Sdílet prostřednictvím

Použití zásad podmíněného přístupu pro profil provozu Microsoftu

  • Článek

S vyhrazeným profilem předávání přenosů pro provoz Microsoftu můžete použít zásady podmíněného přístupu na provoz Microsoftu. Pomocí podmíněného přístupu můžete pro přístup k prostředkům Microsoftu vyžadovat vícefaktorové ověřování a dodržování předpisů zařízením.

Tento článek popisuje, jak použít zásady podmíněného přístupu pro váš profil předávání přenosů Microsoftu.

Požadavky

  • Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
    • Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
    • Role Správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu.
  • Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.
  • Pokud chcete použít profil přesměrování provozu Microsoftu, doporučuje se licence Microsoftu 365 E3.

Vytvoření zásad podmíněného přístupu, které cílí na profil provozu Microsoftu

Následující ukázková zásada cílí na všechny uživatele s výjimkou vašich účtů break-glass a hosta/externích uživatelů, které vyžadují vícefaktorové ověřování, dodržování předpisů zařízením nebo hybridní zařízení připojené k Microsoftu Entra při přístupu k provozu Microsoftu.

Snímek obrazovky zobrazující zásady podmíněného přístupu, které cílí na profil provozu

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k podmíněnému přístupu služby Identity>Protection.>
  3. Vyberte Vytvořit novou zásadu.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Možnost Všichni uživatelé.
    2. V části Vyloučit:
      1. Vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
      2. Vyberte hosta nebo externí uživatele a zaškrtněte všechna políčka.
  6. V části Cílové prostředky>Globální zabezpečený přístup*.
    1. Zvolte provoz Microsoftu.
  7. V části Řízení>přístupu Udělení.
    1. Vyberte Vyžadovat vícefaktorové ověřování, Vyžadovat, aby zařízení bylo označené jako vyhovující, a vyžadovat hybridní zařízení připojené k Microsoftu Entra.
    2. U více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků.
    3. Zvolte Zvolit.

Jakmile správci potvrdí nastavení zásad pomocí režimu jen pro sestavy, může správce přesunout přepínač Povolit zásadu pouze ze sestavy na Zapnuto.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Další kroky

Dalším krokem pro zahájení práce s Microsoft Entra Přístup k Internetu je kontrola protokolů globálního zabezpečeného přístupu.

Další informace o přesměrování provozu najdete v následujících článcích: