Sdílet prostřednictvím

Co je podmíněný přístup?

Moderní zabezpečení přesahuje hranice sítě organizace a zahrnuje identitu uživatele a zařízení. Organizace teď v rámci rozhodování o řízení přístupu používají signály řízené identitou. Podmíněný přístup Microsoft Entra shromažďuje signály, aby usnadnil rozhodování a prosazování zásad organizace. Podmíněný přístup je nástroj Microsoftu pro zásady Zero Trust, který při vynucování rozhodnutí o zásadách bere v úvahu signály z různých zdrojů.

Diagram znázorňující koncept signálů podmíněného přístupu a rozhodnutí vynucovat zásady organizace

Zásady podmíněného přístupu v nejjednodušších případech jsou příkazy if-then: pokud chce uživatel získat přístup k prostředku, musí dokončit akci. Například: Pokud chce uživatel získat přístup k aplikaci nebo službě, jako je Microsoft 365, musí pro získání přístupu provést vícefaktorové ověřování.

Správci čelí dvěma hlavním cílům:

  • Umožnit uživatelům být produktivní kdykoli a kdekoli
  • Ochrana prostředků organizace

Pomocí zásad podmíněného přístupu můžete použít správné řízení přístupu v případě potřeby, aby vaše organizace byla zabezpečená a nezasahovala do produktivity.

Důležité

Zásady podmíněného přístupu se vynucují po dokončení prvního ověření. Podmíněný přístup není určen jako první linie obrany organizace pro scénáře, jako jsou útoky DoS (denial-of-service), ale může využívat signály z těchto událostí k určení přístupu.

Běžné signály

Podmíněný přístup používá signály z různých zdrojů k rozhodování o přístupu.

Diagram znázorňující podmíněný přístup jako modul zásad nulové důvěryhodnosti agregující signály z různých zdrojů

Mezi tyto signály patří:

  • Uživatel, skupina nebo agent
    • Zásady můžou být cílené na konkrétní uživatele, skupiny a agenty (Preview), které správcům umožňují jemně odstupňovanou kontrolu nad přístupem.
    • Podpora identit agentů a uživatelů agentů rozšiřuje principy nulové důvěryhodnosti na úlohy AI.
  • Informace o umístění IP adresy
    • Organizace můžou vytvářet rozsahy IP adres, které se dají použít při rozhodování o zásadách.
    • Správci mohou určit rozsahy IP adres celých zemí nebo oblastí, ze kterých má být provoz blokován nebo povolen.
  • Zařízení
    • Uživatelé se zařízeními konkrétních platforem nebo označenými určitým stavem se dají použít při vynucování zásad podmíněného přístupu.
    • Pomocí filtrů pro zařízení můžete cílit zásady na konkrétní zařízení, jako jsou pracovní stanice s privilegovaným přístupem.
  • Application
    • Když se uživatelé pokusí o přístup ke konkrétním aplikacím, aktivují různé zásady podmíněného přístupu.
    • Použijte zásady pro tradiční cloudové aplikace, místní aplikace a prostředky agenta.
  • Detekce rizik v reálném čase a počítaných rizik
    • Integruje signály ze služby Microsoft Entra ID Protection za účelem identifikace a nápravy rizikových uživatelů, chování přihlašování a aktivit agenta.
  • Microsoft Defender for Cloud Apps
    • Monitoruje a řídí přístup k uživatelským aplikacím a relace v reálném čase. Tato integrace zlepšuje viditelnost a kontrolu nad přístupem a aktivitami ve vašem cloudovém prostředí.

Běžná rozhodnutí

  • Blokování přístupu je nejvíce omezující rozhodnutí.
  • Udělení přístupu
  • Méně omezující rozhodnutí, které může vyžadovat jednu nebo více z následujících možností:
    • Vyžadovat vícefaktorové ověřování
    • Vyžadovat úroveň ověření
    • Vyžadovat, aby zařízení bylo označené jako vyhovující
    • Vyžadování zařízení připojeného k hybridní službě Microsoft Entra
    • Vyžadování schválené klientské aplikace
    • Vyžadování zásad ochrany aplikací
    • Vyžadovat změnu hesla
    • Vyžadování podmínek použití

Běžně používané zásady

Řada organizací má běžné obavy o přístup, se kterými můžou pomoct zásady podmíněného přístupu, například:

  • Vyžadování vícefaktorového ověřování pro uživatele s rolemi pro správu
  • Vyžadování vícefaktorového ověřování pro úlohy správy Azure
  • Blokování přihlašování pro uživatele, kteří se pokoušejí používat starší ověřovací protokoly
  • Vyžadování důvěryhodných umístění pro registraci bezpečnostních informací
  • Blokování nebo povolení přístupu z určitých umístění
  • Blokování rizikového chování při přihlašování
  • Vyžadování zařízení spravovaných organizací pro konkrétní aplikace

Správci můžou vytvářet úplně nové zásady nebo začít se zásadami šablon na portálu nebo pomocí rozhraní Microsoft Graph API.

Správa prostředí

Správci s alespoň rolí Čtenář zabezpečení můžou podmíněný přístup najít v Centru pro správu Microsoft Entra pod Entra ID> Podmíněný přístup.

Snímek obrazovky se stránkou přehledu podmíněného přístupu

  • Na stránce Přehled se zobrazuje souhrn stavu zásad, agentů, uživatelů, zařízení a aplikací spolu s obecnými upozorněními a výstrahami zabezpečení s návrhy.
  • Na stránce Pokrytí se zobrazuje souhrn aplikací s pokrytím a bez pokrytí zásadami podmíněného přístupu za posledních sedm dní.

Na stránce Zásady můžou správci filtrovat zásady podmíněného přístupu na základě položek, jako jsou objekt actor, cílový prostředek, podmínka, použitý ovládací prvek, stav nebo datum. Díky tomuto filtrování můžou správci rychle najít konkrétní zásady na základě jejich konfigurace.

Agent optimalizace podmíněného přístupu

Agent optimalizace podmíněného přístupu (Preview) se službou Microsoft Security Copilot navrhuje nové zásady a změny stávajících zásad na základě principů nulové důvěryhodnosti a osvědčených postupů Microsoftu. Jedním kliknutím pomocí návrhu automaticky aktualizujte nebo vytvořte zásady podmíněného přístupu. Agent potřebuje alespoň licenci Microsoft Entra ID P1 a výpočetní jednotky zabezpečení (SCU).

Požadavky na licenci

Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si článek Porovnání obecně dostupných funkcí Microsoft Entra ID.

Zákazníci s licencemi Microsoft 365 Business Premium můžou používat také funkce podmíněného přístupu.

Další produkty a funkce, které komunikují se zásadami podmíněného přístupu, vyžadují pro tyto produkty a funkce odpovídající licencování, včetně ID úloh Microsoft Entra, Microsoft Entra ID Protection a Microsoft Purview.

Pokud vyprší platnost licencí požadovaných pro podmíněný přístup, zásady se automaticky nezablokují ani neodstraní. Tento elegantní stav umožňuje zákazníkům migrovat ze zásad podmíněného přístupu bez náhlé změny stavu zabezpečení. Zbývající zásady můžete zobrazit a odstranit, ale nemůžete je aktualizovat.

Výchozí nastavení zabezpečení pomáhá chránit před útoky souvisejícími s identitou a jsou k dispozici pro všechny zákazníky.

nulová důvěra (Zero Trust)

Tato funkce pomáhá organizacím sladit své identity se třemi hlavními principy architektury nulové důvěryhodnosti:

  • Ověřte explicitně
  • Použití nejnižších oprávnění
  • Předpokládat porušení zabezpečení

Další informace o nulové důvěryhodnosti a dalších způsobech sladění organizace s hlavními principy najdete v Centru pokynů pro nulovou důvěryhodnost.

Další kroky

Plánování nasazení podmíněného přístupu

  • Last updated on