Feltételes hozzáférés: Alkalmazások szűrése

  • Cikk

Jelenleg a feltételes hozzáférési szabályzatok az összes alkalmazásra vagy az egyes alkalmazásokra alkalmazhatók. A nagy számú alkalmazással rendelkező szervezetek nehezen kezelhetik ezt a folyamatot több feltételes hozzáférési szabályzatban.

A feltételes hozzáférés alkalmazásszűrői lehetővé teszik a szervezetek számára a szolgáltatásnevek egyéni attribútumokkal való címkézését. Ezek az egyéni attribútumok ezután hozzáadódnak a feltételes hozzáférési szabályzatokhoz. Az alkalmazások szűrőinek kiértékelése a jogkivonat-kiállítási futtatókörnyezetben történik, gyakori kérdés, hogy az alkalmazások futásidőben vagy konfigurációs időben vannak-e hozzárendelve.

Ebben a dokumentumban létrehoz egy egyéni attribútumkészletet, hozzárendel egy egyéni biztonsági attribútumot az alkalmazáshoz, és létrehoz egy feltételes hozzáférési szabályzatot az alkalmazás védelméhez.

Szerepkörök hozzárendelése

Az egyéni biztonsági attribútumok biztonsági szempontból érzékenyek, és csak delegált felhasználók kezelhetik őket. Még a globális Rendszergazda istratorok sem rendelkeznek alapértelmezett engedélyekkel az egyéni biztonsági attribútumokhoz. Az alábbi szerepkörök közül legalább egyet ki kell osztani az attribútumokat kezelő vagy jelentéskészítő felhasználókhoz.

Szerepkör neve Leírás
Attribútum-hozzárendelési Rendszergazda istrator Rendeljen hozzá egyéni biztonsági attribútumkulcsokat és értékeket a támogatott Microsoft Entra-objektumokhoz.
Attribútum-hozzárendelés-olvasó Olvassa el a támogatott Microsoft Entra-objektumok egyéni biztonsági attribútumkulcsait és értékeit.
Attribútumdefiníciós Rendszergazda istrator Egyéni biztonsági attribútumok definíciójának meghatározása és kezelése.
Attribútumdefiníció-olvasó Olvassa el az egyéni biztonsági attribútumok definícióját.

Rendelje hozzá a megfelelő szerepkört azokhoz a felhasználókhoz, akik a címtár hatókörében kezelik vagy jelentik ezeket az attribútumokat. A részletes lépésekért lásd : Szerepkör hozzárendelése.

Egyéni biztonsági attribútumok létrehozása

Kövesse a cikkben található utasításokat, egyéni biztonsági attribútumok hozzáadása vagy inaktiválása a Microsoft Entra-azonosítóban a következő attribútumkészlet és új attribútumok hozzáadásához.

  • Hozzon létre egy ConditionalAccessTest nevű attribútumkészletet.
  • Új, policyRequirement nevű attribútumok létrehozása, amelyek lehetővé teszik több érték hozzárendelését, és csak az előre definiált értékek hozzárendelését teszik lehetővé. A következő előre definiált értékeket adjuk hozzá:
    • legacyAuthAllowed
    • blockGuestUsers
    • requireMFA
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

Képernyőkép az egyéni biztonsági attribútumról és az előre definiált értékekről a Microsoft Entra ID-ban.

Feljegyzés

Az alkalmazások feltételes hozzáférési szűrői csak "sztring" típusú egyéni biztonsági attribútumokkal működnek. Az egyéni biztonsági attribútumok támogatják a logikai adattípus létrehozását, de a feltételes hozzáférési szabályzat csak a "sztringet" támogatja.

Feltételes hozzáférési házirend létrehozása

Képernyőkép egy feltételes hozzáférési szabályzatról a szerkesztési szűrőablakmal, amely a kötelező MFA attribútumát jeleníti meg.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként és attribútumdefiníció-olvasóként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Célerőforrások csoportban válassza a következő beállításokat:
    1. Válassza ki, hogy ez a szabályzat mire vonatkozik a felhőalkalmazásokra.
    2. Adja meg a Select apps (Alkalmazások kijelölése) lehetőséget.
    3. Válassza a Szűrő szerkesztése lehetőséget.
    4. Állítsa be a konfigurálást igen értékre.
    5. Válassza ki a korábban létrehozott, policyRequirement nevű attribútumot.
    6. Állítsa az operátort a Contains (Tartalmaz) értékre.
    7. Állítsa be az Érték értékét az MFA megkövetelésére.
    8. Válassza a Kész lehetőséget.
  7. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Egyéni attribútumok konfigurálása

1. lépés: Mintaalkalmazás beállítása

Ha már rendelkezik egy szolgáltatásnevet használó tesztalkalmazással, kihagyhatja ezt a lépést.

Állítson be egy mintaalkalmazást, amely bemutatja, hogyan futtathat egy feladat vagy egy Windows-szolgáltatás egy alkalmazásidentitást a felhasználó identitása helyett. Kövesse a rövid útmutatóban található utasításokat: Jogkivonat beszerzése és a Microsoft Graph API meghívása egy konzolalkalmazás identitásával az alkalmazás létrehozásához.

2. lépés: Egyéni biztonsági attribútum hozzárendelése egy alkalmazáshoz

Ha nem szerepel a bérlőben egy szolgáltatásnév, az nem célozható meg. Az Office 365 csomag egy példa egy ilyen szolgáltatásnévre.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként és attribútum-hozzárendelési Rendszergazda istratorként.
  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.
  3. Válassza ki azt a szolgáltatásnevet, amelyhez egyéni biztonsági attribútumot szeretne alkalmazni.
  4. Az Egyéni biztonsági attribútumok kezelése>csoportban válassza a Hozzárendelés hozzáadása lehetőséget.
  5. Az Attribútumkészlet csoportban válassza a ConditionalAccessTest lehetőséget.
  6. Az Attribútum neve területen válassza a policyRequirement lehetőséget.
  7. A Hozzárendelt értékek csoportban válassza az Értékek hozzáadása lehetőséget, válassza a requireMFA lehetőséget a listából, majd válassza a Kész lehetőséget.
  8. Válassza a Mentés lehetőséget.

3. lépés: A szabályzat tesztelése

Jelentkezzen be olyan felhasználóként, akire a szabályzat vonatkozna, és tesztelje, hogy az alkalmazás elérésekor szükség van-e az MFA-ra.

Egyéb forgatókönyvek

  • Az örökölt hitelesítés letiltása
  • Alkalmazások külső elérésének letiltása
  • Megfelelő eszköz- vagy Intune-alkalmazásvédelmi szabályzatok megkövetelése
  • Bejelentkezési gyakoriság-vezérlők kényszerítése adott alkalmazásokhoz
  • Emelt szintű hozzáférési munkaállomás megkövetelése adott alkalmazásokhoz
  • Munkamenet-vezérlők megkövetelése magas kockázatú felhasználókhoz és adott alkalmazásokhoz

Kapcsolódó tartalom

Feltételes hozzáférési sablonok

Az effektus meghatározása csak feltételes hozzáférési móddal

A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.