Podmíněný přístup: Relace

  • Článek

V rámci zásad podmíněného přístupu může správce používat ovládací prvky relace k povolení omezených prostředí v konkrétních cloudových aplikacích.

Zásady podmíněného přístupu s řízením udělení vyžadujícím vícefaktorové ověřování

Vynucená omezení aplikací

Organizace mohou pomocí tohoto ovládacího prvku vyžadovat, aby služba Microsoft Entra ID předávala informace o zařízení do vybraných cloudových aplikací. Informace o zařízení umožňují cloudovým aplikacím zjistit, jestli připojení pochází z kompatibilního zařízení nebo ze zařízení připojeného k doméně, a aktualizovat prostředí relace. Pokud je tato možnost vybraná, cloudová aplikace pomocí informací o zařízení poskytuje uživatelům omezené nebo úplné prostředí. Omezeno, pokud zařízení není spravované nebo vyhovující a úplné, když je zařízení spravované a vyhovující.

Seznam podporovaných aplikací a postup konfigurace zásad najdete v následujících článcích:

Řízení aplikace podmíněného přístupu

Řízení podmíněného přístupu k aplikacím používá architekturu reverzního proxy serveru a je jedinečně integrovaná s podmíněným přístupem Microsoft Entra. Podmíněný přístup Microsoft Entra umožňuje vynucovat řízení přístupu v aplikacích vaší organizace na základě určitých podmínek. Podmínky definují, na jakého uživatele nebo skupinu uživatelů, cloudových aplikací a umístění a sítí se vztahují zásady podmíněného přístupu. Jakmile určíte podmínky, můžete uživatele směrovat do Programu Microsoft Defender for Cloud Apps , kde můžete chránit data pomocí řízení podmíněného přístupu k aplikacím pomocí řízení přístupu a relací.

Řízení podmíněného přístupu k aplikacím umožňuje monitorování a řízení přístupu k uživatelským aplikacím a relacím v reálném čase na základě zásad přístupu a relací. Zásady přístupu a relací se používají na portálu Defender for Cloud Apps k upřesnění filtrů a nastavení akcí, které se mají provést. Pomocí zásad přístupu a relací můžete:

  • Zabránit exfiltraci dat: Můžete blokovat stahování, vyjmutí, kopírování a tisk citlivých dokumentů například na nespravovaných zařízeních.
  • Ochrana při stahování: Místo blokování stahování citlivých dokumentů můžete vyžadovat, aby byly dokumenty označené a chráněné pomocí služby Azure Information Protection. Tato akce zajistí, že je dokument chráněný a přístup uživatelů je omezen v potenciálně rizikové relaci.
  • Zabránit nahrání neoznačeného souboru: Před nahráním, distribucí a používáním citlivého souboru je důležité zajistit, aby soubor mělo správný popisek a ochranu. Můžete zajistit, aby se neoznačené soubory s citlivým obsahem neodesílaly, dokud uživatel obsah klasifikuje.
  • Monitorování uživatelských relací pro dodržování předpisů (Preview): Rizikoví uživatelé se monitorují, když se přihlásí k aplikacím a jejich akce se zaprotokolují v rámci relace. Můžete prozkoumat a analyzovat chování uživatelů, abyste pochopili, kde a za jakých podmínek by se zásady relací měly v budoucnu použít.
  • Blokovat přístup (Preview): Přístup ke konkrétním aplikacím a uživatelům můžete odstupňovaně blokovat v závislosti na několika rizikových faktorech. Můžete je například zablokovat, pokud používají klientské certifikáty jako formu správy zařízení.
  • Blokovat vlastní aktivity: Některé aplikace mají jedinečné scénáře, které riskují, například odesílání zpráv s citlivým obsahem v aplikacích, jako je Microsoft Teams nebo Slack. V těchto scénářích můžete vyhledat citlivý obsah a blokovat je v reálném čase.

Další informace najdete v článku Nasazení řízení podmíněného přístupu k aplikacím pro doporučené aplikace.

Frekvence přihlašování

Frekvence přihlašování definuje časové období, po jehož uplynutí se uživateli při pokusu o přístup k prostředku zobrazí výzva k opětovnému přihlášení. Správa istrátory můžou vybrat časové období (hodiny nebo dny) nebo vyžadovat opakované ověření pokaždé.

Nastavení frekvence přihlašování funguje s aplikacemi, které implementují protokoly OAUTH2 nebo OIDC podle standardů. Většina nativních aplikací Microsoftu pro Windows, Mac a Mobile, včetně následujících webových aplikací, se řídí nastavením.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • portál Správa Microsoftu 365
  • Exchange Online
  • SharePoint a OneDrive
  • Webový klient Teams
  • Dynamics CRM Online
  • portál Azure

Další informace najdete v článku Konfigurace správy relací ověřování pomocí podmíněného přístupu.

Trvalá relace prohlížeče

Trvalá relace prohlížeče umožňuje uživatelům zůstat přihlášeni po zavření a opětovném otevření okna prohlížeče.

Další informace najdete v článku Konfigurace správy relací ověřování pomocí podmíněného přístupu.

Přizpůsobení nepřetržitého vyhodnocování přístupu

Průběžné vyhodnocování přístupu je automaticky povolené jako součást zásad podmíněného přístupu organizace. Pro organizace, které chtějí zakázat nepřetržité vyhodnocování přístupu, je tato konfigurace nyní jako možnost v řízení relace v rámci podmíněného přístupu. Zásady nepřetržitého vyhodnocování přístupu můžou být vymezeny pro všechny uživatele nebo konkrétní uživatele a skupiny. Správci můžou při vytváření nové zásady nebo při úpravách stávajících zásad podmíněného přístupu provést následující výběr.

  • Zakázat práci pouze v případě, že jsou vybrány všechny cloudové aplikace, nejsou vybrány žádné podmínky a v zásadách podmíněného přístupu je vybrána >možnost Zakázat. Můžete se rozhodnout zakázat všechny uživatele nebo konkrétní uživatele a skupiny.

Snímek obrazovky znázorňující Nastavení CAE v nové zásadě podmíněného přístupu

Zákaz výchozích hodnot odolnosti

Během výpadku rozšiřuje ID Microsoft Entra přístup k existujícím relacím při vynucování zásad podmíněného přístupu.

Pokud jsou výchozí hodnoty odolnosti zakázané, přístup se po vypršení platnosti existujících relací odepře. Další informace najdete v článku Podmíněný přístup: Výchozí nastavení odolnosti.

Vyžadování ochrany tokenů pro přihlašovací relace (Preview)

Ochrana tokenů (někdy označovaná jako vazba tokenu v oboru) se pokouší omezit útoky pomocí krádeže tokenů tím, že zajistí, že token bude použitelný jenom ze zamýšleného zařízení. Když útočník dokáže token odcizit nebo přehráním, může zosobnit svou oběť, dokud nevyprší platnost tokenu nebo se neodvolá. Krádež tokenu je považována za relativně vzácnou událost, ale poškození z něj může být významné.

Verze Preview funguje jenom pro konkrétní scénáře. Další informace najdete v článku Podmíněný přístup: Ochrana tokenů (Preview).

Použití profilu zabezpečení globálního zabezpečeného přístupu (Preview)

Použití profilu zabezpečení s podmíněným přístupem sjednocuje řízení identit s zabezpečením sítě v produktu Microsoft Security Service Edge (SSE) Microsoft Entra Přístup k Internetu. Výběrem tohoto ovládacího prvku Relace můžete do profilů zabezpečení přenést povědomí o identitě a kontextu, což jsou seskupení různých zásad vytvořených a spravovaných v globálním zabezpečeném přístupu.

Další kroky