Aplikovat zásady podmíněného přístupu na provoz globálního zabezpečeného přístupu
Zásady podmíněného přístupu uplatníte na globální zabezpečený přístup. Pomocí podmíněného přístupu můžete pro přístup k prostředkům Microsoftu vyžadovat vícefaktorové ověřování a dodržování předpisů zařízením.
Tento článek popisuje, jak použít zásady podmíněného přístupu na internetový provoz v rámci Global Secure Access.
- Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
- Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
- Role Správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu.
- Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
Vytvořte zásady podmíněného přístupu zaměřující se na internetový provoz služby Global Secure Access.
Následující ukázkové zásady cílí na všechny uživatele s výjimkou vašich účtů se zalomeným sklem a hostů nebo externích uživatelů, které vyžadují vícefaktorové ověřování, dodržování předpisů zařízením nebo hybridní zařízení připojené k Microsoftu Entra pro internetový provoz globálního zabezpečeného přístupu.
Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
Přejděte k podmíněnému přístupu služby Identity>Protection.>
Vyberte Vytvořit novou zásadu.
Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
V části Přiřazenízvolte odkaz Uživatelé a skupiny.
- V části Zahrnout vyberte Možnost Všichni uživatelé.
- V části Vyloučit:
- Vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
- Vyberte hosta nebo externí uživatele a zaškrtněte všechna políčka.
V sekci Cílové prostředky>(dříve cloudové aplikace) prostředky.
- Zvolte Všechny internetové prostředky s globálním zabezpečeným přístupem.
Poznámka
Pokud chcete vynutit pouze profil předávání přenosů pro přístup na internet a nevynutit profil předávání přenosů pro Microsoft, pak zvolte Vybrat prostředky, v nástroji pro výběr aplikací vyberte internetové zdroje a nakonfigurujte zabezpečovací profil.
V části Řízení>přístupu Udělení.
- Vyberte Vyžadovat vícefaktorové ověřování, Vyžadovat, aby zařízení bylo označené jako vyhovující, a vyžadovat hybridní zařízení připojené k Microsoftu Entra.
- U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
- Zvolte Zvolit.
Jakmile správci potvrdí nastavení zásad pomocí režimu jen pro sestavy, může správce přesunout přepínač Povolit zásadupouze ze sestavy na Zapnuto.
Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:
-
Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
- Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
-
Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
- Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.
Dalším krokem pro zahájení práce s Microsoft Entra Přístup k Internetu je kontrola protokolů globálního zabezpečeného přístupu.
Další informace o přesměrování provozu najdete v následujících článcích: