Co je podmíněný přístup?

Moderní bezpečnostní perimetr teď přesahuje síť organizace a zahrnuje identitu uživatele a zařízení. Organizace můžou v rámci svých rozhodnutí o řízení přístupu používat signály řízené identitami.

Podmíněný přístup spojuje signály, aby se mohla činit rozhodnutí a vynucovat zásady organizace. Azure AD podmíněný přístup je jádrem nové řídicí roviny řízené identitou.

Koncepční podmíněný signál a rozhodnutí o získání vynucování

Zásady podmíněného přístupu jsou v nejjednodušším případě příkazy if-then. Pokud chce uživatel získat přístup k prostředku, musí provést akci. Příklad: Správce mezd chce získat přístup k mzdové aplikaci a pro přístup k ní musí provést vícefaktorové ověřování.

Správci stojí před dvěma hlavními cíli:

  • Umožnit uživatelům být produktivní kdykoli a kdekoli
  • Ochrana prostředků organizace

Pomocí zásad podmíněného přístupu můžete v případě potřeby použít správné řízení přístupu, aby vaše organizace zůstala zabezpečená.

Koncepční tok procesu podmíněného přístupu

Důležité

Zásady podmíněného přístupu se vynucují po dokončení ověřování prvním faktorem. Podmíněný přístup nemá být první obrannou linií organizace pro scénáře, jako jsou útoky na dostupnost služby (DoS), ale může využívat signály z těchto událostí k určení přístupu.

Běžné signály

Mezi běžné signály, které podmíněný přístup může vzít v úvahu při rozhodování o zásadách, patří následující signály:

  • Členství uživatelů nebo skupin
    • Zásady můžou být cílené na konkrétní uživatele a skupiny, které správcům poskytují přesnou kontrolu nad přístupem.
  • Informace o umístění IP adresy
    • Organizace můžou vytvářet důvěryhodné rozsahy IP adres, které se dají použít při rozhodování o zásadách.
    • Správci můžou určit rozsahy IP adres celých zemí nebo oblastí, ze kterých se mají blokovat nebo povolit provoz.
  • Zařízení
    • Při vynucování zásad podmíněného přístupu je možné použít uživatele se zařízeními konkrétních platforem nebo označenými určitým stavem.
    • Pomocí filtrů pro zařízení můžete cílit zásady na konkrétní zařízení, jako jsou pracovní stanice s privilegovaným přístupem.
  • Aplikace
    • Uživatelé, kteří se pokoušejí o přístup ke konkrétním aplikacím, můžou aktivovat různé zásady podmíněného přístupu.
  • Detekce rizik v reálném čase a vypočítaná detekce
    • Integrace signálů se službou Azure AD Identity Protection umožňuje zásadám podmíněného přístupu identifikovat rizikové chování při přihlašování. Zásady pak můžou uživatele donutit, aby si změnili heslo, aby si pomocí vícefaktorového ověřování snížili úroveň rizika nebo zablokovali přístup, dokud správce neprojde ruční akcí.
  • Microsoft Defender for Cloud Apps
    • Umožňuje monitorování a řízení přístupu k uživatelským aplikacím a relacím v reálném čase, což zvyšuje viditelnost a kontrolu nad přístupem k aktivitám a činnostem, které se provádějí ve vašem cloudovém prostředí.

Běžná rozhodnutí

  • Blokování přístupu
    • Nejvíce omezující rozhodnutí
  • Udělení přístupu
    • Nejméně omezující rozhodnutí, může stále vyžadovat jednu nebo více z následujících možností:
      • Vyžadovat vícefaktorové ověřování
      • Vyžadovat, aby zařízení bylo označeno jako vyhovující
      • Vyžadovat zařízení připojené k hybridní Azure AD
      • Vyžadovat schválenou klientskou aplikaci
      • Vyžadovat zásady ochrany aplikací (Preview)

Běžně používané zásady

Mnoho organizací má běžné obavy o přístup, se kterými můžou zásady podmíněného přístupu pomoct , například:

  • Vyžadování vícefaktorového ověřování pro uživatele s rolemi správce
  • Vyžadování vícefaktorového ověřování pro úlohy správy Azure
  • Blokování přihlášení uživatelů, kteří se pokoušejí použít starší ověřovací protokoly
  • Vyžadování důvěryhodných umístění pro registraci vícefaktorového ověřování Azure AD
  • Blokování nebo udělení přístupu z konkrétních umístění
  • Blokování rizikového chování při přihlašování
  • Vyžadování zařízení spravovaných organizací pro konkrétní aplikace

Licenční požadavky

Použití této funkce vyžaduje Azure AD Premium P1 licence. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Azure AD.

Zákazníci s licencemi Microsoft 365 Business Premium mají přístup i k funkcím podmíněného přístupu.

Zásady založené na rizicích vyžadují přístup ke službě Identity Protection, což je funkce Azure AD P2.

Další produkty a funkce, které mohou spolupracovat se zásadami podmíněného přístupu, vyžadují příslušné licence pro tyto produkty a funkce.

Když vyprší platnost licencí požadovaných pro podmíněný přístup, zásady se automaticky nezaknou ani neodstraní, aby zákazníci mohli zásady podmíněného přístupu migrovat bez náhlé změny stavu zabezpečení. Zbývající zásady se dají zobrazit a odstranit, ale už se neaktualizují.

Výchozí nastavení zabezpečení pomáhají chránit před útoky souvisejícími s identitami a jsou k dispozici pro všechny zákazníky.

Další kroky