Feltételes hozzáférés: Feltételek
A feltételes hozzáférési szabályzatban a rendszergazda egy vagy több jel használatával javíthatja a szabályzattal kapcsolatos döntéseket.
Több feltétel kombinálható részletes és konkrét feltételes hozzáférési szabályzatok létrehozásához.
Amikor a felhasználók hozzáférnek egy bizalmas alkalmazáshoz, a rendszergazda több feltételt is figyelembe vehet a hozzáférési döntésekben, például:
- Bejelentkezési kockázati információk az ID Protectionből
- Hálózati hely
- Eszközadatok
Felhasználói kockázat
Rendszergazda istratorok hozzáféréssel Az ID Protection egy feltételes hozzáférési szabályzat részeként képes kiértékelni a felhasználói kockázatot. Felhasználói kockázat: annak valószínűségét jelzi, hogy az adott identitás vagy fiók biztonsága sérült. A felhasználói kockázatokkal kapcsolatos további információk a Mi a kockázat és hogyan: A kockázati szabályzatok konfigurálása és engedélyezése című cikkben találhatók.
Bejelentkezési kockázat
Rendszergazda istratorok hozzáféréssel Az ID Protection egy feltételes hozzáférési szabályzat részeként képes kiértékelni a bejelentkezési kockázatot. A bejelentkezési kockázat annak a valószínűségét jelenti, hogy egy adott hitelesítési kérést nem az identitástulajdonos küldött. A bejelentkezési kockázattal kapcsolatos további információk a Mi a kockázat és hogyan: A kockázati szabályzatok konfigurálása és engedélyezése című cikkben találhatók.
Insider-kockázat (előzetes verzió)
Rendszergazda istratorok hozzáféréssel A Microsoft Purview adaptív védelme a Microsoft Purview kockázati jelzéseit beépítheti a feltételes hozzáférési szabályzatok döntéseibe. Az insider-kockázat figyelembe veszi a Microsoft Purview adatszabályozási, adatbiztonsági és kockázati és megfelelőségi konfigurációit. Ezek a jelek olyan környezeti tényezőkön alapulnak, mint például:
- Felhasználói viselkedés
- Előzményminták
- Anomáliadetektálások
Ez a feltétel lehetővé teszi a rendszergazdák számára, hogy feltételes hozzáférési szabályzatokat használva olyan műveleteket hajtsanak végre, mint a hozzáférés letiltása, erősebb hitelesítési módszerek megkövetelése vagy használati feltételek elfogadása.
Ez a funkció magában foglalja olyan paraméterek beépítését, amelyek kifejezetten a szervezeten belül felmerülő lehetséges kockázatokat kezelik. A feltételes hozzáférésnek az Insider-kockázat figyelembe vételéhez való konfigurálásával a rendszergazdák környezeti tényezők, például a felhasználói viselkedés, az előzményminták és az anomáliadetektálások alapján testre szabhatják a hozzáférési engedélyeket.
További információ: Insider risk based policy konfigurálása és engedélyezése.
Eszközplatformok
A feltételes hozzáférés az eszköz által megadott információk, például a felhasználói ügynök sztringjei alapján azonosítja az eszközplatformot. Mivel a felhasználói ügynök sztringjei módosíthatók, ez az információ nem ellenőrzött. Az eszközplatform a Microsoft Intune eszközmegfelelőségi szabályzataival összhangban vagy egy letiltási utasítás részeként használható. Alapértelmezés szerint az összes eszközplatformra vonatkozik.
A feltételes hozzáférés a következő eszközplatformokat támogatja:
- Android
- iOS
- Windows
- macOS
- Linux
Ha letiltja az örökölt hitelesítést az Egyéb ügyfelek feltétellel, beállíthatja az eszközplatform-feltételt is.
Nem támogatjuk a macOS- vagy Linux-eszközplatformok kiválasztását, ha csak a Jóváhagyott ügyfélalkalmazás megkövetelése vagy az Alkalmazásvédelmi szabályzat megkövetelése lehetőséget választja, vagy ha az Összes kiválasztott vezérlő megkövetelése lehetőséget választja.
Fontos
A Microsoft javasolja, hogy rendelkezzen feltételes hozzáférési szabályzattal a nem támogatott eszközplatformokhoz. Ha például a Chrome OS-ből vagy más nem támogatott ügyfelekről szeretné letiltani a vállalati erőforrásokhoz való hozzáférést, akkor olyan eszközplatformokkal rendelkező házirendet kell konfigurálnia, amely tartalmazza az összes eszközt, és kizárja a támogatott eszközplatformokat, és a Hozzáférés letiltása beállítást.
Helyek
Ha a rendszergazdák feltételként konfigurálják a helyet, dönthetnek úgy, hogy belefoglalják vagy kizárják a helyeket. Ezek a megnevezett helyek közé tartozhatnak a nyilvános IPv4- vagy IPv6-hálózati információk, az ország/régió, az ismeretlen területek, amelyek nem egy adott országra/régióra vannak leképezve, valamint a Globális biztonságos hozzáférés megfelelő hálózata.
Ha bármilyen helyet felvesz, ez a beállítás az interneten található IP-címeket is tartalmazza, nem csak a névvel ellátott helyeket. Amikor a rendszergazdák kiválasztanak egy helyet, dönthetnek úgy, hogy kizárják az összes megbízható vagy kijelölt helyet.
Rendszergazda istratorok olyan szabályzatokat hozhatnak létre, amelyek meghatározott helyeket és egyéb feltételeket céloznak meg. A helyekről további információt a Microsoft Entra Feltételes hozzáférés helyfeltételei című cikkben talál.
Ügyfélalkalmazások
Alapértelmezés szerint az újonnan létrehozott feltételes hozzáférési szabályzatok minden ügyfélalkalmazás-típusra érvényesek akkor is, ha az ügyfélalkalmazások feltétele nincs konfigurálva.
Feljegyzés
Az ügyfélalkalmazások viselkedése 2020 augusztusában frissült. Ha meglévő feltételes hozzáférési szabályzatokkal rendelkezik, azok változatlanok maradnak. Ha azonban egy meglévő szabályzatra kattint, a Konfigurálás kapcsoló el lett távolítva, és a rendszer kiválasztja azokat az ügyfélalkalmazásokat, amelyekre a szabályzat vonatkozik.
Fontos
Az örökölt hitelesítési ügyfelek bejelentkezései nem támogatják a többtényezős hitelesítést (MFA), és nem adják át az eszközállapot-információkat, ezért a feltételes hozzáférés engedélyezési vezérlői blokkolják őket, például MFA-t vagy megfelelő eszközöket igényelnek. Ha régebbi hitelesítést használó fiókokkal rendelkezik, akkor vagy ki kell zárnia ezeket a fiókokat a szabályzatból, vagy úgy kell konfigurálnia a házirendet, hogy csak a modern hitelesítési ügyfelekre vonatkozzanak.
Ha a Konfigurálás beállítása Igen, akkor az a megjelölt elemekre vonatkozik. Ha a beállítása Nem, az összes ügyfélalkalmazásra vonatkozik, a modern és a régi hitelesítésű ügyfeleket is beleértve. Ez a beállítás a 2020 augusztusa előtt létrehozott szabályzatokban nem jelenik meg.
- Modern hitelesítési ügyfelek
- Böngésző
- Ilyenek például az olyan protokollokat használó webalapú alkalmazások, mint az SAML, a WS-Federation, az OpenID Csatlakozás vagy az OAuth bizalmas ügyfélként regisztrált szolgáltatások.
- Mobilalkalmazások és asztali ügyfelek
- Ez a beállítás olyan alkalmazásokat is tartalmaz, mint az asztali Office és a telefonos alkalmazások.
- Böngésző
- Örökölt hitelesítési ügyfelek
- Exchange ActiveSync protokoll ügyfelek
- Ez a kijelölés magában foglalja a Exchange ActiveSync protokoll (EAS) protokoll összes használatát.
- Ha a szabályzat letiltja a Exchange ActiveSync protokoll az érintett felhasználó egyetlen karantén e-mailt kap. Ez az e-mail tájékoztatást nyújt arról, hogy miért vannak letiltva, és ha lehetséges, szervizelési utasításokat is tartalmaz.
- Rendszergazda istratorok csak támogatott platformokra (például iOS, Android és Windows) alkalmazhatnak szabályzatot a Feltételes hozzáférés Microsoft Graph API-n keresztül.
- Egyéb ügyfelek
- Ez a beállítás olyan ügyfeleket is tartalmaz, amelyek alapszintű/örökölt hitelesítési protokollokat használnak, amelyek nem támogatják a modern hitelesítést.
- SMTP – A POP- és IMAP-ügyfél által e-mailek küldésére használt.
- Automatikus észlelés – Az Outlook és az EAS-ügyfelek az Exchange Online-ban található postaládák megkeresésére és az azokhoz való csatlakozásra használják.
- Exchange Online PowerShell – Az Exchange Online-hoz való csatlakozáshoz használható távoli PowerShell-lel. Ha letiltja az Exchange Online PowerShell alapszintű hitelesítését, a csatlakozáshoz az Exchange Online PowerShell-modult kell használnia. Útmutatásért tekintse meg Csatlakozás az Exchange Online PowerShell többtényezős hitelesítéssel való használatát.
- Exchange Web Services (EWS) – Az Outlook, a Mac Outlook és a külső alkalmazások által használt programozási felület.
- IMAP4 – Az IMAP e-mail-ügyfelek használják.
- MAPI HTTP-n keresztül (MAPI/HTTP) – Az Outlook 2010 és újabb verziói használják.
- Offline címjegyzék (OAB) – Az Outlook által letöltött és használt címlistagyűjtemények másolata.
- Outlook Bárhol (RPC HTTP-n keresztül) – Az Outlook 2016 és korábbi verziói használják.
- Outlook Service – A Windows 10 Posta és Naptár alkalmazás használja.
- POP3 – A POP e-mail-ügyfelek használják.
- Jelentéskészítési webszolgáltatások – Jelentésadatok lekérésére szolgál az Exchange Online-ban.
- Ez a beállítás olyan ügyfeleket is tartalmaz, amelyek alapszintű/örökölt hitelesítési protokollokat használnak, amelyek nem támogatják a modern hitelesítést.
- Exchange ActiveSync protokoll ügyfelek
Ezeket a feltételeket gyakran használják a következőkre:
- Felügyelt eszköz megkövetelése
- Régi hitelesítési folyamat letiltása
- Webalkalmazások letiltása, de mobil- vagy asztali alkalmazások engedélyezése
Támogatott böngészők
Ez a beállítás minden böngészővel működik. Az eszközszabályzatok , például a megfelelő eszközkövetelmények kielégítése érdekében azonban az alábbi operációs rendszerek és böngészők támogatottak. Az általános támogatáson kívüli operációs rendszerek és böngészők nem jelennek meg ezen a listán:
| Operációs rendszerek | Böngészők |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (lásd a jegyzeteket) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
| Linux Desktop | Microsoft Edge |
Ezek a böngészők támogatják az eszközhitelesítést, így az eszköz azonosítható és érvényesíthető egy szabályzattal. Az eszköz ellenőrzése sikertelen, ha a böngésző privát módban fut, vagy ha a cookie-k le vannak tiltva.
Feljegyzés
Az Edge 85+ használatához a felhasználónak be kell jelentkeznie a böngészőbe az eszköz identitásának megfelelő átadásához. Ellenkező esetben úgy viselkedik, mint a Chrome a fiókbővítmény nélkül. Előfordulhat, hogy ez a bejelentkezés nem történik meg automatikusan egy hibrid eszközcsatlakozásos forgatókönyvben.
A Safari támogatott az eszközalapú feltételes hozzáféréshez egy felügyelt eszközön, de nem felel meg a jóváhagyott ügyfélalkalmazás megkövetelése vagy az alkalmazásvédelmi szabályzat feltételeinek. A Microsoft Edge-hez hasonló felügyelt böngészők megfelelnek a jóváhagyott ügyfélalkalmazási és alkalmazásvédelmi szabályzat követelményeinek. Külső MDM-megoldással rendelkező iOS rendszeren csak a Microsoft Edge böngésző támogatja az eszközházirendet.
A Firefox 91+ támogatott az eszközalapú feltételes hozzáféréshez, de engedélyezni kell a Windows egyszeri bejelentkezését a Microsoft, a munkahelyi és az iskolai fiókok számára.
A Chrome 111+ eszközalapú feltételes hozzáférés esetén támogatott, de a "CloudApAuthEnabled" használatát engedélyezni kell.
Miért jelenik meg egy tanúsítványkérés a böngészőben?
Windows 7 rendszeren az iOS, Android és macOS rendszerű eszközök ügyféltanúsítvány használatával vannak azonosítva. Ez a tanúsítvány az eszköz regisztrálásakor lesz kiépítve. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer kéri a tanúsítvány kiválasztását. A felhasználónak a böngésző használata előtt ki kell választania ezt a tanúsítványt.
Chrome-támogatás
Az Windows 10 alkotói frissítés (1703-es verzió) vagy újabb verziók Chrome-támogatásához telepítse a Windows-fiókok bővítményt, vagy engedélyezze a Chrome CloudAPAuthEnabled bővítményét. Ezekre a konfigurációkra akkor van szükség, ha a feltételes hozzáférési szabályzat kifejezetten a Windows-platformok eszközspecifikus adatait igényli.
A CloudAPAuthEnabled szabályzat automatikus engedélyezéséhez hozza létre a következő beállításkulcsot a Chrome-ban:
- Elérési út:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - Név:
CloudAPAuthEnabled - Érték:
0x00000001 - Tulajdonságtípus:
DWORD
A Windows-fiók bővítmény chrome-böngészőkben való automatikus üzembe helyezéséhez hozza létre a következő beállításkulcsot:
- Elérési út:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - Név:
1 - Típus:
REG_SZ (String) - Adatok:
ppnbnpeolgkicgegkbkbjmhlideopiji;https\://clients2.google.com/service/update2/crx
A Windows 8.1 és 7 Chrome-támogatásához hozza létre a következő beállításkulcsot:
- Elérési út:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - Név:
1 - Típus:
REG_SZ (String) - Adatok:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Támogatott mobilalkalmazások és asztali ügyfelek
Rendszergazda istratorok választhatnak Mobilalkalmazások és asztali ügyfelek ügyfélalkalmazásként.
Ez a beállítás hatással van a következő mobilalkalmazásokból és asztali ügyfelekről végrehajtott hozzáférési kísérletekre:
| Ügyfélalkalmazások | Célszolgáltatás | Platform |
|---|---|---|
| Dynamics CRM-alkalmazás | Dynamics CRM | Windows 10, Windows 8.1, iOS és Android |
| Posta/Naptár/Kapcsolatok alkalmazás, Outlook 2016, Outlook 2013 (modern hitelesítéssel) | Exchange Online | Windows 10 |
| MFA és helyszabályzat alkalmazásokhoz. Az eszközalapú szabályzatok nem támogatottak. | Bármely Saját alkalmazások app service | Android és iOS |
| Microsoft Teams Services – ez az ügyfélalkalmazás szabályozza a Microsoft Teamst és annak összes ügyfélalkalmazását támogató összes szolgáltatást – Windows Desktop, iOS, Android, WP és webügyfél | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android és macOS |
| Office 2016-alkalmazások, Office 2013 (modern hitelesítéssel), OneDrive szinkronizálási app ügyfél | SharePoint | Windows 8.1, Windows 7 |
| Office 2016-alkalmazások, Univerzális Office-app, Office 2013 (modern hitelesítéssel), OneDrive szinkronizálási app ügyfél | SharePoint Online | Windows 10 |
| Office 2016 (csak Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Office-mobilalkalmazások | SharePoint | Android, iOS |
| Office Yammer-alkalmazás | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (macOS Office) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (modern hitelesítéssel), Skype Vállalati verzió (modern hitelesítéssel) | Exchange Online | Windows 8.1, Windows 7 |
| Outlook mobilalkalmazás | Exchange Online | Android, iOS |
| Power BI-alkalmazás | Power BI szolgáltatás | Windows 10, Windows 8.1, Windows 7, Android és iOS |
| Skype Vállalati verzió | Exchange Online | Android, iOS |
| Azure DevOps Services (korábbi nevén Visual Studio Team Services vagy VSTS) alkalmazás | Azure DevOps Services (korábbi nevén Visual Studio Team Services vagy VSTS) | Windows 10, Windows 8.1, Windows 7, iOS és Android |
Exchange ActiveSync protokoll ügyfelek
- Rendszergazda istratorok csak akkor választhatják ki Exchange ActiveSync protokoll ügyfeleket, ha szabályzatot rendelnek a felhasználókhoz vagy csoportokhoz. Ha a Minden felhasználó, a Minden vendég- és külső felhasználó vagy a Címtár szerepkört választja, az összes felhasználóra vonatkozik a szabályzat.
- Amikor a rendszergazdák Exchange ActiveSync protokoll ügyfelekhez rendelt szabályzatot hoznak létre, a szabályzathoz csak az Exchange Online lesz hozzárendelve.
- Rendszergazda istratorok a szabályzat hatókörét meghatározott platformokra szűkíthetik a Az eszközplatformok állapota.
Ha a szabályzathoz rendelt hozzáférés-vezérlés jóváhagyott ügyfélalkalmazást használ, a rendszer arra utasítja a felhasználót, hogy telepítse és használja az Outlook mobilügyfélt. Ha többtényezős hitelesítésre, használati feltételekre vagy egyéni vezérlőkre van szükség, az érintett felhasználók le lesznek tiltva, mert az alapszintű hitelesítés nem támogatja ezeket a vezérlőket.
További információért tekintse át az alábbi cikkeket:
- Korábbi hitelesítés letiltása feltételes hozzáféréssel
- Jóváhagyott ügyfélalkalmazások megkövetelése feltételes hozzáféréssel
Más ügyfelek
Az Egyéb ügyfelek lehetőség kiválasztásával megadhatja azt a feltételt, amely az alapszintű hitelesítést használó alkalmazásokat érinti olyan levelezési protokollokkal, mint az IMAP, a MAPI, a POP, az SMTP és a régebbi, nem modern hitelesítést használó Office-app.
Eszköz állapota (elavult)
Ez a feltétel elavult. Az ügyfeleknek a Feltételes hozzáférési szabályzatban az eszközök szűrője feltételt kell használniuk az eszközállapot feltételével korábban elért forgatókönyvek kielégítése érdekében.
Fontos
Az eszközök eszközállapota és szűrői nem használhatók együtt a feltételes hozzáférési szabályzatban. Az eszközök szűrői részletesebb célzást biztosítanak, beleértve az eszközállapot-információk célzásának támogatását a tulajdonságon és isCompliant a trustType tulajdonságon keresztül.
Eszközszűrő
Ha a rendszergazdák feltételként konfigurálják az eszközök szűrését, dönthetnek úgy, hogy egy szűrőn alapuló eszközöket is belefoglalnak vagy kizárnak az eszköztulajdonságok szabálykifejezéseivel. Az eszközök szűrőjének szabálykifejezése a szabályszerkesztő vagy a szabályszintaxis használatával hozható létre. Ez a felület hasonló a csoportok dinamikus tagsági szabályaihoz használthoz. További információ: Feltételes hozzáférés: Eszközök szűrése.
Hitelesítési folyamatok (előzetes verzió)
A hitelesítési folyamatok szabályozzák, hogy a szervezet hogyan használ bizonyos hitelesítési és engedélyezési protokollokat és támogatásokat. Ezek a folyamatok zökkenőmentes felületet biztosíthatnak azoknak az eszközöknek, amelyek nem rendelkeznek helyi bemeneti eszközökkel, például megosztott eszközökkel vagy digitális aláírásokkal. Ezzel a vezérlőelemel konfigurálhatja az átviteli módszereket, például az eszközkód-folyamatot vagy a hitelesítési átvitelt.