Co to jest dostęp warunkowy?

Nowoczesny obwód zabezpieczeń wykracza teraz poza sieć organizacji w celu uwzględnienia tożsamości użytkowników i urządzeń. Organizacje mogą używać sygnałów opartych na tożsamościach w ramach decyzji dotyczących kontroli dostępu.

Dostęp warunkowy łączy sygnały, podejmowanie decyzji i wymuszanie zasad organizacyjnych. Dostęp warunkowy usługi Azure AD jest podstawą nowej płaszczyzny sterowania opartej na tożsamościach.

Conceptual Conditional signal plus decision to get enforcement

Zasady dostępu warunkowego w najprostszych przypadkach to instrukcje if-then, jeśli użytkownik chce uzyskać dostęp do zasobu, to musi wykonać akcję. Przykład: Menedżer płac chce uzyskać dostęp do aplikacji listy płac i jest wymagany do przeprowadzenia uwierzytelniania wieloskładnikowego w celu uzyskania do niej dostępu.

Administratorzy mają do czynienia z dwoma podstawowymi celami:

  • Umożliwienie użytkownikom produktywnej pracy w dowolnym czasie i miejscu.
  • Ochrona zasobów organizacji

Zasady dostępu warunkowego umożliwiają stosowanie odpowiednich kontroli dostępu w razie potrzeby w celu zapewnienia bezpieczeństwa organizacji.

Conceptual Conditional Access process flow

Ważne

Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego składnika. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.

Typowe sygnały

Typowe sygnały, które mogą uwzględniać dostęp warunkowy podczas podejmowania decyzji o zasadach, obejmują następujące sygnały:

  • Członkostwo użytkownika lub grupy
    • Zasady mogą być przeznaczone dla określonych użytkowników i grup, co zapewnia administratorom szczegółową kontrolę nad dostępem.
  • Informacje o lokalizacji adresu IP
    • Organizacje mogą tworzyć zaufane zakresy adresów IP, które mogą być używane podczas podejmowania decyzji dotyczących zasad.
    • Administratorzy mogą określać zakresy adresów IP dla całych krajów/regionów, aby blokować lub zezwalać na ruch.
  • Urządzenie
    • Użytkownicy z urządzeniami określonych platform lub oznaczeni określonym stanem mogą być używane podczas wymuszania zasad dostępu warunkowego.
    • Użyj filtrów dla urządzeń, aby kierować zasady do określonych urządzeń, takich jak stacje robocze z dostępem uprzywilejowanym.
  • Aplikacja
    • Użytkownicy próbujący uzyskać dostęp do określonych aplikacji mogą wyzwalać różne zasady dostępu warunkowego.
  • Wykrywanie ryzyka w czasie rzeczywistym i obliczanie
    • Integracja sygnałów z usługą Azure AD Identity Protection umożliwia zasadom dostępu warunkowego identyfikowanie ryzykownego zachowania logowania. Zasady mogą następnie wymusić na użytkownikach zmianę hasła, uwierzytelnianie wieloskładnikowe w celu zmniejszenia poziomu ryzyka lub zablokować dostęp do momentu podjęcia przez administratora akcji ręcznej.
  • Microsoft Defender for Cloud Apps
    • Umożliwia monitorowanie i kontrolowanie w czasie rzeczywistym dostępu do aplikacji użytkownika oraz sesji, co zwiększa widoczność i kontrolę dostępu do działań wykonywanych w środowisku chmury i wykonywania ich.

Typowe decyzje

  • Blokowanie dostępu
    • Najbardziej restrykcyjna decyzja
  • Udzielanie dostępu
    • Najmniej restrykcyjna decyzja, nadal może wymagać co najmniej jednej z następujących opcji:
      • Wymaganie uwierzytelniania wieloskładnikowego
      • Wymagaj, aby urządzenie było oznaczone jako zgodne
      • Wymagaj urządzenia przyłączonego hybrydowego do usługi Azure AD
      • Wymaganie zatwierdzonej aplikacji klienckiej
      • Wymagaj zasad ochrony aplikacji (wersja zapoznawcza)

Najczęściej stosowane zasady

Wiele organizacji ma typowe problemy z dostępem, które mogą pomóc w zasadach dostępu warunkowego , takich jak:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników z rolami administracyjnymi
  • Wymaganie uwierzytelniania wieloskładnikowego na potrzeby zadań zarządzania platformy Azure
  • Blokowanie logowania użytkowników próbujących używać starszych protokołów uwierzytelniania
  • Wymaganie zaufanych lokalizacji na potrzeby rejestracji usługi Azure AD Multi-Factor Authentication
  • Blokowanie lub udzielanie dostępu z określonych lokalizacji
  • Blokowanie ryzykownych zachowań logowania
  • Wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji

Wymagania licencyjne

Korzystanie z tej funkcji wymaga licencji usługi Azure AD Premium P1. Aby znaleźć odpowiednią licencję dla wymagań, zobacz Porównanie ogólnie dostępnych funkcji usługi Azure AD.

Klienci z licencjami platformy Microsoft 365 Business Premium mają również dostęp do funkcji dostępu warunkowego.

Zasady oparte na ryzyku wymagają dostępu do usługi Identity Protection, która jest funkcją usługi Azure AD P2.

Inne produkty i funkcje, które mogą współdziałać z zasadami dostępu warunkowego, wymagają odpowiedniego licencjonowania dla tych produktów i funkcji.

Następne kroki