Podmíněný přístup: Filtrování aplikací

V současné době se zásady podmíněného přístupu dají použít pro všechny aplikace nebo pro jednotlivé aplikace. Organizace s velkým počtem aplikací můžou tento proces těžko spravovat napříč několika zásadami podmíněného přístupu.

Filtry aplikací pro podmíněný přístup umožňují organizacím označit instanční objekty vlastními atributy. Tyto vlastní atributy se pak přidají do zásad podmíněného přístupu. Filtry pro aplikace se vyhodnocují za běhu vystavování tokenů. Běžnou otázkou je, jestli se aplikace přiřazují za běhu nebo v době konfigurace.

V tomto dokumentu vytvoříte vlastní sadu atributů, přiřadíte aplikaci vlastní atribut zabezpečení a vytvoříte zásady podmíněného přístupu pro zabezpečení aplikace.

Přiřazení rolí

Vlastní atributy zabezpečení jsou citlivé na zabezpečení a dají se spravovat jenom delegovanými uživateli. I globální Správa istrátory nemají výchozí oprávnění pro vlastní atributy zabezpečení. Některé z následujících rolí by měly být přiřazeny uživatelům, kteří tyto atributy spravují nebo hlásí.

Název role	Popis
Přiřazení atributů Správa istrator	Přiřaďte vlastní klíče atributů zabezpečení a hodnoty podporovaným objektům Microsoft Entra.
Čtenář přiřazení atributů	Přečtěte si vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra.
Definice atributu Správa istrator	Definujte a spravujte definici vlastních atributů zabezpečení.
Čtečka definic atributů	Přečtěte si definici vlastních atributů zabezpečení.

Přiřaďte příslušné role uživatelům, kteří spravují nebo hlásí tyto atributy v oboru adresáře. Podrobný postup najdete v tématu Přiřazení role.

Vytváření vlastních atributů zabezpečení

Podle pokynů v článku přidejte nebo deaktivujte vlastní atributy zabezpečení v Microsoft Entra ID přidat následující sadu atributů a nové atributy.

• Vytvořte sadu atributů s názvem ConditionalAccessTest.
• Vytvořte nové atributy s názvem policyRequirement, které umožňují přiřazení více hodnot a umožňují přiřazení pouze předdefinovaných hodnot. Přidáme následující předdefinované hodnoty:
  • legacyAuthAllowed
  • blockGuestUsers
  • requireMFA
  • requireCompliantDevice
  • requireHybridJoinedDevice
  • requireCompliantApp

Poznámka:

Filtry podmíněného přístupu pro aplikace fungují jenom s vlastními atributy zabezpečení typu "string". Vlastní atributy zabezpečení podporují vytváření logického datového typu, ale zásady podmíněného přístupu podporují pouze řetězec.

Vytvořte zásady podmíněného přístupu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator a čtenář definic atributů.
2. Přejděte k podmíněnému přístupu k ochraně>.
3. Vyberte Možnost Nová zásada.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Možnost Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
   3. Vyberte Hotovo.
6. V části Cílové prostředky vyberte následující možnosti:
   1. Vyberte, co se tato zásada týká cloudových aplikací.
   2. Zahrnout vybrané aplikace.
   3. Vyberte Upravit filtr.
   4. Nastavte možnost Konfigurovat na hodnotu Ano.
   5. Vyberte atribut, který jsme vytvořili dříve s názvem policyRequirement.
   6. Nastavit operátor obsahuje.
   7. Nastavte hodnotu tak, aby vyžadovala vícefaktorové ověřování.
   8. Vyberte Hotovo.
7. V části Řízení>přístupu Udělení, vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a vyberte Vybrat.
8. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Konfigurace vlastních atributů

Krok 1: Nastavení ukázkové aplikace

Pokud už máte testovací aplikaci, která využívá instanční objekt, můžete tento krok přeskočit.

Nastavte ukázkovou aplikaci, která předvádí, jak může úloha nebo služba Systému Windows běžet s identitou aplikace místo identity uživatele. Postupujte podle pokynů v článku Rychlý start: Získání tokenu a volání rozhraní Microsoft Graph API pomocí identity konzolové aplikace k vytvoření této aplikace.

Krok 2: Přiřazení vlastního atributu zabezpečení k aplikaci

Pokud ve svém tenantovi nemáte uvedený instanční objekt, nejde na něj cílit. Sada Office 365 je příkladem jednoho takového instančního objektu.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator a přiřazení atributů Správa istrator.
2. Přejděte k podnikovým aplikacím> identit.>
3. Vyberte instanční objekt, na který chcete použít vlastní atribut zabezpečení.
4. V části Spravovat>vlastní atributy zabezpečení vyberte Přidat přiřazení.
5. V části Sada atributů vyberte ConditionalAccessTest.
6. V části Název atributu vyberte policyRequirement.
7. V části Přiřazené hodnoty vyberte Přidat hodnoty, v seznamu vyberte vyžadovatMFA a pak vyberte Hotovo.
8. Zvolte Uložit.

Krok 3: Otestování zásad

Přihlaste se jako uživatel, na kterého se zásady vztahují, a otestujte, jestli se při přístupu k aplikaci vyžaduje vícefaktorové ověřování.

Další scénáře

• Blokování starší verze ověřování
• Blokování externího přístupu k aplikacím
• Vyžadování kompatibilních zásad ochrany zařízení nebo aplikací Intune
• Vynucení ovládacích prvků frekvence přihlašování pro konkrétní aplikace
• Vyžadování pracovní stanice s privilegovaným přístupem pro konkrétní aplikace
• Vyžadování řízení relací pro vysoce rizikové uživatele a konkrétní aplikace

Související obsah

Šablony podmíněného přístupu

Určení efektu pomocí režimu pouze sestavy podmíněného přístupu

Pomocí režimu jen pro podmíněný přístup můžete určit výsledky nových rozhodnutí o zásadách.