Vad är villkorsstyrd åtkomst?What is Conditional Access?

Säkerhet är en mycket viktig fråga för organisationer som använder molnet.Security is a top concern for organizations using the cloud. En viktig aspekt av molnsäkerhet är identitet och åtkomst när det gäller att hantera dina molnresurser.A key aspect of cloud security is identity and access when it comes to managing your cloud resources. I en mobil- och molnorienterad värld kan användare komma åt organisationens resurser med hjälp av en mängd olika enheter och appar från var som helst.In a mobile-first, cloud-first world, users can access your organization's resources using a variety of devices and apps from anywhere. Därför räcker det inte att bara fokusera på vem som kan komma åt en resurs.As a result of this, just focusing on who can access a resource is not sufficient anymore. För att uppnå rätt balans mellan säkerhet och produktivitet måste du även beakta hur åtkomsten till en resurs går till när du fattar ett beslut om åtkomstkontroll.To master the balance between security and productivity, you also need to factor how a resource is accessed into an access control decision. Med villkorlig åtkomst för Azure Active Directory (AD Azure), kan du lösa det här kravet.With Azure Active Directory (Azure AD) Conditional Access, you can address this requirement. Villkorlig åtkomst är en funktion i Azure Active Directory.Conditional Access is a capability of Azure Active Directory. Du kan implementera automatiserade besluten om åtkomstkontroll för att komma åt dina appar i molnet som baseras på villkor med villkorlig åtkomst.With Conditional Access, you can implement automated access control decisions for accessing your cloud apps that are based on conditions.

Principer för villkorlig åtkomst tillämpas efter den första-factor-autentiseringen har slutförts.Conditional Access policies are enforced after the first-factor authentication has been completed. Därför villkorlig åtkomst är inte avsedd som en första rad ansvarsfrihetsgrund för scenarier som attacker för denial of service (DoS), men kan använda signaler från dessa händelser (till exempel risknivå för inloggning, platsen för begäran och så vidare) för att fastställa åtkomst.Therefore, Conditional Access is not intended as a first line defense for scenarios like denial-of-service (DoS) attacks, but can utilize signals from these events (for example, the sign-in risk level, location of the request, and so on) to determine access.

Kontroll

Den här artikeln innehåller en översikt av villkorlig åtkomst i Azure AD.This article provides you with a conceptual overview of Conditional Access in Azure AD.

Vanliga scenarierCommon scenarios

I en mobil- och molnorienterad värld ger Azure Active Directory enkel inloggning till enheter, appar och tjänster från var som helst.In a mobile-first, cloud-first world, Azure Active Directory enables single sign-on to devices, apps, and services from anywhere. I och med den ökande mängden enheter (inklusive BYOD), arbete utanför företagsnätverk och SaaS-appar från tredje part står du inför två motsatta mål:With the proliferation of devices (including BYOD), work off corporate networks, and third-party SaaS apps, you are faced with two opposing goals:

  • Underlätta för användarna att vara produktiva oavsett tid och platsEmpower users to be productive wherever and whenever
  • Se till att företagets resurser alltid är skyddadeProtect the corporate assets at any time

Du kan använda rätt åtkomstkontroller på angivna villkor genom att använda principer för villkorlig åtkomst.By using Conditional Access policies, you can apply the right access controls under the required conditions. Azure AD villkorlig åtkomst ger ökad säkerhet vid behov och ligger utanför användarnas sätt när det inte.Azure AD Conditional Access provides you with added security when needed and stays out of your user’s way when it isn’t.

Nedan följer några vanliga problem för åtkomst som villkorlig åtkomst kan hjälpa dig med:Following are some common access concerns that Conditional Access can help you with:

  • Inloggningsrisk : Azure AD Identity Protection identifierar inloggningsrisker.Sign-in risk: Azure AD Identity Protection detects sign-in risks. Hur begränsar du åtkomsten om en identifierad inloggningsrisk indikerar en obehörig användare?How do you restrict access if a detected sign-in risk indicates a bad actor? Hur gör du om du behöver starkare bevis på att en inloggning har utförts av legitim användare?What if you would like to get stronger evidence that a sign-in was performed by the legitimate user? Hur gör du om du har misstankar som är starka nog att du vill även blockera enskilda användare från att komma åt en app?What if your doubts are strong enough to even block specific users from accessing an app?
  • Nätverksplats : Azure AD kan användas från alla platser.Network location: Azure AD is accessible from anywhere. Vad händer om en åtkomstförsök utförs från en nätverksplats som inte kontrolleras av IT-avdelningen?What if an access attempt is performed from a network location that is not under the control of your IT department? En kombination av användarnamn och lösenord kan vara tillräckligt bra som identitetsbevis för åtkomstförsök från företagsnätverket.A username and password combination might be good enough as proof of identity for access attempts from your corporate network. Hur gör du om du kräver starkare identitetsbevis för åtkomstförsök som initieras från andra oväntade länder eller regioner i världen?What if you demand a stronger proof of identity for access attempts that are initiated from other unexpected countries or regions of the world? Och kanske vill du till och med blockera åtkomstförsök från vissa regioner?What if you even want to block access attempts from certain locations?
  • Enhetshantering : I Azure AD kan användarna komma åt molnappar från en mängd olika enheter, inklusive mobila och privata enheter.Device management: In Azure AD, users can access cloud apps from a broad range of devices including mobile and also personal devices. Vill du kräva att åtkomstförsök endast utförs med enheter som hanteras av IT-avdelningen?What if you demand that access attempts should only be performed with devices that are managed by your IT department? Kanske vill du till och med blockera vissa enhetstyper från att komma åt molnappar i din miljö?What if you even want to block certain device types from accessing cloud apps in your environment?
  • Klientprogram : I dag kan du komma åt många molnappar med olika apptyper, till exempel webbaserade appar, mobilappar och skrivbordsappar.Client application: Today, you can access many cloud apps using different app types such as web-based apps, mobile apps, or desktop apps. Vad händer om ett åtkomstförsök utförs med en klientapptyp som orsakar kända problem?What if an access attempt is performed using a client app type that causes known issues? Hur gör du om du kräver en enhet som hanteras av IT-avdelningen för vissa typer av appar?What if you require a device that is managed by your IT department for certain app types?

Dessa frågor och svar relaterade representerar vanliga scenarier för åtkomst för Azure AD villkorlig åtkomst.These questions and the related answers represent common access scenarios for Azure AD Conditional Access. Villkorlig åtkomst är en funktion i Azure Active Directory som gör det möjligt att hantera åtkomst scenarier med hjälp av en principbaserad metod.Conditional Access is a capability of Azure Active Directory that enables you to handle access scenarios using a policy-based approach.

Principer för villkorlig åtkomstConditional Access policies

Principer för villkorlig åtkomst är en definition av ett scenario för åtkomst med hjälp av följande mönster:A Conditional Access policy is a definition of an access scenario using the following pattern:

Kontroll

Om det här händer definierar anledningen till att utlösa principen.When this happens defines the reason for triggering your policy. Den här orsaken kännetecknas av en grupp villkor som uppfylls.This reason is characterized by a group of conditions that have been satisfied. Spela upp en särskild roll i Azure AD villkorlig åtkomst, tilldelning av två villkor:In Azure AD Conditional Access, the two assignment conditions play a special role:

  • Användare : Den användare som utför ett åtkomstförsök (Vem).Users: The users performing an access attempt (Who).
  • Molnappar : Målet för ett åtkomstförsök (Vad).Cloud apps: The targets of an access attempt (What).

Dessa två villkor är obligatoriskt i en princip för villkorlig åtkomst.These two conditions are mandatory in a Conditional Access policy. Utöver de två obligatoriska villkoren kan du även inkludera ytterligare villkor som beskriver hur åtkomstförsök utförs.In addition to the two mandatory conditions, you can also include additional conditions that describe how the access attempt is performed. Vanliga exempel använder mobila enheter eller platser som ligger utanför företagets nätverk.Common examples are using mobile devices or locations that are outside your corporate network. Mer information finns i villkor i Azure Active Directory villkorsstyrd åtkomst.For more information, see Conditions in Azure Active Directory Conditional Access.

Kombinationen av villkor med din åtkomstkontroller representerar en princip för villkorlig åtkomst.The combination of conditions with your access controls represents a Conditional Access policy.

Kontroll

Med Azure AD villkorlig åtkomst kan du styra hur behöriga användare kan komma åt dina appar i molnet.With Azure AD Conditional Access, you can control how authorized users can access your cloud apps. Målet med en princip för villkorlig åtkomst är att tillämpa ytterligare åtkomstkontroller på ett åtkomstförsök till en molnapp baserat på hur ett åtkomstförsök utförs.The objective of a Conditional Access policy is to enforce additional access controls on an access attempt to a cloud app based on how an access attempt is performed.

En principbaserad metod för att skydda åtkomst till dina molnappar gör att du kan börja utforma principkraven för din miljö med hjälp av den struktur som beskrivs i den här artikeln utan att behöva bekymra dig om teknisk implementering.A policy-based approach to protect access to your cloud apps enables you to start drafting the policy requirements for your environment using the structure outlined in this article without worrying about the technical implementation.

Azure AD villkorlig åtkomst och federerad autentiseringAzure AD Conditional Access and federated authentication

Principer för villkorlig åtkomst fungerar sömlöst med federerad autentisering.Conditional Access policies work seamlessly with federated authentication. Det här stödet innehåller alla villkor och kontroller och insyn i hur principen tillämpas på aktiv användarinloggningar med Azure AD-rapportering.This support includes all supported conditions and controls and visibility into how policy is applied to active user sign-ins using Azure AD reporting.

Federerad autentisering med Azure AD innebär att betrodd autentiseringstjänst hanterar användarautentisering för Azure AD.Federated authentication with Azure AD means that a trusted authentication service handles user authentication to Azure AD. En betrodd autentiseringstjänst är till exempel Active Directory Federation Services (AD FS) eller någon annan federationstjänst.A trusted authentication service is, for example, Active Directory Federation Services (AD FS), or any other federation service. I den här konfigurationen utförs primär användarautentisering i tjänsten och sedan används Azure AD till att logga in på enskilda program.In this configuration, primary user authentication is performed at the service and then Azure AD is used to sign into individual applications. Azure AD villkorlig åtkomst tillämpas innan åtkomst beviljas till programmet som användaren har åtkomst till.Azure AD Conditional Access is applied before access is granted to the application the user is accessing.

När den konfigurerade principen för villkorlig åtkomst kräver multifaktorautentisering, som Azure AD standard med hjälp av Azure MFA.When the configured Conditional Access policy requires multi-factor authentication, Azure AD defaults to using Azure MFA. Om du använder federationstjänsten för MFA kan du konfigurera Azure AD att omdirigera till federationstjänsten när MFA krävs genom att ange -SupportsMFA till $true i PowerShell.If you use the federation service for MFA, you can configure Azure AD to redirect to the federation service when MFA is needed by setting -SupportsMFA to $true in PowerShell. Den här inställningen fungerar för tjänster för federerad autentisering som stöder MFA-utmaningsbegäran som utfärdats av Azure AD med hjälp av wauth= http://schemas.microsoft.com/claims/multipleauthn.This setting works for federated authentication services that support the MFA challenge request issued by Azure AD using wauth= http://schemas.microsoft.com/claims/multipleauthn.

När användaren har loggat in på tjänsten för federerad autentisering hanterar Azure AD andra principkrav, till exempel enhetsefterlevnad eller ett godkänt program.After the user has signed in to the federated authentication service, Azure AD handles other policy requirements such as device compliance or an approved application.

LicenskravLicense requirements

Med den här funktionen kräver en Azure AD Premium P1-licens.Using this feature requires an Azure AD Premium P1 license. Du hittar rätt licens för dina krav jämför allmänt tillgängliga funktioner i Free, Basic och Premium-utgåvorna.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Kunder med licenser för Microsoft 365 Business även ha åtkomst till funktioner för villkorlig åtkomst.Customers with Microsoft 365 Business licenses also have access to Conditional Access features.

Nästa stegNext steps

Om du vill lära dig mer om att implementera villkorlig åtkomst i din miljö, se planera distributionen av villkorlig åtkomst i Azure Active Directory.To learn how to implement Conditional Access in your environment, see Plan your Conditional Access deployment in Azure Active Directory.