Ustawianie zasad dostępu warunkowego

Dostęp warunkowy to ochrona zawartości regulowanej w systemie przez wymaganie spełnienia pewnych kryteriów przed udzieleniem dostępu do zawartości. Najprostszymi zasadami dostępu warunkowego są instrukcje if-then. Jeśli użytkownik chce uzyskać dostęp do zasobu, musi wykonać akcję. Na przykład menedżer listy płac chce uzyskać dostęp do aplikacji listy płac i jest wymagany do przeprowadzenia uwierzytelniania wieloskładnikowego (MFA).

Przy użyciu dostępu warunkowego można osiągnąć dwa główne cele:

• Zwiększanie produktywności użytkowników w dowolnym miejscu i czasie.
• Ochrona zasobów organizacji.

Korzystając z zasad dostępu warunkowego, możesz zastosować odpowiednie mechanizmy kontroli dostępu w razie potrzeby, aby zapewnić bezpieczeństwo organizacji i trzymać się z dala od użytkownika, gdy nie jest to potrzebne.

Częstotliwość monitowania użytkownika o ponowne uwierzytelnienie zależy od ustawień konfiguracji Microsoft Entra okresu istnienia sesji. Zapamiętywanie poświadczeń jest wygodne, ale może również sprawić, że wdrożenia w scenariuszach dla przedsiębiorstw przy użyciu urządzeń osobistych będą mniej bezpieczne. Aby chronić użytkowników, możesz upewnić się, że klient częściej prosi o Microsoft Entra poświadczeń uwierzytelniania wieloskładnikowego. Aby skonfigurować to zachowanie, można użyć częstotliwości logowania dostępu warunkowego.

Przypisywanie zasad dostępu warunkowego dla komputerów w chmurze

Zasady dostępu warunkowego nie są domyślnie ustawiane dla dzierżawy. Zasady urzędu certyfikacji można kierować do aplikacji pierwszej firmy na komputerze w chmurze przy użyciu jednej z następujących platform:

• Azure. Aby uzyskać więcej informacji, zobacz Microsoft Entra Dostęp warunkowy.
• Microsoft Intune. Poniższe kroki wyjaśniają ten proces. Aby uzyskać więcej informacji, zobacz Informacje o dostępie warunkowym i usłudze Intune.

Niezależnie od używanej metody zasady zostaną wymuszone w portalu użytkowników końcowych komputera w chmurze i połączeniu z komputerem w chmurze.

1. Zaloguj się do centrum administracyjnego Microsoft Intune, wybierz pozycję Zabezpieczenia punktu końcowego>Dostęp> warunkowyUtwórz nowe zasady.

2. Podaj nazwę dla określonych zasad dostępu warunkowego.

3. W obszarze Użytkownicy wybierz 0 wybranych użytkowników i grup.

4. Na karcie Dołączanie wybierz pozycję Wybierz użytkowników i grupy> , zaznacz opcję Użytkownicy i grupy> w obszarze Wybierz, wybierz 0 wybranych użytkowników i grup.

5. W nowym okienku, które zostanie otwarte, wyszukaj i wybierz określonego użytkownika lub grupę, do których chcesz zastosować zasady urzędu certyfikacji, a następnie wybierz pozycję Wybierz.

6. W obszarze Zasoby docelowe wybierz pozycję Nie wybrano żadnych zasobów docelowych.

7. Na karcie Dołączanie wybierz pozycję Wybierz aplikacje> w obszarze Wybierz, wybierz pozycję Brak.

8. W okienku Wybierz wyszukaj i wybierz następujące aplikacje na podstawie zasobów, które chcesz chronić:

   • Windows 365 (identyfikator aplikacji 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Możesz również wyszukać frazę "cloud", aby znaleźć tę aplikację. Ta aplikacja jest używana podczas pobierania listy zasobów dla użytkownika i gdy użytkownicy inicjują akcje na komputerze w chmurze, takie jak Ponowne uruchamianie.
   • Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07). Ta aplikacja może również być wyświetlana jako Windows Virtual Desktop. Ta aplikacja służy do uwierzytelniania w bramie usługi Azure Virtual Desktop Gateway podczas połączenia i gdy klient wysyła informacje diagnostyczne do usługi.
   • Pulpit zdalny Microsoft (identyfikator aplikacji a4a365df-50f1-4397-bc59-1a1564b8bb9c) i identyfikator logowania do chmury systemu Windows (identyfikator aplikacji 270efc09-cd0d-444b-a71f-39af4910ec45). Te aplikacje są potrzebne tylko podczas konfigurowania logowania jednokrotnego w zasadach aprowizacji. Te aplikacje służą do uwierzytelniania użytkowników na komputerze w chmurze.

   Zaleca się dopasowanie zasad dostępu warunkowego między tymi aplikacjami. Dzięki temu zasady mają zastosowanie do portalu użytkowników końcowych komputera w chmurze, połączenia z bramą i komputerem w chmurze w celu zapewnienia spójnego środowiska. Jeśli chcesz wykluczyć aplikacje, musisz również wybrać wszystkie te aplikacje.

   Ważna

   Po włączeniu logowania jednokrotnego uwierzytelnianie na komputerze w chmurze używa obecnie aplikacji Pulpit zdalny Microsoft Entra ID. Nadchodząca zmiana spowoduje przeniesienie uwierzytelniania do aplikacji Identyfikator entra logowania do chmury systemu Windows . Aby zapewnić płynne przejście, musisz dodać obie aplikacje Entra ID do zasad urzędu certyfikacji.

   Uwaga

   Jeśli nie widzisz aplikacji Logowania do chmury systemu Windows podczas konfigurowania zasad dostępu warunkowego, wykonaj poniższe kroki, aby utworzyć aplikację. Aby wprowadzić następujące zmiany, musisz mieć uprawnienia właściciela lub współautora w subskrypcji:

   1. Zaloguj się do witryny Azure Portal.
   2. Wybierz pozycję Subskrypcje z listy usług platformy Azure.
   3. Wybierz nazwę subskrypcji.
   4. Wybierz pozycję Dostawcy zasobów, a następnie wybierz pozycję Microsoft.DesktopWirtualizacja.
   5. Wybierz pozycję Zarejestruj u góry.

   Po zarejestrowaniu dostawcy zasobów aplikacja Logowania do chmury systemu Windows jest wyświetlana w konfiguracji zasad dostępu warunkowego podczas wybierania aplikacji do zastosowania zasad. Jeśli nie używasz usługi Azure Virtual Desktop, możesz wyrejestrować dostawcę zasobów Microsoft.DesktopVirtualization po udostępnieniu aplikacji Logowania do chmury systemu Windows.

9. Jeśli chcesz dostosować zasady, w obszarze Udziel wybierz 0 wybranych kontrolek.

10. W okienku Udzielanie wybierz opcje udzielania lub blokowania dostępu, które chcesz zastosować do wszystkich obiektów przypisanych do tych zasad >Wybierz.

11. Jeśli chcesz najpierw przetestować zasady, w obszarze Włącz zasady wybierz pozycję Tylko raport. Jeśli ustawisz ją na wartość Włączone, zasady zostaną zastosowane natychmiast po jej utworzeniu.

12. Wybierz pozycję Utwórz , aby utworzyć zasady.

Listę aktywnych i nieaktywnych zasad można wyświetlić w widoku Zasady w interfejsie użytkownika dostępu warunkowego.

Konfigurowanie częstotliwości logowania

Zasady częstotliwości logowania umożliwiają określenie okresu, po którym użytkownik musi ponownie udowodnić swoją tożsamość podczas uzyskiwania dostępu do zasobów opartych na Microsoft Entra. Może to pomóc w zabezpieczeniu środowiska i jest szczególnie ważne w przypadku urządzeń osobistych, gdzie lokalny system operacyjny może nie wymagać uwierzytelniania wieloskładnikowego lub nie może zostać automatycznie zablokowany po braku aktywności.

Zasady częstotliwości logowania powodują różne zachowanie na podstawie wybranej aplikacji Microsoft Entra:

Nazwa aplikacji	Identyfikator aplikacji	Zachowanie
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Wymusza ponowne uwierzytelnianie, gdy użytkownik pobiera listę komputerów w chmurze i gdy użytkownicy inicjują akcje na komputerze w chmurze, takie jak Ponowne uruchamianie.
Usługa Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Wymusza ponowne uwierzytelnianie, gdy użytkownik uwierzytelnia się w bramie usługi Azure Virtual Desktop Gateway podczas połączenia.
Pulpit zdalny Microsoft Logowanie do chmury systemu Windows	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Wymusza ponowne uwierzytelnianie, gdy użytkownik loguje się na komputerze w chmurze po włączeniu logowania jednokrotnego . Obie aplikacje powinny być skonfigurowane razem, ponieważ klienci wkrótce przełączą się z używania aplikacji Pulpit zdalny Microsoft do aplikacji Logowania do chmury systemu Windows w celu uwierzytelnienia na komputerze z chmurą.

Aby skonfigurować okres, po którym użytkownik zostanie poproszony o ponowne zalogowanie się:

1. Otwórz utworzone wcześniej zasady.
2. W obszarze Sesja wybierz 0 wybranych kontrolek.
3. W okienku Sesja wybierz pozycję Częstotliwość logowania.
4. Wybierz pozycję Okresowe ponowne uwierzytelnianie lub Za każdym razem.
   • Jeśli wybierzesz opcję Okresowe ponowne uwierzytelnianie, ustaw wartość okresu, po którym użytkownik zostanie poproszony o ponowne zalogowanie >Wybierz. Na przykład ustawienie wartości na 1 , a jednostki na Godziny, wymaga uwierzytelniania wieloskładnikowego, jeśli połączenie jest uruchamiane ponad godzinę po ostatnim.
   • Opcja Za każdym razem jest obecnie dostępna w publicznej wersji zapoznawczej i jest obsługiwana tylko wtedy, gdy jest stosowana do aplikacji Pulpit zdalny Microsoft i Windows Cloud Login, gdy logowanie jednokrotne jest włączone dla komputerów w chmurze. Jeśli wybierzesz opcję Za każdym razem, użytkownicy będą monitować o ponowne uwierzytelnienie po upływie od 10 do 15 minut po ostatnim uwierzytelnieniu dla aplikacji Pulpit zdalny Microsoft i Logowania do chmury systemu Windows.
5. W dolnej części strony wybierz pozycję Zapisz.

Uwaga

• Ponowne uwierzytelnianie odbywa się tylko wtedy, gdy użytkownik musi uwierzytelnić się w zasobie. Po nawiązaniu połączenia użytkownicy nie będą monitować, nawet jeśli połączenie trwa dłużej niż skonfigurowana częstotliwość logowania.
• Użytkownicy muszą ponownie uwierzytelnić się, jeśli wystąpi zakłócenie sieci, które wymusza ponowne ustanowienie sesji po częstotliwości logowania. Może to prowadzić do częstszych żądań uwierzytelniania w niestabilnych sieciach.

Następne kroki

Zarządzanie przekierowaniami urządzeń RDP