Ange principer för villkorlig åtkomst

Villkorsstyrd åtkomst är skydd av reglerat innehåll i ett system genom att kräva att vissa kriterier uppfylls innan åtkomst till innehållet beviljas. De enklaste principerna för villkorsstyrd åtkomst är if-then-instruktioner. Om en användare vill komma åt en resurs måste de slutföra en åtgärd. En löneansvarig vill till exempel ha åtkomst till löneprogrammet och måste utföra multifaktorautentisering (MFA) för att göra det.

Med villkorlig åtkomst kan du uppnå två primära mål:

• Ge användarna möjlighet att vara produktiva var som helst när som helst.
• Skydda organisationens tillgångar.

Genom att använda principer för villkorsstyrd åtkomst kan du tillämpa rätt åtkomstkontroller när det behövs för att skydda din organisation och hålla dig borta från användaren när det inte behövs.

Hur ofta en användare uppmanas att autentiseras på nytt beror på konfigurationsinställningarna för Microsoft Entra sessionslivslängd. Det är praktiskt att komma ihåg autentiseringsuppgifter, men det kan också göra distributioner för Enterprise-scenarier med personliga enheter mindre säkra. För att skydda dina användare kan du se till att klienten ber om Microsoft Entra autentiseringsuppgifter för multifaktorautentisering oftare. Du kan använda inloggningsfrekvensen för villkorsstyrd åtkomst för att konfigurera det här beteendet.

Tilldela en princip för villkorlig åtkomst för molndatorer

Principer för villkorsstyrd åtkomst har inte angetts för din klientorganisation som standard. Du kan rikta CA-principer till Cloud PC-appen från första part med någon av följande plattformar:

• Azure. Mer information finns i Microsoft Entra villkorlig åtkomst.
• Microsoft Intune. Stegen nedan förklarar den här processen. Mer information finns i Läs mer om villkorlig åtkomst och Intune.

Oavsett vilken metod du använder tillämpas principerna på cloud pc-slutanvändarportalen och anslutningen till molndatorn.

1. Logga in på Microsoft Intune administrationscenter och välj Slutpunktssäkerhet>Villkorlig åtkomst>Skapa ny princip.

2. Ange ett namn för din specifika princip för villkorsstyrd åtkomst.

3. Under Användare väljer du 0 användare och grupper valda.

4. Under fliken Inkludera väljer du Välj användare och grupper> och markerar Användare och grupper> under Välj, väljer 0 användare och grupper valda.

5. I det nya fönstret som öppnas söker du efter och väljer den specifika användare eller grupp som du vill rikta in dig på med CA-principen och väljer sedan Välj.

6. Under Målresurser väljer du Inga målresurser har valts.

7. Under fliken Inkludera väljer du Välj appar> under Välj och väljer Ingen.

8. I fönstret Välj söker du efter och väljer följande appar baserat på de resurser som du försöker skydda:

   • Windows 365 (app-ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Du kan också söka efter "moln" för att hitta den här appen. Den här appen används när du hämtar listan över resurser för användaren och när användare initierar åtgärder på sin molndator, till exempel Starta om.
   • Azure Virtual Desktop (app-ID 9cdead84-a844-4324-93f2-b2e6bb768d07). Den här appen kan också visas som Windows Virtual Desktop. Den här appen används för att autentisera till Azure Virtual Desktop Gateway under anslutningen och när klienten skickar diagnostikinformation till tjänsten.
   • Microsoft Fjärrskrivbord (app-ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) och Windows Cloud Login (app-ID 270efc09-cd0d-444b-a71f-39af4910ec45). Dessa appar behövs bara när du konfigurerar enkel inloggning i en etableringsprincip. Dessa appar används för att autentisera användare till molndatorn.

   Vi rekommenderar att du matchar principer för villkorlig åtkomst mellan dessa appar. Detta säkerställer att principen gäller för Cloud PC-slutanvändarportalen, anslutningen till gatewayen och molndatorn för en konsekvent upplevelse. Om du vill exkludera appar måste du också välja alla dessa appar.

   Viktigt

   När enkel inloggning är aktiverat använder autentisering till Cloud PC Microsoft Fjärrskrivbord Entra ID-appen i dag. En kommande ändring kommer att överföra autentiseringen till Windows Cloud Login Entra ID-appen. För att säkerställa en smidig övergång måste du lägga till båda Entra-ID-apparna i dina CA-principer.

   Obs!

   Om du inte ser Windows Cloud Login-appen när du konfigurerar principen för villkorlig åtkomst använder du stegen nedan för att skapa appen. Du måste ha ägar- eller deltagarbehörighet för prenumerationen för att göra dessa ändringar:

   1. Logga in på Azure-portalen.
   2. Välj Prenumerationer i listan över Azure-tjänster.
   3. Välj ditt prenumerationsnamn.
   4. Välj Resursprovidrar och välj sedan Microsoft.DesktopVirtualization.
   5. Välj Registrera längst upp.

   När resursprovidern har registrerats visas Windows Cloud Login-appen i principkonfigurationen för villkorsstyrd åtkomst när du väljer appar som principen ska tillämpas på. Om du inte använder Azure Virtual Desktop kan du avregistrera resursprovidern Microsoft.DesktopVirtualization när Windows Cloud Login-appen är tillgänglig.

9. Om du vill finjustera principen går du till Bevilja och väljer 0 kontroller valda.

10. I fönstret Bevilja väljer du de alternativ för att bevilja eller blockera åtkomst som du vill använda för alla objekt som har tilldelats den här principen >Välj.

11. Om du vill testa principen först går du till Aktivera princip och väljer Endast rapport. Om du ställer in den på På tillämpas principen så snart du skapar den.

12. Välj Skapa för att skapa principen.

Du kan se din lista över aktiva och inaktiva principer i vyn Principer i användargränssnittet för villkorsstyrd åtkomst.

Konfigurera inloggningsfrekvens

Med principer för inloggningsfrekvens kan du ange den tidsperiod efter vilken en användare måste bevisa sin identitet igen vid åtkomst till Microsoft Entra-baserade resurser. Detta kan skydda din miljö och är särskilt viktigt för personliga enheter, där det lokala operativsystemet kanske inte kräver MFA eller kanske inte låses automatiskt efter inaktivitet.

Principer för inloggningsfrekvens resulterar i olika beteenden baserat på den Microsoft Entra app som valts:

Appnamn	App-ID	Beteende
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Framtvingar omautentisering när en användare hämtar sin lista över molndatorer och när användare initierar åtgärder på sin molndator som Starta om.
Azure virtuellt skrivbord	9cdead84-a844-4324-93f2-b2e6bb768d07	Framtvingar omautentisering när en användare autentiserar till Azure Virtual Desktop Gateway under en anslutning.
Microsoft Fjärrskrivbord Windows Cloud-inloggning	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Framtvingar omautentisering när en användare loggar in på molndatorn när enkel inloggning är aktiverat. Båda apparna bör konfigureras tillsammans eftersom klienterna snart växlar från att använda Microsoft Fjärrskrivbord-appen till Windows Cloud Login-appen för att autentisera till molndatorn.

Så här konfigurerar du den tidsperiod efter vilken en användare uppmanas att logga in igen:

1. Öppna principen som du skapade tidigare.
2. Under Session väljer du 0 kontroller valda.
3. I fönstret Session väljer du Inloggningsfrekvens.
4. Välj Periodisk omautentisering eller Varje gång.
   • Om du väljer Periodisk omautentisering anger du värdet för den tidsperiod efter vilken en användare uppmanas att logga in igen >Välj. Om du till exempel anger värdet till 1 och enheten till Timmar, krävs multifaktorautentisering om en anslutning startas mer än en timme efter den sista.
   • Alternativet Varje gång är för närvarande tillgängligt i offentlig förhandsversion och stöds endast när det tillämpas på Microsoft Fjärrskrivbord- och Windows Cloud Login-appar när enkel inloggning är aktiverat för dina molndatorer. Om du väljer Varje gång uppmanas användarna att autentiseras igen efter en period på 10 till 15 minuter efter den senaste gången de autentiserades för Microsoft Fjärrskrivbord- och Windows Cloud Login-appar.
5. Längst ned på sidan väljer du Spara.

Obs!

• Omautentisering sker endast när en användare måste autentisera till en resurs. När en anslutning har upprättats tillfrågas inte användarna även om anslutningen varar längre än den inloggningsfrekvens som du har konfigurerat.
• Användarna måste autentisera igen om det uppstår ett nätverksstörningar som tvingar sessionen att återupprättas efter inloggningsfrekvensen. Detta kan leda till mer frekventa autentiseringsbegäranden i instabila nätverk.

Nästa steg

Hantera RDP-enhetsomdirigeringar