Podmíněný přístup: Cílové prostředky

  • Článek

Cílové prostředky (dříve Cloudové aplikace, akce a kontext ověřování) jsou klíčovými signály v zásadách podmíněného přístupu. Zásady podmíněného přístupu umožňují správcům přiřazovat ovládací prvky konkrétním aplikacím, službám, akcím nebo kontextu ověřování.

  • Správa istrátory si mohou vybrat ze seznamu aplikací nebo služeb, které zahrnují integrované aplikace Microsoftu a všechny Integrované aplikace Microsoft Entra, včetně galerie, jiné než galerie a aplikací publikovaných prostřednictvím proxy aplikací.
  • Správa istrátory se můžou rozhodnout definovat zásady, které nejsou založené na cloudové aplikaci, ale na akci uživatele, jako je registrace informací o zabezpečení nebo registrace nebo připojení zařízení, což umožňuje podmíněnému přístupu vynucovat ovládací prvky týkající se těchto akcí.
  • Správa istrátory můžou cílit na profily předávání přenosů z globálního zabezpečeného přístupu pro lepší funkce.
  • Správa istrátory můžou použít kontext ověřování k zajištění další vrstvy zabezpečení v aplikacích.

Snímek obrazovky zobrazující zásady podmíněného přístupu a panel cílových prostředků

Cloudové aplikace Microsoftu

Mnoho stávajících cloudových aplikací Microsoftu je na seznamu aplikací, ze kterých si můžete vybrat.

Správa istrátory můžou přiřadit zásady podmíněného přístupu k následujícím cloudovým aplikacím od Microsoftu. Některé aplikace, například Office 365 a rozhraní API pro správu služeb Windows Azure, zahrnují několik souvisejících podřízených aplikací nebo služeb. Průběžně přidáváme další aplikace, takže následující seznam není vyčerpávající a může se změnit.

Důležité

Aplikace, které jsou dostupné pro podmíněný přístup, prošly procesem onboardingu a ověřování. Tento seznam neobsahuje všechny aplikace Microsoftu, protože mnoho z nich jsou back-endové služby a nemají na ně přímo platit zásady. Pokud hledáte aplikaci, která chybí, můžete kontaktovat konkrétní tým aplikace nebo požádat o userVoice.

Office 365

Microsoft 365 poskytuje cloudové služby pro produktivitu a spolupráci, jako jsou Exchange, SharePoint a Microsoft Teams. Cloudové služby Microsoftu 365 jsou hluboce integrované, aby se zajistilo bezproblémové prostředí a prostředí pro spolupráci. Tato integrace může způsobit nejasnosti při vytváření zásad, jako jsou některé aplikace, jako je Microsoft Teams, mají závislosti na jiných aplikacích, jako je SharePoint nebo Exchange.

Sada Office 365 umožňuje na všechny tyto služby cílit najednou. Místo cílení na jednotlivé cloudové aplikace doporučujeme používat novou sadu Office 365, abyste se vyhnuli problémům se závislostmi služeb.

Cílení na tuto skupinu aplikací pomáhá vyhnout se problémům, ke kterým může dojít kvůli nekonzistentním zásadám a závislostem. Příklad: Aplikace Exchange Online je svázaná s tradičními daty Exchange Online, jako je pošta, kalendář a kontaktní údaje. Související metadata můžou být zpřístupněna prostřednictvím různých prostředků, jako je vyhledávání. Aby se zajistilo, že všechna metadata jsou chráněná podle očekávání, měli by správci přiřadit zásady k aplikaci Office 365.

Správa istrátory můžou vyloučit celou sadu Office 365 nebo konkrétní cloudové aplikace Office 365 ze zásad podmíněného přístupu.

Úplný seznam všech zahrnutých služeb najdete v článku Aplikace zahrnuté v sadě aplikací Office 365 s podmíněným přístupem.

Rozhraní API pro správu služeb Windows Azure

Když cílíte na aplikaci rozhraní API pro správu služeb Windows Azure, zásady se vynucují pro tokeny vydané sadou služeb úzce svázaných s portálem. Toto seskupení zahrnuje ID aplikací:

  • Azure Resource Manager
  • Azure Portal, který zahrnuje také centrum pro správu Microsoft Entra
  • Azure Data Lake
  • Rozhraní API pro Application Insights
  • Rozhraní API služby Log Analytics

Vzhledem k tomu, že se zásady použijí na portál pro správu Azure a rozhraní API, služby nebo klienty se závislostí služby Azure API, může to mít vliv nepřímo. Příklad:

  • Rozhraní API modelu nasazení Classic
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • Portál služby Azure Data Factory
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database
  • Spravovaná instance SQL
  • Azure Synapse
  • Portál pro správu předplatných sady Visual Studio
  • Microsoft IoT Central

Poznámka:

Aplikace rozhraní API pro správu služeb Windows Azure se vztahuje na Azure PowerShell, který volá rozhraní API Azure Resource Manageru. Nevztahuje se na Microsoft Graph PowerShell, který volá rozhraní Microsoft Graph API.

Další informace o nastavení ukázkových zásad pro službu rozhraní API pro správu služeb Windows Azure najdete v tématu Podmíněný přístup: Vyžadování vícefaktorového ověření pro správu Azure.

Tip

V případě azure Government byste měli cílit na aplikaci API pro správu cloudu Azure Government.

Portály pro správu Microsoftu

Když zásady podmíněného přístupu cílí na cloudovou aplikaci portálů pro správu Microsoftu, zásady se vynucují pro tokeny vydané pro ID aplikací následujících portálů pro správu Microsoftu:

  • portál Azure
  • Centrum pro správu Exchange
  • Centrum pro správu Microsoft 365
  • Portál Microsoft 365 Defender
  • Centrum pro správu Microsoft Entra
  • Centrum pro správu Microsoft Intune
  • Portál pro dodržování předpisů Microsoft Purview
  • Centrum pro správu Microsoft Teams

Do seznamu neustále přidáváme další portály pro správu.

Poznámka:

Aplikace Portály Microsoft Správa se vztahuje pouze na interaktivní přihlašování na uvedené portály pro správu. Tato aplikace nepokrývá přihlášení k podkladovým prostředkům nebo službám, jako jsou rozhraní API Microsoft Graphu nebo Azure Resource Manageru. Tyto prostředky jsou chráněné aplikací API služby Windows Azure Service Management. Zákazníci tak můžou přejít na cestu přechodu na vícefaktorové ověřování pro správce, aniž by to mělo vliv na automatizaci, která závisí na rozhraních API a PowerShellu. Až budete připraveni, Microsoft doporučuje používat zásady, které vyžadují, aby správci prováděli vícefaktorové ověřování vždy pro komplexní ochranu.

Jiné aplikace

Správci můžou do zásad podmíněného přístupu přidat jakoukoli aplikaci zaregistrovanou v Microsoft Entra. Mezi tyto aplikace můžou patřit:

Poznámka:

Vzhledem k tomu, že zásady podmíněného přístupu stanoví požadavky na přístup ke službě, nemůžete je použít na klientskou (veřejnou nebo nativní) aplikaci. Jinými slovy, zásady se nenastavují přímo pro klientskou (veřejnou nebo nativní) aplikaci, ale použijí se, když klient zavolá službu. Například zásada nastavená ve službě SharePoint platí pro všechny klienty, kteří volají SharePoint. Na pokusy o přístup k e-mailu pomocí klienta Outlook se vztahují zásady nastavené pro Exchange. Proto ve výběru cloudových aplikací není možné vybrat klientské (veřejné nebo nativní) aplikace a v nastavení klientské (veřejné nebo nativní) aplikace zaregistrované ve vašem tenantovi není k dispozici možnost podmíněného přístupu.

Některé aplikace se ve výběru vůbec nezobrazují. Jediným způsobem, jak tyto aplikace zahrnout do zásad podmíněného přístupu, je zahrnout všechny cloudové aplikace.

Všechny cloudové aplikace

Použití zásad podmíněného přístupu u všech cloudových aplikací vede k vynucení zásady pro všechny tokeny vydané pro weby a služby. Tato možnost zahrnuje aplikace, na které není možné v zásadách podmíněného přístupu cílit jednotlivě, například Microsoft Entra ID.

V některých případech můžou zásady všech cloudových aplikací neúmyslně blokovat přístup uživatelů. Tyto případy jsou vyloučené z vynucování zásad a zahrnují:

  • Služby potřebné k dosažení požadovaného stavu zabezpečení. Volání registrace zařízení jsou například vyloučená ze zásad zařízení vyhovujících předpisům určeným pro všechny cloudové aplikace.

  • Volání azure AD Graphu a Microsoft Graphu pro přístup k profilu uživatele, členství ve skupinách a informacím o relacích, které běžně používají aplikace vyloučené ze zásad. Vyloučené obory jsou uvedeny následujícím způsobem. Souhlas se stále vyžaduje, aby aplikace používaly tato oprávnění.

    • Pro nativní klienty:
      • Azure AD Graph: e-mail, offline_access, openid, profil, User.Read
      • Microsoft Graph: e-mail, offline_access, openid, profil, User.Read, Lidé. Číst
    • Pro důvěrné a ověřené klienty:
      • Azure AD Graph: e-mail, offline_access, openid, profil, User.Read, User.Read.All a User.ReadBasic.All
      • Microsoft Graph: e-mail, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, Lidé. Číst, Lidé. Read.All, GroupMember.Read.All, Member.Read.Hidden

Akce uživatele

Akce uživatele jsou úkoly, které uživatel provádí. Podmíněný přístup v současné době podporuje dvě akce uživatele:

  • Registrace bezpečnostních informací: Tato akce uživatele umožňuje, aby zásady podmíněného přístupu vynucovaly, když se uživatelé, kteří mají povolenou kombinovanou registraci, pokusili zaregistrovat své bezpečnostní údaje. Další informace najdete v článku Kombinovaná registrace bezpečnostních informací.

Poznámka:

Při použití zásad, které cílí na akce uživatele pro registraci bezpečnostních údajů, pokud je uživatelský účet hostem z osobního účtu Microsoft (MSA) pomocí ovládacího prvku Vyžadovat vícefaktorové ověřování, bude vyžadovat, aby uživatel MSA zaregistroval bezpečnostní údaje v organizaci. Pokud je uživatel typu host od jiného poskytovatele, jako je Google, bude přístup zablokovaný.

  • Registrace nebo připojení zařízení: Tato akce uživatele umožňuje správcům vynutit zásady podmíněného přístupu, když uživatelé zaregistrují nebo připojí zařízení k Microsoft Entra ID. Poskytuje členitost při konfiguraci vícefaktorového ověřování pro registraci nebo připojování zařízení místo zásad v rámci celého tenanta, které aktuálně existují. Při této akci uživatele existují tři klíčové aspekty:
    • Require multifactor authentication je jediné řízení přístupu, které je k dispozici s touto akcí uživatele a všechny ostatní jsou zakázány. Toto omezení brání konfliktům s řízením přístupu, které jsou závislé na registraci zařízení Microsoft Entra nebo nejsou použitelné pro registraci zařízení Microsoft Entra.
    • Client apps, Filters for devicesa Device state podmínky nejsou k dispozici s touto akcí uživatele, protože jsou závislé na registraci zařízení Microsoft Entra k vynucení zásad podmíněného přístupu.
    • Pokud je u této akce uživatele povolená zásada podmíněného přístupu, musíte nastavit zařízení s přehledem>identit>>Nastavení - Devices to be Microsoft Entra joined or Microsoft Entra registered require multifactor authentication na Ne. Jinak se zásady podmíněného přístupu s touto akcí uživatele nevynucuje správně. Další informace o tomto nastavení zařízení najdete v části Konfigurace nastavení zařízení.

Profily předávání přenosů

Profily předávání přenosů v globálním zabezpečeném přístupu umožňují správcům definovat a řídit směrování provozu přes Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup. Profily předávání přenosů je možné přiřadit zařízením a vzdáleným sítím. Příklad použití zásad podmíněného přístupu pro tyto profily přenosů najdete v článku Postup použití zásad podmíněného přístupu pro profil provozu Microsoftu 365.

Další informace o těchtoprofilech

Kontext ověřování

Kontext ověřování je možné použít k dalšímu zabezpečení dat a akcí v aplikacích. Těmito aplikacemi můžou být vaše vlastní aplikace, vlastní obchodní aplikace (LOB), aplikace typu SharePoint nebo aplikace chráněné Microsoft Defenderem for Cloud Apps.

Organizace může například uchovávat soubory na sharepointových webech, jako je obědová nabídka nebo tajný recept na bbq omáčku. Každý může mít přístup k webu obědových nabídek, ale uživatelé, kteří mají přístup k tajnému webu receptu bbq omáčky, mohou potřebovat přístup ze spravovaného zařízení a souhlasit s konkrétními podmínkami použití.

Kontext ověřování funguje s uživateli nebo identitami úloh, ale ne ve stejných zásadách podmíněného přístupu.

Konfigurace kontextů ověřování

Kontexty ověřování se spravují v rámci kontextu ověřování podmíněného přístupu ochrany>>.

Snímek obrazovky znázorňující správu kontextů ověřování

Výběrem možnosti Nový kontext ověřování vytvořte nové definice kontextu ověřování. Organizace jsou omezené na celkem 99 definic kontextu ověřování c1-c99. Nakonfigurujte následující atributy:

  • Zobrazovaný název je název, který slouží k identifikaci kontextu ověřování v MICROSOFT Entra ID a napříč aplikacemi, které využívají kontexty ověřování. Doporučujeme použít názvy, které se dají použít napříč prostředky, jako jsou důvěryhodná zařízení, a snížit tak počet potřebných kontextů ověřování. Snížením nastaveného limitu je počet přesměrování a poskytuje lepší prostředí pro koncové uživatele.
  • Popis obsahuje další informace o zásadách používaných správci a těmi, kteří používají kontexty ověřování na prostředky.
  • Zaškrtávací políčko Publikovat do aplikací , když je zaškrtnuté, inzeruje kontext ověřování aplikacím a zpřístupní je pro přiřazení. Pokud není zaškrtnuté, kontext ověřování není pro podřízené prostředky dostupný.
  • ID je jen pro čtení a používá se v tokenech a aplikacích pro definice kontextu ověřování specifické pro požadavky. Tady je uvedeno pro řešení potíží a případy použití vývoje.

Přidání do zásad podmíněného přístupu

Správa istrátory můžou v zásadách podmíněného přístupu vybrat publikované kontexty ověřování v části Přiřazení cloudových aplikací nebo akcí a výběr kontextu ověřování v nabídce Vyberte, co se tato zásada týká.>

Snímek obrazovky znázorňující, jak přidat kontext ověřování podmíněného přístupu do zásady

Odstranění kontextu ověřování

Když odstraníte kontext ověřování, ujistěte se, že ho stále nepoužívají žádné aplikace. V opačném případě už není přístup k datům aplikace chráněný. Tento požadavek můžete potvrdit kontrolou protokolů přihlašování v případech, kdy se použijí zásady podmíněného přístupu kontextu ověřování.

Pokud chcete odstranit kontext ověřování, nesmí mít přiřazené žádné zásady podmíněného přístupu a nesmí být publikovány do aplikací. Tento požadavek pomáhá zabránit náhodnému odstranění kontextu ověřování, který se stále používá.

Označování prostředků pomocí kontextů ověřování

Další informace o použití kontextu ověřování v aplikacích najdete v následujících článcích.

Další kroky