Podmíněný přístup: Relace

  • Článek

V rámci zásad podmíněného přístupu může správce využít řízení relací k povolení omezeného prostředí v konkrétních cloudových aplikacích.

Zásady podmíněného přístupu s řízením udělení oprávnění vyžadujícím vícefaktorové ověřování

Omezení vynucená aplikací

Organizace můžou pomocí tohoto ovládacího prvku vyžadovat, aby Azure AD předávaly informace o zařízení vybraným cloudovým aplikacím. Informace o zařízení umožňují cloudovým aplikacím zjistit, jestli připojení pochází z kompatibilního zařízení nebo ze zařízení připojeného k doméně, a aktualizovat prostředí relace. Tento ovládací prvek podporuje jenom Office 365, SharePoint Online a Exchange Online jako vybrané cloudové aplikace. Pokud je tato možnost vybraná, použije cloudová aplikace informace o zařízení k tomu, aby uživatelům poskytla omezené nebo úplné prostředí. Omezené, pokud zařízení není spravované nebo vyhovující, a úplné, pokud je zařízení spravované a dodržují předpisy.

Další informace o využití a konfiguraci omezení vnucených aplikací najdete v následujících článcích:

Řízení podmíněného přístupu k aplikacím

Řízení podmíněného přístupu k aplikacím používá architekturu reverzního proxy serveru a je jedinečně integrované s Azure AD podmíněným přístupem. Azure AD podmíněný přístup umožňuje vynutit řízení přístupu v aplikacích vaší organizace na základě určitých podmínek. Podmínky definují, na jaké uživatele nebo skupinu uživatelů, cloudové aplikace, umístění a sítě se zásady podmíněného přístupu vztahují. Po určení podmínek můžete uživatele směrovat na Microsoft Defender for Cloud Apps, kde můžete chránit data pomocí řízení podmíněného přístupu k aplikacím pomocí řízení přístupu a relací.

Řízení podmíněného přístupu k aplikacím umožňuje monitorovat a řídit přístup k uživatelským aplikacím a relacím v reálném čase na základě zásad přístupu a relací. Zásady přístupu a relací se používají na portálu Defender for Cloud Apps k upřesnění filtrů a nastavení akcí, které se mají provést. Pomocí zásad přístupu a relací můžete:

  • Zabránit exfiltraci dat: Stahování, vyjmutí, kopírování a tisk citlivých dokumentů můžete blokovat například na nespravovaných zařízeních.
  • Ochrana při stahování: Místo blokování stahování citlivých dokumentů můžete vyžadovat, aby byly dokumenty označené a chráněné pomocí Azure Information Protection. Tato akce zajistí ochranu dokumentu a omezení přístupu uživatelů v potenciálně rizikové relaci.
  • Zabránit nahrání neoznačené soubory: Před nahráním, distribucí a používáním citlivých souborů je důležité zajistit, aby soubor byl označen správným popiskem a ochranou. Můžete zajistit, aby se neoznačené soubory s citlivým obsahem nahrály, dokud uživatel obsah nezařadí.
  • Monitorování uživatelských relací z hlediska dodržování předpisů (Preview): Rizikoví uživatelé jsou monitorováni, když se přihlašují k aplikacím, a jejich akce se protokolují v rámci relace. Můžete prozkoumat a analyzovat chování uživatelů, abyste pochopili, kde a za jakých podmínek by se zásady relací měly v budoucnu uplatňovat.
  • Blokovat přístup (Preview): V závislosti na několika rizikových faktorech můžete blokovat přístup pro konkrétní aplikace a uživatele. Můžete je například zablokovat, pokud používají klientské certifikáty jako formu správy zařízení.
  • Blokovat vlastní aktivity: Některé aplikace mají jedinečné scénáře, které s sebou nesou riziko, například odesílání zpráv s citlivým obsahem v aplikacích, jako je Microsoft Teams nebo Slack. V těchto typech scénářů můžete ve zprávách vyhledávat citlivý obsah a blokovat ho v reálném čase.

Další informace najdete v článku Nasazení řízení podmíněného přístupu k aplikacím pro vybrané aplikace.

Frekvence přihlašování

Frekvence přihlašování definuje časové období, po jehož uplynutí se uživateli při pokusu o přístup k prostředku zobrazí výzva k opětovnému přihlášení. Správci můžou vybrat časové období (hodiny nebo dny) nebo se rozhodnout, že budou pokaždé vyžadovat opakované ověření.

Nastavení frekvence přihlašování funguje pro aplikace, které mají implementované protokoly OAUTH2 nebo OIDC v souladu se standardy. Nastavení se řídí většinou nativních aplikací Microsoftu pro Windows, Mac a Mobile, včetně následujících webových aplikací.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • portál Správa Microsoftu 365
  • Exchange Online
  • SharePoint a OneDrive
  • Webový klient Teams
  • Dynamics CRM Online
  • portál Azure

Další informace najdete v článku Konfigurace správy relací ověřování pomocí podmíněného přístupu.

Trvalá relace prohlížeče

Trvalá relace prohlížeče umožňuje uživatelům zůstat přihlášeni po zavření a opětovném otevření okna prohlížeče.

Další informace najdete v článku Konfigurace správy relací ověřování pomocí podmíněného přístupu.

Přizpůsobení průběžného vyhodnocování přístupu

Nepřetržité vyhodnocování přístupu se automaticky povoluje jako součást zásad podmíněného přístupu organizace. Pro organizace, které chtějí zakázat nepřetržité vyhodnocování přístupu, je tato konfigurace nyní jako možnost v řízení relace v rámci podmíněného přístupu. Zásady nepřetržitého vyhodnocování přístupu můžou být vymezeny pro všechny uživatele nebo konkrétní uživatele a skupiny. Správci můžou při vytváření nové zásady nebo při úpravách stávajících zásad podmíněného přístupu provést následující výběr.

  • Zakázat funguje jenom v případě, že jsou vybrané Všechny cloudové aplikace, nejsou vybrané žádné podmínky a v části Relace>Přizpůsobit průběžné vyhodnocování v zásadách podmíněného přístupu je vybraná možnost Zakázat. Můžete zakázat všechny uživatele nebo konkrétní uživatele a skupiny.

Snímek obrazovky znázorňující nastavení CAE v nových zásadách podmíněného přístupu

Zákaz výchozích nastavení odolnosti

Během výpadku Azure AD rozšiřuje přístup k existujícím relacím a současně vynucuje zásady podmíněného přístupu.

Pokud jsou výchozí hodnoty odolnosti zakázané, po vypršení platnosti existujících relací se přístup odepře. Další informace najdete v článku Podmíněný přístup: Výchozí hodnoty odolnosti.

Vyžadování ochrany tokenu pro relace přihlašování (Preview)

Ochrana tokenů (v oboru se někdy označuje jako vazba tokenů) se pokouší omezit útoky pomocí krádeže tokenu tím, že zajišťuje, aby token byl použitelný jenom ze zamýšleného zařízení. Když se útočníkovi podaří ukrást token napadením nebo přehráním tokenu, může se vydávat za svoji oběť, dokud token nevyprší platnost nebo dokud nebude odvolán. Krádež tokenu je považována za relativně vzácnou událost, ale poškození může být značné.

Verze Preview funguje pouze pro konkrétní scénáře. Další informace najdete v článku Podmíněný přístup: Ochrana tokenů (Preview).

Další kroky