Použití zásad podmíněného přístupu pro aplikace privátního přístupu

Použití zásad podmíněného přístupu u vašich Microsoft Entra Soukromý přístup aplikací je účinný způsob, jak vynutit zásady zabezpečení pro interní a soukromé prostředky. Zásady podmíněného přístupu můžete použít u aplikací Rychlý přístup a Privátní přístup z globálního zabezpečeného přístupu.

Tento článek popisuje, jak používat zásady podmíněného přístupu pro aplikace Rychlý přístup a Privátní přístup.

Požadavky

• Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí.
  • Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
  • Správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu.
• Musíte mít nakonfigurovaný rychlý přístup nebo privátní přístup.
• Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Známá omezení

• V tuto chvíli se k získání provozu privátního přístupu vyžaduje připojení přes globálního klienta zabezpečeného přístupu.

Podmíněný přístup a globální zabezpečený přístup

Zásady podmíněného přístupu pro aplikace Rychlý přístup nebo Privátní přístup můžete vytvořit z globálního zabezpečeného přístupu. Spuštění procesu z globálního zabezpečeného přístupu automaticky přidá vybranou aplikaci jako cílový prostředek pro zásadu. Stačí nakonfigurovat nastavení zásad.

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

2. Přejděte k podnikovým aplikacím>globálního zabezpečeného přístupu.>

3. Vyberte aplikaci ze seznamu.

   

4. V boční nabídce vyberte podmíněný přístup . Všechny existující zásady podmíněného přístupu se zobrazí v seznamu.

5. Vyberte Možnost Nová zásada. Vybraná aplikace se zobrazí v podrobnostech o cílových prostředcích .

6. Nakonfigurujte podmínky, řízení přístupu a podle potřeby přiřaďte uživatele a skupiny.

Zásady podmíněného přístupu můžete použít také u skupiny aplikací na základě vlastních atributů. Další informace najdete v tématu Filtr pro aplikace v zásadách podmíněného přístupu.

Příklad přiřazení a řízení přístupu

Upravte následující podrobnosti o zásadách a vytvořte zásadu podmíněného přístupu, která vyžaduje vícefaktorové ověřování, dodržování předpisů zařízením nebo hybridní zařízení připojené k Microsoft Entra pro vaši aplikaci Rychlý přístup. Přiřazení uživatelů zajišťují, aby z zásad byly vyloučeny účty tísňového přístupu nebo prolomení přístupu vaší organizace.

1. V části Přiřazení vyberte Uživatelé:
   1. V části Zahrnout vyberte Možnost Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
2. V části Řízení>přístupu Udělení:
   1. Vyberte Vyžadovat vícefaktorové ověřování, Vyžadovat, aby zařízení bylo označené jako vyhovující, a vyžadovat hybridní zařízení připojené k Microsoftu Entra.
3. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.

Jakmile správci potvrdí nastavení zásad pomocí režimu jen pro sestavy, může správce přesunout přepínač Povolit zásadu pouze ze sestavy na Zapnuto.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Další kroky

• Povolení profilu předávání přenosů privátního přístupu
• Povolení obnovení zdrojové IP adresy