Šablony podmíněného přístupu (Preview)
Šablony podmíněného přístupu poskytují pohodlný způsob nasazení nových zásad v souladu s doporučeními Microsoftu. Tyto šablony jsou navržené tak, aby poskytovaly maximální ochranu v souladu s běžně používanými zásadami napříč různými zákaznickými typy a umístěními.
Existuje 14 šablon zásad podmíněného přístupu filtrovaných podle pěti různých scénářů:
- Základy zabezpečení
- nulová důvěra (Zero Trust)
- Práce na dálku
- Ochrana správců
- Vznikající hrozby
- Vše
Vyhledejte šablony v Azure Portal>Azure Active Directory>Security>Conditional Access>New from template (Preview). Pokud chcete zobrazit všechny šablony zásad v jednotlivých scénářích, vyberte Zobrazit více .
Důležité
Zásady šablon podmíněného přístupu vyloučí ze šablony jenom uživatele, který zásadu vytváří. Pokud vaše organizace potřebuje vyloučit další účty, budete moct zásady po jejich vytvoření upravit. Jednoduše přejděte na Azure Portal>Zásadypodmíněného přístupu>zabezpečení>Azure Active Directory>, výběrem zásady otevřete editor a úpravou vyloučených uživatelů a skupin vyberte účty, které chcete vyloučit.
Ve výchozím nastavení se každá zásada vytváří v režimu jen pro sestavy. Doporučujeme organizacím před zapnutím jednotlivých zásad otestovat a monitorovat využití, aby se zajistil zamýšlený výsledek.
Organizace můžou vybrat jednotlivé šablony zásad a:
- Podívejte se na souhrn nastavení zásad.
- Upravit– přizpůsobení na základě potřeb organizace.
- Exportujte definici JSON pro použití v programových pracovních postupech.
- Tyto definice JSON je možné upravit a pak importovat na hlavní stránce zásad podmíněného přístupu pomocí možnosti Importovat soubor zásad .
Zásady šablon podmíněného přístupu
- Blokování starší verze ověřování*
- Vyžadovat vícefaktorové ověřování pro správce*
- Vyžadovat vícefaktorové ověřování pro všechny uživatele*
- Vyžadování vícefaktorového ověřování pro správu Azure*
* Tyto čtyři zásady při společné konfiguraci poskytují podobné funkce povolené ve výchozím nastavení zabezpečení.
- Blokování přístupu pro neznámou nebo nepodporovanou platformu zařízení
- Žádná trvalá relace prohlížeče
- Vyžadovat schválené klientské aplikace nebo ochranu aplikací
- Vyžadování kompatibilního nebo hybridního Azure AD připojeného zařízení nebo vícefaktorového ověřování pro všechny uživatele
- Vyžadování kompatibilního zařízení nebo zařízení připojeného službou Hybrid Azure AD join pro správce
- Vyžadování vícefaktorového ověřování pro rizikové přihlášenívyžaduje Azure AD Premium P2
- Vyžadovat vícefaktorové ověřování pro přístup hostů
- Vyžadovat změnu hesla pro vysoce rizikové uživateleVyžaduje Azure AD Premium P2
- Zabezpečení registrace bezpečnostních údajů
- Použít omezení vynucená aplikací pro nespravovaná zařízení
Další běžné zásady
Vyloučení uživatelů
Zásady podmíněného přístupu jsou výkonné nástroje. Doporučujeme ze zásad vyloučit následující účty:
- Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu s nouzovým přístupem se dá použít k přihlášení do tenanta a provedení kroků k obnovení přístupu.
- Další informace najdete v článku Správa účtů pro nouzový přístup v Azure AD.
- Účty služeb a instanční objekty, jako je účet synchronizace Azure AD Connect. Účty služeb jsou neinteraktivní účty, které nejsou vázané na žádného konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlašování k systémům pro účely správy. Takové účty služeb by měly být vyloučené, protože vícefaktorové ověřování nejde dokončit programově. Volání provedená instančními objekty nejsou blokovaná podmíněným přístupem.
- Pokud se ve vaší organizaci tyto účty používají ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.