Podmíněný přístup: Filtrování aplikací

V současné době se zásady podmíněného přístupu dají použít pro všechny aplikace nebo pro jednotlivé aplikace. Organizace s velkým počtem aplikací můžou tento proces těžko spravovat napříč několika zásadami podmíněného přístupu.

Filtry aplikací pro podmíněný přístup umožňují organizacím označit služební principály vlastními atributy. Tyto vlastní atributy se pak přidají do zásad podmíněného přístupu. Filtry pro aplikace se vyhodnocují za běhu vystavování tokenů, nikoli v konfiguraci.

V tomto dokumentu vytvoříte vlastní sadu atributů, přiřadíte aplikaci vlastní atribut zabezpečení a vytvoříte zásady podmíněného přístupu pro zabezpečení aplikace.

Přiřaďte role

Vlastní atributy zabezpečení jsou citlivé na zabezpečení a dají se spravovat jenom delegovanými uživateli. Některé z následujících rolí by měly být přiřazeny uživatelům, kteří tyto atributy spravují nebo hlásí.

Název role	Popis
Správce přiřazení atributů	Přiřaďte vlastní klíče atributů zabezpečení a hodnoty podporovaným objektům Microsoft Entra.
Čtenář přiřazení atributů	Přečtěte si vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra.
Správce definic atributů	Definujte a spravujte definici vlastních atributů zabezpečení.
Čtečka definic atributů	Přečtěte si definici vlastních atributů zabezpečení.

Přiřaďte příslušné role uživatelům, kteří spravují nebo hlásí tyto atributy v oboru adresáře. Podrobné kroky najdete v tématu Přiřazení rolí Microsoft Entra.

Důležité

Ve výchozím nastavení nemají globální správce a další role správců oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení.

Vytváření vlastních atributů zabezpečení

Podle pokynů v článku přidejte nebo deaktivujte vlastní atributy zabezpečení v Microsoft Entra ID přidat následující sadu atributů a nové atributy.

• Vytvořte sadu atributů s názvem ConditionalAccessTest.
• Vytvořte nové atributy s názvem policyRequirement , které umožňují přiřazení více hodnot a umožňují přiřazení pouze předdefinovaných hodnot. Přidáme následující předdefinované hodnoty:
  • povoleno zastaralé ověřování
  • blokovatHostujícíUživatelé
  • požadovat MFA
  • požadovat kompatibilní zařízení
  • requireHybridJoinedDevice (vyžadovat zařízení připojené k hybridní síti)
  • vyžadovat kompatibilní aplikaci

Poznámka:

Filtry podmíněného přístupu pro aplikace fungují pouze s vlastními atributy zabezpečení typu string. Vlastní atributy zabezpečení podporují vytváření logického datového typu, ale zásady podmíněného přístupu podporují stringpouze .

Vytvořte zásady podmíněného přístupu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu a čtenář definic atributů.
2. Přejděte do Entra ID>Podmíněný přístup.
3. Vyberte Nová zásada.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte havarijní účty nebo záložní účty vaší organizace.
   3. Vyberte Hotovo.
6. V části Cílové prostředky vyberte následující možnosti:
   1. Vyberte, co se tato zásada týká cloudových aplikací.
   2. Zahrnout Vybrat prostředky.
   3. Vyberte Upravit filtr.
   4. Nastavte možnost Konfigurovat na hodnotu Ano.
   5. Vyberte atribut , který jsme vytvořili dříve s názvem policyRequirement.
   6. Nastavte operátora na Obsahuje.
   7. Nastavte hodnotu tak, aby vyžadovala vícefaktorové ověřování.
   8. Vyberte Hotovo.
7. V části Řízení přístupu>Udělení přístupu, vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a vyberte Vybrat.
8. Potvrďte nastavení a nastavte Povolit zásady na pouze oznámení.
9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Po potvrzení nastavení pomocí režimu ovlivnění zásad nebo režimu pouze sestavy přesuňte přepínač Povolit zásadupouze ze sestavy do polohy Zapnuto.

Konfigurace vlastních atributů

Krok 1: Nastavení ukázkové aplikace

Pokud už máte testovací aplikaci, která využívá služební hlavní účet, můžete tento krok přeskočit.

Nastavte ukázkovou aplikaci, která předvádí, jak může úloha nebo služba Systému Windows běžet s identitou aplikace místo identity uživatele. Postupujte podle pokynů v článku Rychlý start: Získání tokenu a volání rozhraní Microsoft Graph API pomocí identity konzolové aplikace k vytvoření této aplikace.

Krok 2: Přiřazení vlastního atributu zabezpečení k aplikaci

Pokud ve svém tenantovi nemáte uvedenou entitu služby, nemůže být určen jako cíl. Sada Office 365 je příkladem jednoho takového služebního principálu.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) a správce přiřazení atributů.
2. Přejděte dopodnikové aplikace>.
3. Vyberte service principal, na který chcete použít vlastní atribut zabezpečení.
4. V části Spravovat>vlastní atributy zabezpečení vyberte Přidat přiřazení.
5. V části Sada atributů vyberte ConditionalAccessTest.
6. V části Název atributu vyberte policyRequirement.
7. V části Přiřazené hodnoty vyberte Přidat hodnoty, v seznamu vyberte vyžadovatMFA a pak vyberte Hotovo.
8. Vyberte Uložit.

Krok 3: Otestování zásad

Přihlaste se jako uživatel, na kterého se zásady vztahují, a otestujte, jestli se při přístupu k aplikaci vyžaduje vícefaktorové ověřování.

Další scénáře

• Blokování starého ověřování
• Blokování externího přístupu k aplikacím
• Vyžadování kompatibilních zásad ochrany zařízení nebo aplikací Intune
• Prosazení kontroly frekvence přihlášení u konkrétních aplikací
• Vyžadování pracovní stanice s privilegovaným přístupem pro konkrétní aplikace
• Vyžadování řízení relací pro vysoce rizikové uživatele a konkrétní aplikace

Související obsah

Šablony podmíněného přístupu

Určení efektu pomocí režimu pouze pro zprávy podmíněného přístupu

Použijte režim pouze pro hlášení pro podmíněný přístup, abyste zjistili výsledky nových rozhodnutí o zásadách.