Planera en distribution av villkorsstyrd åtkomst
Det är viktigt att planera distributionen av villkorsstyrd åtkomst för att uppnå organisationens åtkomststrategi för appar och resurser.
I en mobil- och molnklar värld får användarna åtkomst till organisationens resurser var de än befinner sig med en mängd olika enheter och appar. Därför räcker det inte längre att fokusera på vem som kan komma åt en resurs. Du måste också tänka på var användaren är, vilken enhet som används, vilken resurs som används och mycket mer.
Azure Active Directory (Azure AD) – villkorsstyrd åtkomst analyserar signaler som användare, enhet och plats för att automatisera beslut och genomdriva organisationens åtkomstprinciper för resurser. Du kan använda principer för villkorsstyrd åtkomst för att tillämpa åtkomstkontroller som Multi-Factor Authentication (MFA). Med principer för villkorsstyrd åtkomst kan du be användarna om MFA när det behövs för säkerhet och hålla sig utanför användarnas sätt när de inte behövs.
Microsoft tillhandahåller standardprinciper för villkorsstyrda säkerhetsprinciper som säkerställer en grundläggande säkerhetsnivå. Din organisation kan dock behöva mer flexibilitet än standarderbjudandet för säkerhet. Du kan använda villkorlig åtkomst för att anpassa standardvärden för säkerhet med mer kornighet och för att konfigurera nya principer som uppfyller dina krav.
Learn
Innan du börjar bör du se till att du förstår hur villkorlig åtkomst fungerar och när du bör använda den.
Fördelar
Fördelarna med att distribuera villkorlig åtkomst är:
Öka produktiviteten. Avbryt endast användare med ett inloggningsvillkor som MFA när en eller flera signaler kräver det. Med principer för villkorsstyrd åtkomst kan du styra när användare uppmanas att ange MFA, när åtkomst blockeras och när de måste använda en betrodd enhet.
Hantera risker. Automatisering av riskbedömning med principvillkor innebär att riskfyllda inloggningar samtidigt identifieras och åtgärdas eller blockeras. Koppling av villkorlig åtkomst med Identity Protection,som identifierar avvikelser och misstänkta händelser, gör att du kan rikta in dig på när åtkomst till resurser blockeras eller blockeras.
Hantera efterlevnad och styrning. Med villkorsstyrd åtkomst kan du granska åtkomsten till program, presentera användningsvillkor för medgivande och begränsa åtkomsten baserat på efterlevnadsprinciper.
Hantera kostnader. Genom att flytta åtkomstprinciper till Azure AD minskar du beroendet av anpassade eller lokala lösningar för villkorsstyrd åtkomst och deras infrastrukturkostnader.
Licenskrav
Se Licenskrav för villkorsstyrd åtkomst.
Om ytterligare funktioner krävs kan du också behöva relaterade licenser. Mer information finns i Azure Active Directory priser.
Förutsättningar
En aktiv Azure AD-klientorganisation med Azure AD Premium eller utvärderingslicens aktiverad. Om det behövs skapar du ett utan kostnad.
Ett konto med administratörsbehörighet för villkorsstyrd åtkomst.
En användare som inte är administratör med ett lösenord som du känner till, till exempel testuser. Om du behöver skapa en användare kan du gå till Snabbstart: Lägga till nya användare i Azure Active Directory.
En grupp som icke-administratörsanvändaren är medlem i. Om du behöver skapa en grupp kan du gå till Skapa en grupp och lägga till medlemmar i Azure Active Directory.
Utbildningsresurser
Följande resurser kan vara användbara när du lär dig mer om villkorlig åtkomst:
Video
- Vad är villkorsstyrd åtkomst?
- Hur distribuerar jag villkorlig åtkomst?
- Hur distribuerar jag principer för villkorlig åtkomst till slutanvändare?
- Inkludera eller exkludera användare från principer för villkorsstyrd åtkomst
- Villkorsstyrd åtkomst med enhetskontroller
- Villkorlig åtkomst med Azure AD MFA
- Villkorlig åtkomst i Enterprise Mobility + Security
Onlinekurser om PluralSight
- Utforma Identity Management i Microsoft Azure
- Utforma autentisering för Microsoft Azure
- Designauktorisering för Microsoft Azure
Planera distributionsprojekt
Överväg organisationens behov medan du bestämmer strategin för den här distributionen i din miljö.
Engagera rätt intressenter
När teknikprojekt misslyckas gör de det vanligtvis på grund av felmatchade förväntningar på påverkan, resultat och ansvarsområden. För att undvika dessa fallgropar bör du se till att du engagerar rätt intressenter och att projektrollerna är tydliga.
Planera kommunikation
Kommunikation är avgörande för att en ny tjänst ska lyckas. Kommunicera proaktivt med användarna hur deras upplevelse kommer att ändras, när den kommer att ändras och hur de kan få support om de får problem.
Planera ett pilotprojekt
När nya principer är redo för din miljö kan du distribuera dem i faser i produktionsmiljön. Börja med att tillämpa en princip på en liten uppsättning användare i en testmiljö och kontrollera om principen fungerar som förväntat. Se Metodtips för ett pilottest.
Anteckning
Om du vill distribuera nya principer som inte är specifika för administratörer ska du exkludera alla administratörer. Detta säkerställer att administratörer fortfarande kan komma åt principen och göra ändringar eller återkalla den om det finns en betydande inverkan. Verifiera alltid principen med mindre användargrupper innan du tillämpar den på alla användare.
Förstå principkomponenter för villkorsstyrd åtkomst
Principer för villkorsstyrd åtkomst är if-then-instruktioner: Om en tilldelning uppfylls tillämpar du dessa åtkomstkontroller.
När du konfigurerar principer för villkorsstyrd åtkomst kallas villkor tilldelningar. Med principer för villkorsstyrd åtkomst kan du tillämpa åtkomstkontroller på din organisations appar baserat på vissa tilldelningar.
Mer information finns i Skapa en princip för villkorlig åtkomst.
Tilldelningar definierar
Användare och grupper som ska påverkas av principen
Molnappar eller åtgärder som principen ska gälla för
Villkor under vilka principen ska gälla.
Inställningarna för åtkomstkontroller avgör hur du framtvingar en princip:
Bevilja eller blockera åtkomst till molnappar.
Sessionskontroller möjliggör begränsade upplevelser i specifika molnappar.
Ställ rätt frågor för att skapa dina principer
Principer besvarar frågor om vem som ska ha åtkomst till dina resurser, vilka resurser de ska ha åtkomst till och under vilka villkor. Principer kan utformas för att bevilja åtkomst eller blockera åtkomst. Se till att ställa rätt frågor om vad din princip försöker uppnå.
Dokumentera svaren på frågor för varje princip innan du skapar den.
Vanliga frågor om tilldelningar
Vilka användare och grupper kommer att ingå i eller undantas från principen?
Omfattar den här principen alla användare, en specifik grupp av användare, katalogroller eller externa användare?
Vilka program kommer principen att gälla för?
Vilka användaråtgärder kommer att omfattas av den här principen?
Vilka enhetsplattformar kommer att ingå i eller undantas från principen?
Vilka är organisationens betrodda platser?
Vilka platser kommer att ingå i eller undantas från principen?
Vilka typer av klientappar (webbläsare, mobil, skrivbordsklienter, appar med äldre autentiseringsmetoder) kommer att ingå i eller undantas från principen?
Har du principer som utesluter Azure AD-anslutna enheter eller Hybrid Azure AD-anslutna enheter från principer?
Om du använder Identity Protection, vill du lägga till riskskydd för inloggning?
Vanliga frågor om åtkomstkontroller
Vill du bevilja åtkomst till resurser genom att kräva ett eller flera av följande?
Krav på MFA
Kräv att enheten är markerad som kompatibel
Kräv Azure AD-ansluten hybridenhet
Kräv godkänd klientapp
Kräva appskyddsprincip
Vill du framtvinga någon av följande åtkomstkontroller i molnappar?
Använda framtvingade behörigheter för appen
Använda Appkontroll för villkorsstyrd åtkomst
Framtvinga inloggningsfrekvens
Använda beständiga webbläsarsessioner
Utfärdande av åtkomsttoken
Det är viktigt att förstå hur åtkomsttoken utfärdas.
Anteckning
Om ingen tilldelning krävs och ingen princip för villkorsstyrd åtkomst används är standardbeteendet att utfärda en åtkomsttoken.
Tänk dig till exempel en princip där:
OM användaren finns i Grupp 1 tvingar du MFA att komma åt App 1.
Om en användare som inte är i grupp 1 försöker få åtkomst till appen uppfylls inget "if"-villkor och en token utfärdas. Om du vill undanta användare utanför grupp 1 krävs en separat princip för att blockera alla andra användare.
Följ metodtipsen
Ramverket för villkorsstyrd åtkomst ger dig en bra konfigurationsflexibilitet. Stor flexibilitet innebär dock också att du noggrant bör granska varje konfigurationsprincip innan du släpper den för att undvika oönskade resultat.
Tillämpa principer för villkorlig åtkomst för varje app
Åtkomsttoken utfärdas som standard om ett villkor för villkorlig åtkomstprincip inte utlöser en åtkomstkontroll. Se till att varje app har minst en princip för villkorlig åtkomst tillämpad
Viktigt
Var mycket försiktig med att använda block och alla appar i en enda princip. Detta kan låsa administratörer från Azure-administrationsportalen och undantag kan inte konfigureras för viktiga slutpunkter, till exempel Microsoft Graph.
Minimera antalet principer för villkorlig åtkomst
Att skapa en princip för varje app är inte effektivt och leder till komplex administration. Det kan finnas högst 195 villkorsstyrd åtkomst i varje Azure AD-klientorganisation. Vi rekommenderar att du analyserar dina appar och grupperar dem i principer som har samma åtkomstkrav. Om till exempel alla Microsoft 365-appar eller alla HR-appar har samma krav för samma användare, skapar du en enda princip och inkluderar alla dessa appar i stället för att lägga till en princip för varje app.
Konfigurera konton för åtkomst vid akutfall
Om du felkonfigurerar en princip kan den låsa organisationerna utanför Azure Portal. Minimera effekten av oavsiktlig utlåsning av administratörer genom att skapa två eller flera konton för åtkomst vid akutfall i din organisation.
- Skapa ett användarkonto som är dedikerat till principadministration och exkluderat från alla dina principer.
Konfigurera endast rapportläge
Det kan vara svårt att förutsäga antalet och namnen på användare som påverkas av vanliga distributionsinitiativ, till exempel:
- blockera äldre autentisering
- kräver MFA
- implementera inloggningsriskprinciper
Läget Endast rapport gör det möjligt för administratörer att utvärdera effekten av principer för villkorlig åtkomst innan de aktiveras i sin miljö.
Lär dig hur du konfigurerar rapportläge på en princip för villkorlig åtkomst.
Planera för avbrott
Om du förlitar dig på en enda åtkomstkontroll, till exempel MFA eller en nätverksplats, för att skydda DINA IT-system, är du sårbar för åtkomstfel om den enskilda åtkomstkontrollen blir otillgänglig eller felkonfigurerad. Planera strategier för din organisation för att minska risken för utelåsning under oförutsedda avbrott.
Ange namngivningsstandarder för dina principer
Namngivningsstandarden hjälper dig att hitta principer och förstå deras syfte utan att öppna dem i Azure-administratörsportalen. Vi rekommenderar att du ger principen följande namn:
Ett sekvensnummer
Molnappen som den gäller för
Svaret
Vem gäller för
När det gäller (om tillämpligt)
Exempel; En princip för att kräva MFA för marknadsföringsanvändare som har åtkomst till Dynamics CRP-appen från externa nätverk kan vara:
Ett beskrivande namn hjälper dig att hålla en översikt över implementeringen av villkorlig åtkomst. Sekvensnumret är användbart om du behöver referera till en princip i en konversation. När du till exempel pratar med en administratör på telefonen kan du be dem att öppna principen CA01 för att lösa ett problem.
Namngivningsstandarder för åtkomstkontroller vid akutfall
Utöver dina aktiva principer implementerar du inaktiverade principer som fungerar som sekundära motståndskraftiga åtkomstkontroller vid avbrott eller nödfall. Din namngivningsstandard för oförutsedda principer bör innehålla:
AKTIVERA I NÖDFALL i början för att få namnet att stå ut bland de andra principerna.
Namnet på det avbrott som det ska gälla för.
Ett ordningssekvensnummer som hjälper administratören att veta i vilken ordning principerna ska aktiveras.
Exempel
Följande namn anger att den här principen är den första av fyra principer som aktiveras om det inträffar ett MFA-avbrott:
EM01 – AKTIVERA I NÖDLÄGE: MFA-avbrott [1/4] – Exchange SharePoint: Kräv Azure AD-hybridkoppling för VIP-användare.
Exkludera länder som du aldrig förväntar dig att logga in från.
Med Azure Active Directory kan du skapa namngivna platser. Skapa en namngiven plats som innehåller alla länder som du aldrig förväntar dig att inloggningen ska ske från. Skapa sedan en princip för Alla appar som blockerar inloggning från den namngivna platsen. Se till att undanta dina administratörer från den här principen.
Planera principdistributionen
När nya principer är redo för din miljö bör du granska varje princip innan du släpper den för att undvika oönskade resultat.
Vanliga principer
När du planerar din principlösning för villkorsstyrd åtkomst bör du utvärdera om du behöver skapa principer för att uppnå följande resultat.
- Krav på MFA
- Svara på potentiellt komprometterade konton
- Kräv hanterade enheter
- Kräv godkända klientprogram
- Blockera åtkomst
Krav på MFA
Vanliga användningsfall för att kräva MFA-åtkomst:
Svara på potentiellt komprometterade konton
Med principer för villkorlig åtkomst kan du implementera automatiserade svar på inloggningar genom potentiellt komprometterade identiteter. Sannolikheten att ett konto komprometteras uttrycks i form av risknivåer. Det finns två risknivåer som beräknas av Identity Protection: inloggningsrisk och användarrisk. Följande tre standardprinciper kan aktiveras.
Kräv en lösenordsändring för användare som är högriskanvändare
Kräv MFA för användare med medelhög eller hög inloggningsrisk
Kräv hanterade enheter
Den ökande mängden enheter som stöds för att få åtkomst till dina molnresurser bidrar till att förbättra användarnas produktivitet. Du vill förmodligen inte att vissa resurser i din miljö ska kunna nås av enheter med en okänd skyddsnivå. För dessa resurser kräver du att användarna bara kan komma åt dem med hjälp av en hanterad enhet.
Kräva godkända klientappar
Anställda använder sina mobila enheter för både personliga och arbetsaktiviteter. För BYOD-scenarier måste du bestämma om du vill hantera hela enheten eller bara data på den. Om du bara hanterar data och åtkomst kan du kräva godkända molnappar som kan skydda företagets data. Du kan till exempel kräva att e-post endast nås via Outlook mobil och inte via ett allmänt e-postprogram.
Blockera åtkomst
Alternativet att blockera all åtkomst är kraftfullt. Den kan till exempel användas när du migrerar en app till Azure AD, men är inte redo för någon att logga in på den ännu. Blockera åtkomst:
Åsidosätter alla andra tilldelningar för en användare
Har kraften att blockera hela organisationen från att logga in på din klientorganisation
Viktigt
Om du skapar en princip för att blockera åtkomst för alla användare ska du undanta konton för åtkomst vid akutfall och överväga att undanta alla administratörer från principen.
Andra vanliga scenarier där du kan blockera åtkomst för dina användare är:
Blockera vissa nätverksplatser för att få åtkomst till dina molnappar. Du kan använda den här principen för att blockera vissa länder där du vet att trafiken inte ska komma från.
Azure AD stöder äldre autentisering. Äldre autentisering stöder dock inte MFA och många miljöer kräver det för att hantera identitetssäkerhet. I det här fallet kan du blockera appar som använder äldre autentisering från att komma åt dina klientresurser.
Skapa och testa principer
I varje steg i distributionen ser du till att utvärdera att resultaten är som förväntat.
När nya principer är klara kan du distribuera dem i faser i produktionsmiljön:
Tillhandahålla intern ändringskommunikation till slutanvändare.
Börja med en liten uppsättning användare och kontrollera att principen fungerar som förväntat.
När du expanderar en princip för att inkludera fler användare fortsätter du att exkludera alla administratörer. Genom att exkludera administratörer säkerställs att någon fortfarande har åtkomst till en princip om en ändring krävs.
Tillämpa en princip för alla användare först när den har testats noggrant. Se till att du har minst ett administratörskonto som en princip inte gäller för.
Skapa testanvändare
Skapa en uppsättning testanvändare som återspeglar användarna i produktionsmiljön. Genom att skapa testanvändare kan du verifiera att principer fungerar som förväntat innan du påverkar verkliga användare och potentiellt avbryter deras åtkomst till appar och resurser.
Vissa organisationer har testklienter för detta ändamål. Det kan dock vara svårt att återskapa alla villkor och appar i en testklientorganisation för att helt testa resultatet av en princip.
Skapa en testplan
Det är viktigt att ha en jämförelse mellan de förväntade resultaten och de faktiska resultaten. Du bör alltid ha en förväntan innan du testar något. I följande tabell beskrivs exempel på testfall. Justera scenarier och förväntade resultat baserat på hur dina principer för villkorsstyrd åtkomst är konfigurerade.
| Policy | Scenario | Förväntat resultat |
|---|---|---|
| Kräv MFA när det inte är på jobbet | Behörig användare loggar in i appen på en betrodd plats/arbete | Användaren uppmanas inte att använda MFA |
| Kräv MFA när det inte är på jobbet | Behörig användare loggar in på appen när den inte är på en betrodd plats/arbete | Användaren uppmanas att ange MFA och kan logga in |
| Kräv MFA (för administratör) | Global administratör loggar in i appen | Administratören uppmanas att använda MFA |
| Riskfyllda inloggningar | Användaren loggar in på appen med en icke-godkänd webbläsare | Administratören uppmanas att använda MFA |
| Enhetshantering | Behörig användare försöker logga in från en auktoriserad enhet | Beviljad åtkomst |
| Enhetshantering | Behörig användare försöker logga in från en obehörig enhet | Åtkomst blockerad |
| Lösenordsändring för riskfyllda användare | Behörig användare försöker logga in med komprometterade autentiseringsuppgifter (inloggning med hög risk) | Användaren uppmanas att ändra lösenord eller så blockeras åtkomsten baserat på din princip |
Konfigurera testprincipen
I Azure Portal konfigurerardu principer för villkorlig åtkomst under Azure Active Directory > Security > Villkorlig åtkomst.
Om du vill veta mer om hur du skapar principer för villkorlig åtkomst kan du läsa det här exemplet: Princip för villkorlig åtkomst för att fråga efter MFA nären användare loggar in på Azure Portal . Den här snabbstarten hjälper dig att:
Bekanta dig med användargränssnittet
Få en första uppfattning om hur villkorlig åtkomst fungerar
Aktivera principen i endast rapportläge
Om du vill utvärdera effekten av din princip börjar du med att aktivera principen i läget endast rapport. Endast rapportprinciper utvärderas under inloggningen, men beviljandekontroller och sessionskontroller tillämpas inte. När du sparar principen i endast rapportläge kan du se påverkan på inloggningar i realtid i inloggningsloggarna. Från inloggningsloggarna väljer du en händelse och går till fliken Endast rapport för att se resultatet av varje princip för endast rapporter.
Om du väljer principen kan du också se hur tilldelningar och åtkomstkontroller för principen utvärderades med hjälp av skärmen Principinformation. För att en princip ska gälla för en inloggning måste var och en av de konfigurerade tilldelningarna uppfyllas.
Förstå effekten av dina principer med hjälp av arbetsboken Insights rapportering
Du kan visa den sammanställda effekten av dina principer för villkorsstyrd åtkomst i arbetsboken Insights rapportering. För att komma åt arbetsboken behöver du en Azure Monitor prenumeration och du måste strömma dina inloggningsloggar till en Log Analytics-arbetsyta.
Simulera inloggningar med hjälp av what-if-verktyget
Ett annat sätt att verifiera din princip för villkorsstyrd åtkomst är att använda what-if-verktyget, som simulerar vilka principer som gäller för en användare som loggar in under hypotetiska omständigheter. Välj de inloggningsattribut som du vill testa (till exempel användare, program, enhetsplattform och plats) och se vilka principer som gäller.
Anteckning
En simulerad körning ger dig en bra uppfattning om vilken effekt en princip för villkorlig åtkomst har, men den ersätter inte en faktisk testkörning.
Testa principen
Utför varje test i testplanen med testanvändarna.
Se till att du testar exkluderingskriterierna för en princip. Du kan till exempel undanta en användare eller grupp från en princip som kräver MFA. Testa om de exkluderade användarna tillfrågas om MFA eftersom kombinationen av andra principer kan kräva MFA för dessa användare.
Återställningsprinciper
Om du behöver återställa dina nyligen implementerade principer använder du ett eller flera av följande alternativ:
- Inaktivera principen. Om du inaktiverar en princip ser du till att den inte tillämpas när en användare försöker logga in. Du kan alltid komma tillbaka och aktivera principen när du vill använda den.
- Undanta en användare eller grupp från en princip. Om en användare inte kan komma åt appen kan du välja att undanta användaren från principen.
Anteckning
Det här alternativet bör endast användas sparsamt, endast i situationer där användaren är betrodd. Användaren bör läggas till i principen eller gruppen så snart som möjligt.
- Ta bort principen. Om principen inte längre behövs tar du bort den.
Hantera åtkomst till molnappar
Använd följande hanteringsalternativ för att styra och hantera dina principer för villkorsstyrd åtkomst:
Namngivna platser
Platsvillkoret för en princip för villkorlig åtkomst gör att du kan koppla inställningar för åtkomstkontroller till användarnas nätverksplatser. Med namngivna platserkan du skapa logiska gruppningar av IP-adressintervall eller länder och regioner.
Anpassade kontroller
Anpassade kontroller omdirigerar användarna till en kompatibel tjänst för att uppfylla autentiseringskrav utanför Azure AD. För att uppfylla den här kontrollen omdirigeras en användares webbläsare till den externa tjänsten, utför all nödvändig autentisering och omdirigeras sedan tillbaka till Azure AD. Azure AD verifierar svaret och om användaren har autentiserats eller verifierats fortsätter användaren i flödet för villkorsstyrd åtkomst.
Villkor för användning
Innan du kommer åt vissa molnappar i din miljö kan du få användarnas medgivande genom att de godkänner din Användningsvillkor (ToU). Följ den här snabbstarten för att skapa användningsvillkor.
Felsöka villkorlig åtkomst
När en användare har problem med en princip för villkorlig åtkomst samlar du in följande information för att underlätta felsökningen.
Namn på användarprincip
Användarens visningsnamn
Namn på operativsystem
Tidsstämpel (ungefärlig är ok)
Målprogram
Typ av klientprogram (webbläsare och klient)
Korrelations-ID (detta är unikt för inloggningen)
Om användaren har fått ett meddelande med länken Mer information kan de samla in merparten av den här informationen åt dig.
När du har samlat in informationen kan du se följande resurser:
Inloggningsproblem med villkorsstyrd åtkomst – Förstå oväntade inloggningsresultat som rör villkorsstyrd åtkomst med hjälp av felmeddelanden och Inloggningsloggar för Azure AD.
Använda verktyget What-If – Förstå varför en princip tillämpades eller inte tillämpades på en användare under en viss situation eller om en princip skulle tillämpas i ett känt tillstånd.
Nästa steg
Läs mer om multifaktorautentisering
Läs mer om Identity Protection
Hantera principer för villkorlig åtkomst med Microsoft Graph API