Nastavení zásad podmíněného přístupu

Podmíněný přístup je ochrana regulovaného obsahu v systému tím, že před udělením přístupu k obsahu vyžaduje splnění určitých kritérií. Zásady podmíněného přístupu jsou nejjednodušší příkazy if-then. Pokud chce uživatel získat přístup k prostředku, musí dokončit akci. Například manažer mzdy chce získat přístup k mzdové aplikaci a musí k tomu provést vícefaktorové ověřování (MFA).

Pomocí podmíněného přístupu můžete dosáhnout dvou hlavních cílů:

• Umožněte uživatelům kdykoliv být produktivní kdekoli.
• Chraňte prostředky vaší organizace.

Pomocí zásad podmíněného přístupu můžete v případě potřeby použít správné řízení přístupu, abyste zajistili zabezpečení vaší organizace a v případě potřeby zůstali mimo cestu uživatelů.

To, jak často je uživatel vyzván k opětovnému ověření, závisí na nastavení konfigurace životnosti relace Microsoft Entra. I když je zapamatování přihlašovacích údajů pohodlné, může také méně zabezpečit nasazení pro podnikové scénáře s využitím osobních zařízení. Pokud chcete chránit své uživatele, můžete zajistit, aby klient požadoval přihlašovací údaje pro vícefaktorové ověřování Microsoft Entra častěji. Ke konfiguraci tohoto chování můžete použít frekvenci přihlašování podmíněného přístupu.

Přiřazení zásad podmíněného přístupu pro cloudové počítače

Zásady podmíněného přístupu nejsou pro vašeho tenanta ve výchozím nastavení nastavené. Zásady podmíněného přístupu můžete cílit na aplikaci cloudového počítače první strany pomocí některé z následujících platforem:

• Azurový. Další informace najdete v tématu Podmíněný přístup Microsoft Entra.
• Microsoft Intune. Tento proces vysvětluje následující postup. Další informace najdete v tématu Informace o podmíněném přístupu a Intune.

Bez ohledu na to, kterou metodu použijete, se zásady vynucují na portálu Cloud PC Pro koncové uživatele a při připojení ke cloudovým počítačům.

1. Přihlaste se k Centru pro správu Microsoft Intune a vyberte Zabezpečení> koncových bodůPodmíněný přístup>Vytvořit novou zásadu.

2. Zadejte Název pro konkrétní zásady podmíněného přístupu.

3. V části Uživatelé vyberte 0 vybraných uživatelů a skupin.

4. Na kartě Zahrnout vyberte Vybrat uživatele a skupiny> a zaškrtněte políčko Uživatelé a skupiny> v části Vybrat a zvolte 0 vybraných uživatelů a skupin.

5. V novém podokně, které se otevře, vyhledejte a vyberte konkrétního uživatele nebo skupinu, na kterého chcete cílit pomocí zásad podmíněného přístupu, a pak zvolte Vybrat.

6. V části Cílové prostředky vyberte Nejsou vybrané žádné cílové prostředky.

7. Na kartě Zahrnout zvolte Vybrat aplikace> v části Vybrat a zvolte Žádné.

8. V podokně Vybrat vyhledejte a vyberte následující aplikace na základě prostředků, které se pokoušíte chránit:

   • Windows 365 (ID aplikace 0af06dc6-e4b5-4f28-818e-e78e62d137a5) Tuto aplikaci můžete najít také tak, že vyhledáte "cloud". Tato aplikace se používá při načítání seznamu prostředků pro uživatele a při zahájení akcí na cloudovém počítači, jako je restartování.
   • Azure Virtual Desktop (ID aplikace 9cdead84-a844-4324-93f2-b2e6bb768d07) Tato aplikace se může zobrazit také jako Windows Virtual Desktop. Tato aplikace se používá k ověření ve službě Azure Virtual Desktop Gateway během připojení a při odesílání diagnostických informací do služby klientem.
   • Vzdálená plocha Microsoft (ID aplikace a4a365df-50f1-4397-bc59-1a1564b8bb9c) a přihlášení ke cloudu Windows (ID aplikace 270efc09-cd0d-444b-a71f-39af4910ec45). Tyto aplikace jsou potřeba jenom v případě, že v zásadách zřizování nakonfigurujete jednotné přihlašování . Tyto aplikace se používají k ověřování uživatelů v cloudovém počítači.

   Doporučujeme mezi těmito aplikacemi shodovat zásady podmíněného přístupu. Tím se zajistí, že se zásady vztahují na portál Cloud PC Pro koncové uživatele, připojení k bráně a cloudový počítač pro zajištění konzistentního prostředí. Pokud chcete vyloučit aplikace, musíte také vybrat všechny tyto aplikace.

   Důležité

   S povoleným jednotným přihlašováním se dnes při ověřování ke cloudovým počítačům používá aplikace Microsoft Remote Desktop Entra ID. Chystaná změna převede ověřování na aplikaci Entra ID pro přihlášení ke cloudu Windows . Abyste zajistili hladký přechod, musíte do zásad podmíněného přístupu přidat obě aplikace Entra ID.

   Poznámka

   Pokud při konfiguraci zásad podmíněného přístupu nevidíte aplikaci Windows Cloud Login, vytvořte aplikaci pomocí následujícího postupu. Abyste mohli provést tyto změny, musíte mít k předplatnému oprávnění vlastníka nebo přispěvatele:

   1. Přihlaste se k webu Azure Portal.
   2. V seznamu služeb Azure vyberte Předplatná .
   3. Vyberte název předplatného.
   4. Vyberte Poskytovatelé prostředků a pak vyberte Microsoft.DesktopVirtualizace.
   5. Nahoře vyberte Zaregistrovat .

   Po registraci poskytovatele prostředků se aplikace Windows Cloud Login zobrazí v konfiguraci zásad podmíněného přístupu při výběru aplikací, na které se mají zásady použít. Pokud nepoužíváte Službu Azure Virtual Desktop, můžete zrušit registraci poskytovatele prostředků Microsoft.DesktopVirtualization, jakmile bude dostupná aplikace Windows Cloud Login.

9. Pokud chcete vyladit zásady, vyberte v části Udělenímožnost 0 vybraných ovládacích prvků.

10. V podokně Udělení zvolte možnosti udělení nebo blokování přístupu, které chcete použít pro všechny objekty přiřazené k této zásadě>.

11. Pokud chcete zásadu nejdřív otestovat, vyberte v části Povolit zásadumožnost Pouze sestava. Pokud ho nastavíte na Zapnuto, použije se zásada hned po jejím vytvoření.

12. Vyberte Vytvořit a vytvořte zásadu.

Seznam aktivních a neaktivních zásad můžete zobrazit v zobrazení Zásady v uživatelském rozhraní podmíněného přístupu.

Konfigurace frekvence přihlašování

Zásady četnosti přihlašování umožňují konfigurovat, jak často se uživatelé musí při přístupu k prostředkům založeným na Microsoft Entra přihlašovat. To může pomoct zabezpečit vaše prostředí a je to obzvláště důležité pro osobní zařízení, kde místní operační systém nemusí vyžadovat vícefaktorové ověřování nebo se po nečinnosti nemusí automaticky uzamknout. Uživatelům se při přístupu k prostředku zobrazí výzva k ověření pouze v případech, kdy se z ID Microsoft Entra požaduje nový přístupový token.

Zásady četnosti přihlašování mají za následek odlišné chování v závislosti na vybrané aplikaci Microsoft Entra:

Název aplikace	ID aplikace	Chování
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Vynucuje opětovné ověření, když uživatel načte seznam cloudových počítačů a když na svém cloudovém počítači zahájí akce, jako je restartování.
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	Vynucuje opětovné ověření, když se uživatel během připojení ověřuje ve službě Azure Virtual Desktop Gateway.
Vzdálená plocha Microsoft Přihlášení ke cloudu Windows	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Vynucuje opětovné ověření, když se uživatel přihlásí ke cloudovému počítači, když je povolené jednotné přihlašování . Obě aplikace by měly být nakonfigurované společně, protože klienti brzy přejdou z aplikace Vzdálená plocha Microsoftu na aplikaci Windows Cloud Login, aby se mohli ověřovat na cloudovém počítači.

Konfigurace časového období, po kterém se uživateli zobrazí výzva k opětovnému přihlášení:

1. Otevřete zásadu, kterou jste vytvořili dříve.
2. V části Relace vyberte 0 vybraných ovládacích prvků.
3. V podokně Relace vyberte Frekvence přihlašování.
4. Vyberte Pravidelné opakované ověřování nebo Pokaždé.
   • Pokud vyberete Možnost Pravidelné opakované ověřování, nastavte hodnotu pro časové období, po kterém se uživateli při provádění akce, která vyžaduje nový přístupový token, a pak vyberte Vybrat. Například nastavení hodnoty na 1 a jednotky na Hodiny vyžaduje vícefaktorové ověřování, pokud se připojení spustí více než hodinu po posledním ověření uživatele.
   • Možnost Pokaždé je aktuálně dostupná ve verzi Preview a podporuje se jenom v případě, že se použije u aplikací Vzdálená plocha Microsoft a Přihlášení do cloudu, když je pro vaše cloudové počítače povolené jednotné přihlašování. Pokud vyberete možnost Pokaždé, zobrazí se uživatelům výzva k opětovnému ověření při spuštění nového připojení po uplynutí 5 až 10 minut od posledního ověření.
5. V dolní části stránky vyberte Uložit.

Poznámka

• K opětovnému ověření dochází pouze v případě, že se uživatel musí ověřit u prostředku a je potřeba nový přístupový token. Po navázání připojení se uživatelům nezobrazí výzva ani v případě, že připojení trvá déle, než je nakonfigurovaná frekvence přihlašování.
• Uživatelé se musí znovu ověřit, pokud dojde k přerušení sítě, které vynutí opětovné navázání relace po nakonfigurované frekvenci přihlašování. To může vést k častějším žádostem o ověření v nestabilních sítích.

Další kroky

Správa přesměrování zařízení RDP