Vad är villkorsstyrd åtkomst?

Den moderna säkerhets perimetern sträcker sig nu utanför en organisations nätverk för att inkludera användar- och enhetsidentitet. Organisationer kan använda identitetsdrivna signaler som en del av sina beslut om åtkomstkontroll.

Villkorlig åtkomst för samman signaler, för att fatta beslut och genomdriva organisationsprinciper. Villkorsstyrd åtkomst i Azure AD är kärnan i det nya identitetsdrivna kontrollplanet.

Conceptual Conditional signal plus decision to get enforcement

Principer för villkorsstyrd åtkomst i sin enklaste är if-then-instruktioner. Om en användare vill komma åt en resurs måste de slutföra en åtgärd. Exempel: En löneansvarig vill ha åtkomst till löneprogrammet och måste göra multifaktorautentisering för att få åtkomst till det.

Administratörer har två huvudsakliga mål:

  • Underlätta för användarna att vara produktiva oavsett tid och plats
  • Skydda organisationens tillgångar

Använd principer för villkorsstyrd åtkomst för att tillämpa rätt åtkomstkontroller när det behövs för att skydda din organisation.

Conceptual Conditional Access process flow

Viktigt

Principer för villkorsstyrd åtkomst tillämpas när den första faktorautentisering har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Vanliga signaler

Vanliga signaler som villkorlig åtkomst kan ta hänsyn till när du fattar ett principbeslut är följande signaler:

  • Användar- eller gruppmedlemskap
    • Principer kan riktas till specifika användare och grupper som ger administratörer en mer fullständig kontroll över åtkomsten.
  • IP-platsinformation
    • Organisationer kan skapa tillförlitliga IP-adressintervall som kan användas när du fattar principbeslut.
    • Administratörer kan ange hela länder/regioners IP-intervall för att blockera eller tillåta trafik från.
  • Enhet
    • Användare med enheter med specifika plattformar eller markerade med ett visst tillstånd kan användas när principer för villkorlig åtkomst framtvingas.
  • Program
    • Användare som försöker komma åt specifika program kan utlösa olika principer för villkorlig åtkomst.
  • Realtidsanalys och beräknad riskidentifiering
    • Signalerar integrering med Azure AD Identity Protection tillåter principer för villkorsstyrd åtkomst för att identifiera riskfyllda inloggningsbeteenden. Principer kan sedan tvinga användare att ändra sina lösenord, göra multifaktorautentisering för att minska risknivån eller blockera åtkomst tills en administratör vidtar manuella åtgärder.
  • Microsoft Defender för Cloud Apps
    • Gör att användares programåtkomst och sessioner kan övervakas och styras i realtid, vilket ökar synligheten och kontrollen över åtkomsten till och aktiviteter som utförs i din molnmiljö.

Vanliga beslut

  • Blockera åtkomst
    • Mest restriktiva beslut
  • Bevilja åtkomst
    • Minst restriktivt beslut kan fortfarande kräva ett eller flera av följande alternativ:
      • Kräv multifaktorautentisering
      • Kräv att enheten är markerad som kompatibel
      • Kräv Hybrid Azure AD-ansluten enhet
      • Kräv godkänd klientapp
      • Kräv appskyddsprincip (förhandsversion)

Principer som tillämpas ofta

Många organisationer har vanliga åtkomstproblem som principer för villkorsstyrd åtkomst kan hjälpa till med, till exempel:

  • Kräva multifaktorautentisering för användare med administrativa roller
  • Kräva multifaktorautentisering för Azure-hanteringsuppgifter
  • Blockera inloggningar för användare som försöker använda äldre autentiseringsprotokoll
  • Kräva betrodda platser för Azure AD Multi-Factor Authentication-registrering
  • Blockera eller bevilja åtkomst från specifika platser
  • Blockera riskfyllda inloggningsbeteenden
  • Kräva organisations hanterade enheter för specifika program

Licenskrav

Den här funktionen kräver en Azure AD Premium P1 licens. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Azure AD.

Kunder med Microsoft 365 Business Premium-licenser har också åtkomst till funktioner för villkorlig åtkomst.

Inloggningsrisk kräver åtkomst till Identity Protection

Nästa steg