Villkorlig åtkomst: Molnappar, åtgärder och autentiseringskontext

  • Artikel
  • 6 minuter för att läsa

Molnappar, åtgärder och autentiseringskontext är viktiga signaler i en princip för villkorlig åtkomst. Med principer för villkorsstyrd åtkomst kan administratörer tilldela kontroller till specifika program, åtgärder eller autentiseringskontext.

  • Administratörer kan välja från listan över program som innehåller inbyggda Microsoft-program och alla Azure AD-integrerade program, inklusive galleri, icke-galleri och program som publicerats via Programproxy.
  • Administratörer kan välja att definiera en princip som inte baseras på ett molnprogram, utan på en användaråtgärd som Registrera säkerhetsinformation eller Registrera eller anslut enheter, så att villkorlig åtkomst kan framtvinga kontroller runt dessa åtgärder.
  • Administratörer kan använda autentiseringskontext för att ge ett extra säkerhetslager i program.

Definiera en princip för villkorlig åtkomst och ange molnappar

Microsoft-molnprogram

Många av de befintliga Microsoft-molnprogrammen ingår i listan över program som du kan välja bland.

Administratörer kan tilldela en princip för villkorlig åtkomst till följande molnappar från Microsoft. Vissa appar som Office 365 och Microsoft Azure Management innehåller flera relaterade underordnade appar eller tjänster. Vi lägger kontinuerligt till fler appar, så följande lista är inte fullständig och kan komma att ändras.

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database och Azure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights Analytics
  • Microsoft Azure Information Protection
  • Microsoft Azure Management
  • Microsoft Azure Prenumerationshantering
  • Microsoft Defender för Cloud Apps
  • Microsoft Commerce Tools Access Control Portal
  • Autentiseringstjänst för Microsoft Commerce Tools
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune Registrering
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Microsoft Search i Bing
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Gunga
  • Outlook Groups
  • Power BI-tjänst
  • Project Online
  • Skype för företag – Online
  • Virtuellt privat nätverk (VPN)
  • Windows Defender ATP

Viktigt

Program som är tillgängliga för villkorsstyrd åtkomst har gått igenom en process för registrering och validering. Den här listan innehåller inte alla Microsoft-appar, eftersom många är backend-tjänster och inte är avsedda att tillämpa principen direkt på dem. Om du letar efter ett program som saknas kan du kontakta det specifika programteamet eller göra en begäran på UserVoice.

Office 365

Microsoft 365 tillhandahåller molnbaserade produktivitets- och samarbetstjänster som Exchange, SharePoint och Microsoft Teams. Microsoft 365 molntjänster är djupt integrerade för att säkerställa smidiga och samarbetsbaserade upplevelser. Den här integreringen kan orsaka förvirring när du skapar principer eftersom vissa appar som Microsoft Teams har beroenden av andra, till exempel SharePoint eller Exchange.

Den Office 365 sviten gör det möjligt att rikta alla dessa tjänster samtidigt. Vi rekommenderar att du använder den Office 365 programsviten i stället för att rikta in dig på enskilda molnappar för att undvika problem med tjänstberoenden.

Genom att rikta in den här programgruppen kan du undvika problem som kan uppstå på grund av inkonsekventa principer och beroenden. Exempel: Appen Exchange Online är kopplad till traditionella Exchange Online data som e-post, kalender och kontaktinformation. Relaterade metadata kan exponeras via olika resurser, till exempel sökning. För att säkerställa att alla metadata skyddas som avsett bör administratörer tilldela principer till Office 365 appen.

Administratörer kan undanta specifika appar från principen om de vill, inklusive Office 365 paket och exkludera de specifika apparna i principen.

Följande viktiga program ingår i Office 365 klientappen:

  • Microsoft Forms
  • Microsoft Stream
  • Microsoft To-Do
  • Microsoft Teams
  • Exchange Online
  • sharepoint online
  • Microsoft 365 Söktjänst
  • Yammer
  • Office Delve
  • Office Online
  • Office.com
  • OneDrive
  • Power Automate
  • Power Apps
  • Skype för företag – Online
  • Sway

Microsoft Azure Management

Programmet Microsoft Azure management innehåller flera tjänster.

  • Azure Portal
  • Azure Resource Manager provider
  • API:er för den klassiska distributionsmodellen
  • Azure PowerShell
  • Azure CLI
  • Visual Studio administratörsportalen för prenumerationer
  • Azure DevOps
  • Azure Data Factory portal

Anteckning

Programmet Microsoft Azure Management gäller för Azure PowerShell, som anropar Azure Resource Manager API. Det gäller inte för Azure AD PowerShell, som anropar Microsoft Graph.

Andra program

Administratörer kan lägga till alla Azure AD-registrerade program i principer för villkorsstyrd åtkomst. Dessa program kan vara:

Anteckning

Eftersom principen för villkorlig åtkomst anger kraven för åtkomst till en tjänst kan du inte tillämpa den på ett klientprogram (offentligt/inbyggt). Principen anges med andra ord inte direkt på ett klientprogram (offentligt/inbyggt), utan tillämpas när en klient anropar en tjänst. Till exempel gäller en princip som angetts SharePoint tjänst för klienter som anropar SharePoint. En princip som angetts Exchange gäller för försök att komma åt e-postmeddelandet med hjälp Outlook klient. Det är därför klientprogram (offentliga/interna) inte är tillgängliga för val i alternativet Cloud Apps-väljare och villkorsstyrd åtkomst är inte tillgängligt i programinställningarna för klientens (offentliga/interna) program som registrerats i din klientorganisation.

Användaråtgärder

Användaråtgärder är uppgifter som kan utföras av en användare. Villkorlig åtkomst stöder för närvarande två användaråtgärder:

  • Registrera säkerhetsinformation: Med den här användaråtgärden kan principen för villkorsstyrd åtkomst framtvinga när användare som har aktiverats för kombinerad registrering försöker registrera sin säkerhetsinformation. Mer information finns i artikeln Kombinerad registrering av säkerhetsinformation.

  • Registrera eller anslut enheter: Med den här användaråtgärden kan administratörer tillämpa principer för villkorlig åtkomst när användare registrerar eller ansluter enheter till Azure AD. Det ger kornighet när du konfigurerar multifaktorautentisering för registrering eller anslutning av enheter i stället för en princip för hela klientorganisationen som för närvarande finns. Det finns tre viktiga överväganden med den här användaråtgärden:

    • Require multi-factor authentication är den enda åtkomstkontroll som är tillgänglig med den här användaråtgärden och alla andra är inaktiverade. Den här begränsningen förhindrar konflikter med åtkomstkontroller som antingen är beroende av Azure AD-enhetsregistrering eller inte gäller för Azure AD-enhetsregistrering.
    • Client apps- och -villkor är inte tillgängliga med den här användaråtgärden eftersom de är beroende av Filters for devices Device state Azure AD-enhetsregistrering för att framtvinga principer för villkorsstyrd åtkomst.
    • När en princip för villkorsstyrd åtkomst har aktiverats med den här användaråtgärden måste du ange Azure Active Directory > Enheter > Inställningar - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication till Nej. Annars tillämpas inte principen för villkorsstyrd åtkomst med den här användaråtgärden korrekt. Mer information om den här enhetsinställningen finns i Konfigurera enhetsinställningar.

Autentiseringskontext (förhandsversion)

Autentiseringskontext kan användas för att ytterligare skydda data och åtgärder i program. Dessa program kan vara dina egna anpassade program, anpassade affärsprogram (LOB), program som SharePoint eller program som skyddas av Microsoft Defender för molnappar.

En organisation kan till exempel lagra filer på SharePoint till exempel på lunchmenyn eller i det hemliga RECEPTet. Alla kan ha åtkomst till lunchmenywebbplatsen, men användare som har åtkomst till den hemliga receptwebbplatsen FÖR RECEPT-recept kan behöva åtkomst från en hanterad enhet och godkänna specifika användningsvillkor.

Konfigurera autentiseringskontext

Autentiseringskontexterna hanteras i Azure Portal under Azure Active Directory > security conditional access > authentication > context.

Hantera autentiseringskontext i Azure Portal

Varning

  • Det går inte att ta bort kontextdefinitioner för autentisering i förhandsversionen.
  • Förhandsversionen är begränsad till totalt 25 definitioner för autentiseringskontext i Azure Portal.

Skapa nya definitioner för autentiseringskontext genom att välja Ny autentiseringskontext i Azure Portal. Konfigurera följande attribut:

  • Visningsnamn är det namn som används för att identifiera autentiseringskontexten i Azure AD och mellan program som använder autentiseringskontext. Vi rekommenderar namn som kan användas för resurser, till exempel "betrodda enheter", för att minska antalet autentiseringskontext som behövs. Om du har en minskad uppsättning begränsas antalet omdirigeringar och ger en bättre upplevelse för slutanvändaren.
  • Beskrivningen innehåller mer information om de principer som används av Azure AD-administratörer och de som tillämpar autentiseringskontext för resurser.
  • Kryssrutan Publicera till appar när markerad, annonserar autentiseringskontexten till appar och gör dem tillgängliga för att tilldelas. Om det inte är markerat är autentiseringskontexten inte tillgänglig för underordnade resurser.
  • ID är skrivskyddade och används i token och appar för begärandespecifika definitioner av autentiseringskontext. Den finns här för felsökning och användningsfall för utveckling.

Lägg till i princip för villkorsstyrd åtkomst

Administratörer kan välja publicerade autentiseringskontext i sina principer för villkorsstyrd åtkomst under Tilldelningar Molnappar eller åtgärder och välja Autentiseringskontext på menyn Välj vad principen > gäller för.

Lägga till en kontext för villkorsstyrd åtkomstautentisering i en princip

Tagga resurser med autentiseringskontext

Mer information om användning av autentiseringskontext i program finns i följande artiklar.

Nästa steg