Sdílet prostřednictvím


Vytváření zásad podmíněného přístupu

Jak je vysvětleno v článku Co je podmíněný přístup, zásady podmíněného přístupu jsou příkazem if-then, přiřazení a řízení přístupu. Zásady podmíněného přístupu spojují signály, k rozhodování a vynucování zásad organizace.

Jak organizace tyto zásady vytváří? Co je potřeba? Jak se používají?

Diagram znázorňující koncept signálů podmíněného přístupu a rozhodnutí vynucovat zásady organizace

Na jednotlivé uživatele se může kdykoli použít několik zásad podmíněného přístupu. V takovém případě musí být splněny všechny platné zásady. Pokud například jedna zásada vyžaduje vícefaktorové ověřování a jiná vyžaduje vyhovující zařízení, musíte dokončit vícefaktorové ověřování a použít zařízení vyhovující předpisům. Logicky jsou všechna přiřazení AND. Pokud máte nakonfigurované více než jedno přiřazení, musí být pro aktivaci zásady splněná všechna přiřazení.

Pokud je vybrána zásada, ve které je vybrána možnost Vyžadovat jeden z vybraných ovládacích prvků, zobrazí se výzva v definovaném pořadí, jakmile budou splněny požadavky na zásady, je udělen přístup.

Všechny zásady se vynucují ve dvou fázích:

Přiřazení

Část přiřazení řídí, kdo, co a kde zásady podmíněného přístupu.

Uživatelé a skupiny

Uživatelé a skupiny přiřazují uživatelům a skupinám , kteří při použití zásady zahrnují nebo vyloučí. Toto přiřazení může zahrnovat všechny uživatele, konkrétní skupiny uživatelů, role adresáře nebo externí uživatele typu host.

Cílové prostředky

Cílové prostředky můžou zahrnovat nebo vyloučit cloudové aplikace, akce uživatelů nebo kontexty ověřování, které jsou předmětem zásad.

Síť

Síť obsahuje IP adresy, zeměpisné oblasti a síť vyhovující globálnímu zabezpečenému přístupu k rozhodování o zásadách podmíněného přístupu. Správa istrátory se můžou rozhodnout definovat umístění a označit některé jako důvěryhodné, například pro primární síťová umístění organizace.

Podmínky

Zásada může obsahovat více podmínek.

Riziko přihlášení

Pro organizace se službou Microsoft Entra ID Protection můžou detekce rizik vygenerovaná vygenerovat vliv na vaše zásady podmíněného přístupu.

Platformy zařízení

Organizace s několika platformami operačního systému zařízení můžou vynucovat konkrétní zásady na různých platformách.

Informace používané k výpočtu platformy zařízení pocházejí z neověřených zdrojů, jako jsou řetězce uživatelského agenta, které je možné změnit.

Klientské aplikace

Software, který uživatel používá pro přístup ke cloudové aplikaci. Například Prohlížeč a Mobilní aplikace a desktopoví klienti. Ve výchozím nastavení se všechny nově vytvořené zásady podmíněného přístupu vztahují na všechny typy klientských aplikací i v případě, že není nakonfigurovaná podmínka klientských aplikací.

Filtrování zařízení

Tento ovládací prvek umožňuje cílení na konkrétní zařízení na základě jejich atributů v zásadách.

Ovládací prvky přístupu

Část zásad podmíněného přístupu řídí, jak se zásady vynucuje.

Grant

Udělení poskytuje správcům způsob vynucování zásad, kde můžou blokovat nebo udělit přístup.

Blokování přístupu

Zablokuje přístup jenom tak, že zablokuje přístup pod zadanými přiřazeními. Řízení bloků je výkonné a mělo by být řízeno příslušnými znalostmi.

Udělení přístupu

Řízení udělení může aktivovat vynucení jednoho nebo více ovládacích prvků.

  • Vyžadovat vícefaktorové ověřování
  • Vyžadovat, aby zařízení bylo označené jako vyhovující (Intune)
  • Vyžadování zařízení připojeného k hybridnímu připojení Microsoft Entra
  • Vyžadovat schválenou klientskou aplikaci
  • Vyžadování zásad ochrany aplikací
  • Vyžadovat změnu hesla
  • Vyžadování podmínek použití

Správa istrátory se můžou rozhodnout, že budou vyžadovat jeden z předchozích ovládacích prvků nebo všechny vybrané ovládací prvky pomocí následujících možností. Výchozí hodnota pro více ovládacích prvků je vyžadovat vše.

  • Vyžadovat všechny vybrané ovládací prvky (ovládací prvek a ovládací prvek)
  • Vyžadovat jeden z vybraných ovládacích prvků (ovládací prvek nebo ovládací prvek)

Relace

Ovládací prvky relací můžou omezit prostředí uživatelů.

  • Použití omezení vynucených aplikací:
    • V současné době funguje jenom s Exchangem Online a SharePointem Online.
    • Předá informace o zařízení, aby bylo možné řídit možnosti udělení úplného nebo omezeného přístupu.
  • Použití řízení podmíněného přístupu k aplikacím:
    • Používá signály z Programu Microsoft Defender for Cloud Apps k tomu, aby dělal například:
      • Blokovat stahování, vyjmutí, kopírování a tisk citlivých dokumentů
      • Monitorujte rizikové chování relace.
      • Vyžadovat popisky citlivých souborů.
  • Frekvence přihlášení:
    • Možnost změnit výchozí frekvenci přihlášení pro moderní ověřování
  • Relace trvalého prohlížeče:
    • Umožňuje uživatelům zůstat přihlášení po zavření a opětovném otevření okna prohlížeče.
  • Přizpůsobení nepřetržitého vyhodnocování přístupu
  • Zákaz výchozích hodnot odolnosti

Jednoduché zásady

Zásady podmíněného přístupu musí obsahovat minimálně následující zásady, které se mají vynutit:

  • Název zásady.
  • Přiřazení
    • Uživatelé nebo skupiny , na které se zásady použijí.
    • Cloudové aplikace nebo akce , na které se zásady použijí.
  • Ovládací prvky přístupu
    • Udělení nebo blokování ovládacích prvků

Prázdná zásada podmíněného přístupu

Článek Běžné zásady podmíněného přístupu zahrnují některé zásady, které by podle nás byly pro většinu organizací užitečné.