Vytvoření zásad podmíněného přístupu

Jak je vysvětleno v článku Co je podmíněný přístup, zásady podmíněného přístupu jsou příkazem if-then, přiřazení a řízení přístupu. Zásady podmíněného přístupu spojují signály, aby se mohli rozhodovat a vynucovat zásady organizace.

Jak organizace tyto zásady vytváří? Co je potřeba? Jak se používají?

Podmíněný přístup (signály + rozhodnutí + vynucování = zásady)

U jednotlivých uživatelů se může kdykoli použít více zásad podmíněného přístupu. V takovém případě musí být splněny všechny zásady, které platí. Pokud například jedna zásada vyžaduje vícefaktorové ověřování (MFA) a další vyžaduje zařízení vyhovující předpisům, musíte provést vícefaktorové ověřování a použít zařízení vyhovující předpisům. Všechna přiřazení jsou logicky anDed. Pokud jste nakonfigurovali více než jedno přiřazení, musí být pro aktivaci zásady splněné všechna přiřazení.

Pokud je vybrána zásada, ve které je vybrána možnost Vyžadovat jeden z vybraných ovládacích prvků, zobrazí se výzva v definovaném pořadí, jakmile budou splněny požadavky na zásady, přístup se udělí.

Všechny zásady se vynucují ve dvou fázích:

Přiřazení

Část přiřazení řídí, kdo, co a kde zásady podmíněného přístupu.

Uživatelé a skupiny

Uživatelé a skupiny přiřazují, kteří zásady budou zahrnovat nebo vyloučit. Toto přiřazení může zahrnovat všechny uživatele, konkrétní skupiny uživatelů, role adresáře nebo externí uživatele typu host.

Cloudové aplikace nebo akce

Cloudové aplikace nebo akce můžou zahrnovat nebo vyloučit cloudové aplikace, akce uživatelů nebo kontexty ověřování, které budou podléhat zásadám.

Podmínky

Zásada může obsahovat více podmínek.

Riziko přihlášení

Pro organizace s Azure AD Identity Protection můžou detekce rizik vygenerované tam ovlivnit zásady podmíněného přístupu.

Platformy zařízení

Organizace s více platformami operačního systému zařízení mohou chtít vynucovat konkrétní zásady na různých platformách.

Informace používané k výpočtu platformy zařízení pocházejí z neověřených zdrojů, jako jsou řetězce uživatelského agenta, které lze změnit.

Umístění

Data o poloze jsou poskytována geografickými daty IP adres. Správci se můžou rozhodnout definovat umístění a označit některá jako důvěryhodná pro síťová umístění své organizace.

Klientské aplikace

Software, který uživatel používá pro přístup ke cloudové aplikaci. Například Prohlížeč a Mobilní aplikace a desktopoví klienti. Ve výchozím nastavení se všechny nově vytvořené zásady podmíněného přístupu použijí na všechny typy klientských aplikací i v případě, že není nakonfigurovaná podmínka klientských aplikací.

Chování podmínky klientských aplikací bylo aktualizováno v srpnu 2020. Pokud máte existující zásady podmíněného přístupu, zůstanou beze změny. Pokud ale vyberete existující zásadu, přepínač konfigurace byl odebrán a klientské aplikace, na které se zásada vztahuje, jsou vybrány.

Stav zařízení

Tento ovládací prvek slouží k vyloučení zařízení, která jsou připojená k hybridnímu Azure AD nebo jsou označená jako kompatibilní v Intune. Toto vyloučení je možné provést, aby se blokovala nespravovaná zařízení.

Filtrování pro zařízení

Tento ovládací prvek umožňuje cílení konkrétních zařízení na základě jejich atributů v zásadách.

Řízení přístupu

Část zásad podmíněného přístupu řídí způsob vynucení zásady přístupu.

Oprávnění

Udělení poskytuje správcům prostředky vynucení zásad, kde můžou blokovat nebo udělit přístup.

Blokování přístupu

Blokování přístupu to jenom dělá, bude blokovat přístup pod zadanými přiřazeními. Řízení bloků je výkonné a mělo by být vybaveno příslušnými znalostmi.

Udělení přístupu

Řízení udělení může aktivovat vynucení jednoho nebo více ovládacích prvků.

  • Vyžadovat vícefaktorové ověřování
  • Vyžadovat, aby zařízení bylo označené jako vyhovující (Intune)
  • Vyžadovat zařízení připojené k hybridnímu Azure AD
  • Vyžadovat schválenou klientskou aplikaci
  • Vyžadování zásad ochrany aplikací
  • Vyžadovat změnu hesla
  • Vyžadování podmínek použití

Správci můžou vyžadovat jeden z předchozích ovládacích prvků nebo všechny vybrané ovládací prvky pomocí následujících možností. Výchozí pro více ovládacích prvků je vyžadovat vše.

  • Vyžadovat všechny vybrané ovládací prvky (ovládací prvek a ovládací prvek)
  • Vyžadovat jeden z vybraných ovládacích prvků (ovládací prvek nebo ovládací prvek)

Relace

Ovládací prvky relací můžou omezit prostředí.

  • Použití omezení vynucených aplikací
    • V současné době funguje jenom se službou Exchange Online a SharePointEm Online.
    • Předá informace o zařízení, aby bylo možné řídit prostředí, které uděluje úplný nebo omezený přístup.
  • Používání Řízení podmíněného přístupu k aplikacím
    • Používá signály z Microsoft Defender for Cloud Apps k tomu, aby dělaly něco jako:
      • Blokování stahování, vyjmutí, kopírování a tisku citlivých dokumentů
      • Monitorování rizikového chování relace
      • Vyžadovat popisky citlivých souborů.
  • Frekvence přihlášení
    • Možnost změnit výchozí frekvenci přihlašování pro moderní ověřování
  • Trvalá relace prohlížeče
    • Umožňuje uživatelům zůstat přihlášeni po zavření a opětovném otevření okna prohlížeče.
  • Přizpůsobení průběžného vyhodnocování přístupu
  • Zakázání výchozích hodnot odolnosti

Jednoduché zásady

Zásady podmíněného přístupu musí obsahovat minimálně následující, které se mají vynutit:

  • Název zásady.
  • Přiřazení
    • Uživatelé a/nebo skupiny , na které se zásady vztahují.
    • Cloudové aplikace nebo akce , na které se mají zásady aplikovat.
  • Ovládací prvky přístupu
    • Udělení nebo blokování ovládacích prvků

Prázdné zásady podmíněného přístupu

Článek Běžné zásady podmíněného přístupu zahrnují některé zásady, o nichž si myslíme, že by pro většinu organizací byly užitečné.

Další kroky

Vytvoření zásady podmíněného přístupu

Simulace chování přihlašování pomocí nástroje Citlivostní analýza podmíněného přístupu

Plánování nasazení cloudové služby Azure AD Multi-Factor Authentication

Správa dodržování předpisů zařízením pomocí Intune

Microsoft Defender for Cloud Apps a podmíněný přístup