Vytvoření zásad podmíněného přístupu

2025-03-12

Jak je vysvětleno v článku Co je podmíněný přístup, zásady podmíněného přístupu představují příkaz if-then pro Přiřazení a Řízení přístupu. Zásady podmíněného přístupu spojují signály, k rozhodování a vynucování zásad organizace.

Jak organizace tyto zásady vytváří? Co je potřeba? Jak se používají?

Na jednotlivé uživatele se může kdykoli použít několik zásad podmíněného přístupu. V takovém případě musí být splněny všechny platné zásady. Pokud například jedna zásada vyžaduje vícefaktorové ověřování a jiná vyžaduje vyhovující zařízení, musíte dokončit vícefaktorové ověřování a použít zařízení vyhovující předpisům. Všechna přiřazení jsou logicky spojena operací aAND. Pokud máte nakonfigurované více než jedno přiřazení, musí být pro aktivaci zásady splněná všechna přiřazení.

Pokud je vybrána zásada, ve které je vybrána možnost Vyžadovat jeden z vybraných ovládacích prvků, zobrazí se výzva v definovaném pořadí, jakmile budou splněny požadavky na zásady, je udělen přístup.

Všechny zásady se vynucují ve dvou fázích:

Fáze 1: Shromažďování podrobností o relaci
- Shromážděte podrobnosti o relaci, jako je síťové umístění a identita zařízení potřebná k vyhodnocení zásad.
- Fáze 1 vyhodnocení zásad probíhá pro povolené zásady a zásady v režimu pouze pro sestavy.
fáze 2: Vynucení
- Pomocí detailů relace shromážděných v etapě 1 identifikujte všechny požadavky, které nejsou splněny.
- Pokud existuje zásada nakonfigurovaná s nastavením blokace , k blokování uživatele se přistoupí poté, co se vynucení zastaví.
- Uživateli se zobrazí výzva k dokončení dalších požadavků na kontrolu grantů, které nebyly splněny během fáze 1 v následujícím pořadí, dokud nebudou splněny veškeré zásady:
- Po splnění všech kontrol udělení oprávnění aplikujte ovládací prvky relace (vynucené aplikací, Microsoft Defender for Cloud Apps a životnost tokenu).
- Fáze 2 vyhodnocení zásad probíhá pro všechny povolené zásady.

Přiřazení

Část přiřazení řídí, kdo, co a kam v zásadách podmíněného přístupu.

Uživatelé a skupiny

Uživatelé a skupiny přiřaďte, kdo zásady při použití zahrnuje nebo vyloučí. Toto přiřazení může zahrnovat všechny uživatele, konkrétní skupiny uživatelů, role adresáře nebo externí uživatele typu host.

Cílové prostředky

cílové prostředky můžou zahrnovat nebo vyloučit cloudové aplikace, akce uživatelů nebo kontexty ověřování, které jsou předmětem zásady.

Síť

Síť obsahuje IP adresy, geografické oblasti a síť Globálním zabezpečeným přístupem, která je v souladu s rozhodováním o zásadách podmíněného přístupu. Správci se můžou rozhodnout definovat umístění a označit některá jako důvěryhodná, například pro primární síťová umístění organizace.

Podmínky

Zásada může obsahovat více podmínek.

Pro organizace s Microsoft Entra ID Protectionmohou detekce rizik generované tam ovlivnit vaše zásady podmíněného přístupu.

Platformy zařízení

Organizace s několika platformami operačního systému zařízení můžou vynucovat konkrétní zásady na různých platformách.

Informace používané k výpočtu platformy zařízení pocházejí z neověřených zdrojů, jako jsou řetězce uživatelského agenta, které je možné změnit.

Klientské aplikace

Software, který uživatel používá pro přístup ke cloudové aplikaci. Například Prohlížeč a Mobilní aplikace a desktopoví klienti. Ve výchozím nastavení se všechny nově vytvořené zásady podmíněného přístupu vztahují na všechny typy klientských aplikací i v případě, že není nakonfigurovaná podmínka klientských aplikací.

Filtrování pro zařízení

Tento ovládací prvek umožňuje cílení na konkrétní zařízení na základě jejich atributů v zásadách.

Řízení přístupu

Část zásad podmíněného přístupu týkající se řízení přístupu určuje, jak je zásada vynucována.

stipendium

Grant poskytuje správcům způsob vynucení zásad, pomocí kterého mohou blokovat nebo udělovat přístup.

Blokování přístupu

Blokování přístupu zjednodušeně znamená, že přístup bude zablokován v rámci stanovených úkolů. Řízení bloků je výkonné a mělo by být uplatňováno s odpovídajícími znalostmi.

Udělení přístupu

Kontrola udělení může aktivovat spuštění jednoho nebo více kontrolních prvků.

Vyžadovat vícefaktorové ověřování
Vyžadovat úroveň ověření
Vyžadovat, aby zařízení bylo označené jako vyhovující (Intune)
Vyžadovat zařízení hybridně připojené k Microsoft Entra
Vyžadování schválené klientské aplikace
Vyžadování zásad ochrany aplikací
Vyžadovat změnu hesla
Vyžadování podmínek použití

Správci se můžou rozhodnout, že budou vyžadovat jeden z předchozích ovládacích prvků nebo všechny vybrané ovládací prvky pomocí následujících možností. Výchozí hodnota pro více ovládacích prvků je vyžadovat vše.

Vyžadovat všechny vybrané ovládací prvky (každý ovládací prvek)
Vyžadovat jeden z vybraných ovládacích prvků (ovládací prvek nebo ovládací prvek)

Sezení

Ovládací prvky relace můžou omezit zkušenosti uživatelů.

Použijte omezení vynucovaná aplikací:
- V současné době funguje jenom s Exchangem Online a SharePointem Online.
- Předá informace o zařízení, aby bylo možné řídit možnosti udělení úplného nebo omezeného přístupu.
Použití řízení podmíněného přístupu k aplikacím:
- Používá signály z Programu Microsoft Defender for Cloud Apps k tomu, aby dělal například:
  - Blokovat stahování, vyjmutí, kopírování a tisk citlivých dokumentů
  - Monitorujte rizikové chování relace.
  - Vyžadovat popisky citlivých souborů.
Frekvence přihlášení:
- Možnost změnit výchozí frekvenci přihlášení pro moderní ověřování
Trvalá relace prohlížeče
- Umožňuje uživatelům zůstat přihlášení po zavření a opětovném otevření okna prohlížeče.
Přizpůsobení průběžného vyhodnocování přístupu
Zakázat výchozí nastavení odolnosti

Jednoduché zásady

Zásady podmíněného přístupu musí obsahovat minimálně následující, aby byly vynutitelné:

Název zásady.
Přiřazení
- Uživatelé a/nebo skupiny, na které se zásada vztahuje.
- Cloudových aplikací nebo akcí, na které aplikovat zásadu.
řízení přístupu
- udělení nebo bloku ovládací prvky

Článek běžné zásady podmíněného přístupu obsahuje některé zásady, které by pro většinu organizací byly užitečné.

Sdílet prostřednictvím