządzenieDevice
    • Podczas wymuszania zasad dostępu warunkowego można używać użytkowników z urządzeniami o określonych platformach lub oznaczonych przy użyciu określonego stanu.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • AplikacjaApplication
    • Użytkownicy próbujący uzyskać dostęp do określonych aplikacji mogą wyzwolić różne zasady dostępu warunkowego.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Wykrywanie ryzyka w czasie rzeczywistym i obliczoneReal-time and calculated risk detection
    • Program sygnalizuje integrację z Azure AD Identity Protection umożliwia zasadom dostępu warunkowego zidentyfikowanie ryzykownego zachowania logowania.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. Zasady mogą następnie zmusić użytkowników do wprowadzania zmian haseł lub uwierzytelniania wieloskładnikowego w celu zmniejszenia ich poziomu ryzyka lub uzyskania dostępu do momentu, gdy administrator wykona ręczną akcję.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Umożliwia monitorowanie i nadzorowanie dostępu do aplikacji przez użytkowników w czasie rzeczywistym, zwiększanie widoczności i kontroli dostępu do i działań wykonywanych w środowisku chmury.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Wspólne decyzjeCommon decisions

  • Blokuj dostępBlock access
    • Najbardziej restrykcyjna decyzjaMost restrictive decision
  • Udzielanie dostępuGrant access
    • Najmniej restrykcyjna decyzja może nadal wymagać co najmniej jednej z następujących opcji:Least restrictive decision, can still require one or more of the following options:
      • Wymagaj uwierzytelniania wieloskładnikowegoRequire multi-factor authentication
      • Wymagaj, aby urządzenie było oznaczone jako zgodneRequire device to be marked as compliant
      • Wymagaj hybrydowego urządzenia dołączonego do usługi Azure ADRequire Hybrid Azure AD joined device
      • Wymagaj zatwierdzonej aplikacji klienckiejRequire approved client app
      • Wymagaj zasad ochrony aplikacji (wersja zapoznawcza)Require app protection policy (preview)

Zasady powszechnie stosowaneCommonly applied policies

Wiele organizacji ma typowy dostęp do zasad dostępu warunkowego, takich jak:Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników z rolami administracyjnymiRequiring multi-factor authentication for users with administrative roles
  • Wymaganie uwierzytelniania wieloskładnikowego dla zadań zarządzania platformy AzureRequiring multi-factor authentication for Azure management tasks
  • Blokowanie logowań użytkowników próbujących korzystać ze starszych protokołów uwierzytelnianiaBlocking sign-ins for users attempting to use legacy authentication protocols
  • Wymaganie zaufanych lokalizacji na potrzeby rejestracji w usłudze Azure Multi-Factor AuthenticationRequiring trusted locations for Azure Multi-Factor Authentication registration
  • Blokowanie lub udzielanie dostępu z określonych lokalizacjiBlocking or granting access from specific locations
  • Blokowanie ryzykownych zachowań logowaniaBlocking risky sign-in behaviors
  • Wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacjiRequiring organization-managed devices for specific applications

Analizy przypadków klientówCustomer case studies

Dowiedz się, w jaki sposób inne organizacje używają dostępu warunkowego usługi Azure AD, aby definiować i implementować zautomatyzowane decyzje dotyczące kontroli dostępu.Discover how other organizations use Azure AD Conditional Access to define and implement automated access control decisions. Poniższe proponowane historie pokazują, jak są spełnione te wymagania klientów.The following featured stories demonstrate how these customer needs are met.

Wymagania licencyjneLicense requirements

Korzystając z tej funkcji wymaga licencji usługi Azure AD Premium P1.Using this feature requires an Azure AD Premium P1 license. Aby znaleźć odpowiedniej licencji zgodnie z wymaganiami dotyczącymi, zobacz porównanie ogólnie dostępnych funkcji w wersjach bezpłatna, podstawowa i Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Klienci z licencjami Microsoft 365 Business również mają dostęp do funkcji dostępu warunkowego.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

Następne krokiNext steps

Kompilowanie zasad dostępu warunkowego przez elementBuilding a Conditional Access policy piece by piece

Aby dowiedzieć się, jak zaimplementować dostęp warunkowy w środowisku, zapoznaj się z tematem Planowanie wdrożenia dostępu warunkowego w Azure Active Directory.To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.

Informacje na temat ochrony tożsamościLearn about Identity Protection

Dowiedz się więcej o Microsoft Cloud App SecurityLearn about Microsoft Cloud App Security

Dowiedz się więcej o Microsoft IntuneLearn about Microsoft Intune