Vad är villkorsstyrd åtkomst?What is Conditional Access?

Modern säkerhetsperimeter sträcker sig nu utanför en organisations nätverk för att inkludera användar-och enhets identitet.The modern security perimeter now extends beyond an organization's network to include user and device identity. Organisationer kan använda dessa identitets signaler som en del av besluten om åtkomst kontroll.Organizations can utilize these identity signals as part of their access control decisions.

Villkorlig åtkomst är det verktyg som används av Azure Active Directory för att ta fram signaler, fatta beslut och tillämpa organisations principer.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. Villkorlig åtkomst är kärnan i det nya identitets drivna kontroll planet.Conditional Access is at the heart of the new identity driven control plane.

Konceptuell villkorlig signal plus beslut för att få tillämpning

Principer för villkorlig åtkomst på enklaste sätt är if-then-satser, om en användare vill komma åt en resurs, måste de slutföra en åtgärd.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. Exempel: en löne hanterare vill få åtkomst till löne programmet och krävs för att utföra Multi-Factor Authentication för att få åtkomst till den.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

Administratörer är riktade mot två primära mål:Administrators are faced with two primary goals:

  • Underlätta för användarna att vara produktiva oavsett tid och platsEmpower users to be productive wherever and whenever
  • Skydda organisationens till gångarProtect the organization's assets

Genom att använda principer för villkorlig åtkomst kan du tillämpa rätt åtkomst kontroller när det behövs för att hålla din organisation säker och hålla dig informerad när du inte behöver det.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user's way when not needed.

Koncept för process flöde för villkorlig åtkomst

Viktigt

Principer för villkorlig åtkomst tillämpas när den första faktorn har slutförts.Conditional Access policies are enforced after first-factor authentication is completed. Villkorlig åtkomst är inte avsedd att vara en organisations första försvars linje för scenarier som DOS-attacker (Denial-of-Service), men kan använda signaler från dessa händelser för att fastställa åtkomst.Conditional Access isn't intended to be an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but it can use signals from these events to determine access.

Vanliga signalerCommon signals

Vanliga signaler att villkorlig åtkomst kan ta med i kontot när du fattar ett princip beslut inkluderar följande signaler:Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • Användar-eller grupp medlemskapUser or group membership
    • Principer kan riktas mot specifika användare och grupper som ger administratörer detaljerad kontroll över åtkomsten.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • Information om IP-platsIP Location information
    • Organisationer kan skapa betrodda IP-adressintervall som kan användas när du fattar princip beslut.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • Administratörer kan ange hela länder/regioner med IP-intervall för att blockera eller tillåta trafik från.Administrators can specify entire countries/regions IP ranges to block or allow traffic from.
  • EnhetDevice
    • Användare med enheter av vissa plattformar eller markerade med ett angivet tillstånd kan användas för att verkställa principer för villkorlig åtkomst.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • ProgramApplication
    • Användare som försöker komma åt vissa program kan utlösa olika principer för villkorlig åtkomst.Users attempting to access specific applications can trigger different Conditional Access policies.
  • Identifiering i real tid och beräknad riskReal-time and calculated risk detection
    • Signalerar integrering med Azure AD Identity Protection tillåter principer för villkorlig åtkomst för att identifiera riskfyllda inloggnings beteenden.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. Principer kan sedan göra det möjligt för användare att utföra lösen ords ändringar eller Multi-Factor Authentication för att minska risk nivån eller blockeras från åtkomst tills en administratör vidtar manuella åtgärder.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)
    • Gör att användarens program åtkomst och sessioner kan övervakas och kontrol leras i real tid, öka synlighet och kontroll över åtkomst till och aktiviteter som utförs i din moln miljö.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

Vanliga beslutCommon decisions

  • Blockera åtkomstBlock access
    • Mest restriktiva beslutMost restrictive decision
  • Bevilja åtkomstGrant access
    • Minst restriktivt beslut kan fortfarande kräva ett eller flera av följande alternativ:Least restrictive decision, can still require one or more of the following options:
      • Kräv Multi-Factor AuthenticationRequire multi-factor authentication
      • Kräv att enheten ska markeras som kompatibelRequire device to be marked as compliant
      • Kräv hybrid Azure AD-ansluten enhetRequire Hybrid Azure AD joined device
      • Kräv godkänd klientappRequire approved client app
      • Kräv app Protection-princip (förhands granskning)Require app protection policy (preview)

Principer som tillämpas oftaCommonly applied policies

Många organisationer har vanliga åtkomst frågor som principer för villkorlig åtkomst kan hjälpa till, till exempel:Many organizations have common access concerns that Conditional Access policies can help with such as:

  • Kräva Multi-Factor Authentication för användare med administrativa rollerRequiring multi-factor authentication for users with administrative roles
  • Kräver Multi-Factor Authentication för Azures hanterings uppgifterRequiring multi-factor authentication for Azure management tasks
  • Blockera inloggningar för användare som försöker använda bakåtkompatibla autentiseringsprotokollBlocking sign-ins for users attempting to use legacy authentication protocols
  • Kräva betrodda platser för registrering av Azure-Multi-Factor AuthenticationRequiring trusted locations for Azure Multi-Factor Authentication registration
  • Blockera eller bevilja åtkomst från vissa platserBlocking or granting access from specific locations
  • Blockera riskfyllda inloggnings beteendenBlocking risky sign-in behaviors
  • Kräva organisations hanterade enheter för vissa programRequiring organization-managed devices for specific applications

LicenskravLicense requirements

Om du använder den här funktionen krävs en licens för Azure AD Premium P1.Using this feature requires an Azure AD Premium P1 license. Information om rätt licens för dina krav finns i jämföra allmänt tillgängliga funktioner i versionerna kostnads fri, Basic och Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Kunder med Microsoft 365 Business Premium-licenser har också till gång till funktioner för villkorlig åtkomst.Customers with Microsoft 365 Business Premium licenses also have access to Conditional Access features.

Inloggnings risker kräver åtkomst till identitets skyddSign-in Risk requires access to Identity Protection

Nästa stegNext steps