Podmíněný přístup pro identity úloh

Zásady podmíněného přístupu se historicky uplatňují jenom na uživatele, kteří přistupují k aplikacím a službám, jako je SharePoint Online. Teď rozšiřujeme podporu zásad podmíněného přístupu, které se použijí na instanční objekty vlastněné organizací. Tuto funkci označujeme jako podmíněný přístup pro identity úloh.

Identita úlohy je identita, která umožňuje aplikaci nebo instančnímu objektu přístup k prostředkům, někdy v kontextu uživatele. Tyto identity úloh se liší od tradičních uživatelských účtů, protože:

  • Nejde provést vícefaktorové ověřování.
  • Často nemají žádný formální proces životního cyklu.
  • Potřebujete uložit svoje přihlašovací údaje nebo tajné kódy někde.

Tyto rozdíly znesnadňuje správu identit úloh a jejich vyšší riziko pro ohrožení zabezpečení.

Důležité

K vytvoření nebo úpravě zásad podmíněného přístupu omezených na instanční objekty se vyžadují licence identit úloh Premium. V adresářích bez odpovídajících licencí budou stávající zásady podmíněného přístupu pro identity úloh nadále fungovat, ale nejde je upravovat. Další informace najdete v tématu ID úloh Microsoft Entra.  

Poznámka:

Zásady se dají použít pro instanční objekty s jedním tenantem, které jsou ve vašem tenantovi zaregistrované. SaaS a víceklientské aplikace třetích stran jsou mimo rozsah. Spravované identity nejsou pokryté zásadami.

Podmíněný přístup pro identity úloh umožňuje blokovat instanční objekty mimo důvěryhodné rozsahy veřejných IP adres na základě rizika zjištěného službou Microsoft Entra ID Protection nebo v kombinaci s kontexty ověřování.

Implementace

Vytvoření zásad podmíněného přístupu na základě umístění

Vytvořte zásady podmíněného přístupu založené na umístění, které platí pro instanční objekty.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Vytvořit novou zásadu.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Na co se tato zásada vztahuje?, vyberte Identity úloh.
    2. V části Zahrnout zvolte Vybrat instanční objekty a ze seznamu vyberte příslušné instanční objekty.
  6. V části Cílové prostředky>: Zahrnout cloudové aplikace>vyberte Všechny cloudové aplikace. Zásady platí jenom v případech, kdy instanční objekt požádá o token.
  7. V části Umístění podmínek>uveďte libovolné umístění a vylučte vybraná umístění, ve kterých chcete povolit přístup.
  8. V části Udělení je jedinou dostupnou možností blokování přístupu. Přístup se zablokuje, když se požadavek na token vytvoří mimo povolený rozsah.
  9. Zásady je možné uložit v režimu jen pro sestavy, což správcům umožňuje odhadnout účinky nebo se zásady vynucují zapnutím zásad.
  10. Vyberte Vytvořit a dokončete zásady.

Vytvoření zásad podmíněného přístupu na základě rizik

Vytvořte zásadu podmíněného přístupu na základě rizik, která se vztahuje na instanční objekty.

Creating a Conditional Access policy with a workload identity and risk as a condition.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Vytvořit novou zásadu.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Na co se tato zásada vztahuje?, vyberte Identity úloh.
    2. V části Zahrnout zvolte Vybrat instanční objekty a ze seznamu vyberte příslušné instanční objekty.
  6. V části Cílové prostředky>: Zahrnout cloudové aplikace>vyberte Všechny cloudové aplikace. Zásady platí jenom v případech, kdy instanční objekt požádá o token.
  7. Za podmínek>rizika instančního objektu
    1. Nastavte přepínač Konfigurovat na Ano.
    2. Vyberte úrovně rizika, ve kterých chcete tuto zásadu aktivovat.
    3. Vyberte Hotovo.
  8. V části Udělení je jedinou dostupnou možností blokování přístupu. Přístup se zablokuje, když se zobrazí zadané úrovně rizika.
  9. Zásady je možné uložit v režimu jen pro sestavy, což správcům umožňuje odhadnout účinky nebo se zásady vynucují zapnutím zásad.
  10. Vyberte Vytvořit a dokončete zásady.

Vrátit zpět

Pokud chcete tuto funkci vrátit zpět, můžete odstranit nebo zakázat všechny vytvořené zásady.

Protokoly přihlašování

Protokoly přihlašování slouží ke kontrole, jak se zásady vynucují pro instanční objekty nebo očekávaný vliv zásad při použití režimu jen pro sestavy.

  1. Přejděte k protokolům>přihlašování k monitorování identit>a stavu>přihlášení instančního objektu.
  2. Vyberte položku protokolu a výběrem karty Podmíněný přístup zobrazte informace o vyhodnocení.

Důvod selhání, kdy podmíněný přístup blokuje instanční objekt: Přístup je zablokovaný kvůli zásadám podmíněného přístupu.

Režim pouze sestav

Pokud chcete zobrazit výsledky zásad založených na poloze, podívejte se na kartu Sestava událostí v sestavě přihlášení nebo použijte sešit podmíněného přístupu Přehledy a sestav.

Pokud chcete zobrazit výsledky zásad založených na rizicích, podívejte se na kartu Pouze sestava událostí v sestavě přihlášení.

Reference

Vyhledání ID objektu

Id objektu služby můžete získat z podnikových aplikací Microsoft Entra. ID objektu v Microsoft Entra Registrace aplikací nelze použít. Tento identifikátor je ID objektu registrace aplikace, nikoli instančního objektu.

  1. Přejděte k podnikovým>aplikacím identit>a vyhledejte aplikaci, kterou jste zaregistrovali.
  2. Na kartě Přehled zkopírujte ID objektu aplikace. Tento identifikátor je jedinečný pro instanční objekt používaný zásadami podmíněného přístupu k vyhledání volající aplikace.

Microsoft Graph

Ukázkový KÓD JSON pro konfiguraci založenou na umístění pomocí koncového bodu beta verze Microsoft Graphu

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Další kroky