Vad är villkorsstyrd åtkomst?
Den moderna säkerhets perimetern sträcker sig nu utanför en organisations nätverk för att inkludera användar- och enhetsidentitet. Organisationer kan använda dessa identitetssignaler som en del av sina beslut om åtkomstkontroll.
Villkorlig åtkomst är det verktyg som används av Azure Active Directory för att samla signaler, fatta beslut och genomdriva organisationsprinciper. Villkorlig åtkomst är kärnan i det nya identitetsdrivna kontrollplanet.
Principer för villkorsstyrd åtkomst i sin enklaste är if-then-instruktioner. Om en användare vill komma åt en resurs måste de slutföra en åtgärd. Exempel: En löneansvarig vill ha åtkomst till löneprogrammet och måste utföra multifaktorautentisering för att få åtkomst till det.
Administratörer har två huvudsakliga mål:
- Underlätta för användarna att vara produktiva oavsett tid och plats
- Skydda organisationens tillgångar
Genom att använda principer för villkorsstyrd åtkomst kan du tillämpa rätt åtkomstkontroller när det behövs för att skydda din organisation och hålla dig utanför användarens sätt när det inte behövs.
Viktigt
Principer för villkorsstyrd åtkomst tillämpas när den första faktorautentisering har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.
Vanliga signaler
Vanliga signaler som villkorlig åtkomst kan ta hänsyn till när du fattar ett principbeslut är följande signaler:
- Användar- eller gruppmedlemskap
- Principer kan riktas till specifika användare och grupper som ger administratörer en mer fullständig kontroll över åtkomsten.
- IP-platsinformation
- Organisationer kan skapa tillförlitliga IP-adressintervall som kan användas när du fattar principbeslut.
- Administratörer kan ange hela länder/regioners IP-intervall för att blockera eller tillåta trafik från.
- Enhet
- Användare med enheter med specifika plattformar eller markerade med ett visst tillstånd kan användas när principer för villkorlig åtkomst framtvingas.
- Program
- Användare som försöker komma åt specifika program kan utlösa olika principer för villkorlig åtkomst.
- Realtidsanalys och beräknad riskidentifiering
- Signalerar integrering med Azure AD Identity Protection tillåter principer för villkorsstyrd åtkomst för att identifiera riskfyllda inloggningsbeteenden. Principer kan sedan tvinga användare att utföra lösenordsändringar eller multifaktorautentisering för att minska risknivån eller blockeras från åtkomst tills en administratör vidtar manuella åtgärder.
- Microsoft Defender för Cloud Apps
- Gör att användares programåtkomst och sessioner kan övervakas och styras i realtid, vilket ökar synligheten och kontrollen över åtkomsten till och aktiviteter som utförs i din molnmiljö.
Vanliga beslut
- Blockera åtkomst
- Mest restriktiva beslut
- Bevilja åtkomst
- Minst restriktivt beslut kan fortfarande kräva ett eller flera av följande alternativ:
- Kräv multifaktorautentisering
- Kräv att enheten är markerad som kompatibel
- Kräv Hybrid Azure AD-ansluten enhet
- Kräv godkänd klientapp
- Kräv appskyddsprincip (förhandsversion)
- Minst restriktivt beslut kan fortfarande kräva ett eller flera av följande alternativ:
Principer som tillämpas ofta
Många organisationer har vanliga åtkomstproblem som principer för villkorsstyrd åtkomst kan hjälpa till med, till exempel:
- Kräva multifaktorautentisering för användare med administrativa roller
- Kräva multifaktorautentisering för Azure-hanteringsuppgifter
- Blockera inloggningar för användare som försöker använda äldre autentiseringsprotokoll
- Kräva betrodda platser för Azure AD Multi-Factor Authentication-registrering
- Blockera eller bevilja åtkomst från specifika platser
- Blockera riskfyllda inloggningsbeteenden
- Kräva organisations hanterade enheter för specifika program
Licenskrav
Om du använder den här funktionen krävs en licens för Azure AD Premium P1. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Free, Basic och Premium-utgåvorna.
Kunder med Microsoft 365 Business Premium-licenser har också åtkomst till funktioner för villkorsstyrd åtkomst.
Inloggningsrisk kräver åtkomst till Identity Protection