Feltételes hozzáférés: Felhasználók, csoportok és számítási feladatok identitásai

A feltételes hozzáférési szabályzatnak tartalmaznia kell egy felhasználó, csoport vagy számítási feladat identitás-hozzárendelését a döntési folyamat egyik jelzéseként. Ezek az identitások belefoglalhatók vagy kizárhatók a feltételes hozzáférési szabályzatokból. A Microsoft Entra ID kiértékeli az összes szabályzatot, és biztosítja, hogy a hozzáférés megadása előtt minden követelmény teljesül.

Felhasználók belefoglalása

Ez a felhasználók listája általában tartalmazza a szervezet által a feltételes hozzáférési szabályzatban megcélzott összes felhasználót.

A feltételes hozzáférési szabályzatok létrehozásakor az alábbi lehetőségek érhetők el.

  • Nincs
    • Nincs kijelölve felhasználó
  • Minden felhasználó
    • A címtárban található összes felhasználó, beleértve a B2B-vendégeket is.
  • Felhasználók és csoportok kiválasztása
    • Vendég- vagy külső felhasználók
      • Ez a kijelölés több lehetőséget is kínál, amelyekkel feltételes hozzáférési szabályzatokat célozhat meg adott vendég- vagy külső felhasználói típusok, illetve adott bérlők számára, amelyek ilyen típusú felhasználókat tartalmaznak. Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
        • B2B együttműködési vendégfelhasználók
        • B2B együttműködési tagfelhasználók
        • B2B közvetlen kapcsolódási felhasználók
        • Helyi vendégfelhasználók, például az otthoni bérlőhöz tartozó összes felhasználó, és a felhasználótípus attribútuma vendégként van beállítva
        • Szolgáltatói felhasználók, például egy Felhőszolgáltató (CSP)
        • Egyéb külső felhasználók, vagy a többi felhasználótípus-kijelölés által nem képviselt felhasználók
      • Egy vagy több bérlő megadható a kiválasztott felhasználói típus(ok)hoz, vagy megadhatja az összes bérlőt.
    • Címtárszerepkörök
      • Lehetővé teszi a rendszergazdák számára a szabályzat-hozzárendelés meghatározásához használt, beépített Microsoft Entra címtárszerepkörök kiválasztását. Előfordulhat például, hogy a szervezetek szigorúbb szabályzatot hoznak létre a globális Rendszergazda istrator szerepkört aktívan hozzárendelő felhasználókra vonatkozóan. Más szerepkörtípusok nem támogatottak, beleértve a felügyeleti egységek hatókörébe tartozó szerepköröket és az egyéni szerepköröket.
        • A feltételes hozzáférés lehetővé teszi, hogy a rendszergazdák kiválasztjanak néhány olyan szerepkört, amely elavultként szerepel a listán. Ezek a szerepkörök továbbra is megjelennek a mögöttes API-ban, és lehetővé tesszük a rendszergazdák számára, hogy szabályzatot alkalmazzanak rájuk.
    • Felhasználók és csoportok
      • Lehetővé teszi adott felhasználói csoportok célzását. A szervezetek kiválaszthatják például azt a csoportot, amely a HR-részleg összes tagját tartalmazza, ha egy HR-alkalmazás van kiválasztva felhőalkalmazásként. A csoport bármilyen típusú felhasználói csoport lehet a Microsoft Entra-azonosítóban, beleértve a dinamikus vagy hozzárendelt biztonsági és terjesztési csoportokat is. A szabályzat beágyazott felhasználókra és csoportokra lesz alkalmazva.

Fontos

Ha kiválasztja, hogy mely felhasználókat és csoportokat tartalmazza a feltételes hozzáférési szabályzat, a feltételes hozzáférési szabályzathoz közvetlenül hozzáadható egyéni felhasználók száma korlátozott. Ha nagy mennyiségű egyéni felhasználót kell közvetlenül hozzáadni egy feltételes hozzáférési szabályzathoz, javasoljuk, hogy helyezze a felhasználókat egy csoportba, és rendelje hozzá a csoportot a feltételes hozzáférési szabályzathoz.

Ha a felhasználók vagy csoportok több mint 2048 csoport tagjai, a hozzáférésük blokkolva lehet. Ez a korlát a közvetlen és a beágyazott csoporttagságra is vonatkozik.

Figyelmeztetés

A feltételes hozzáférési szabályzatok nem támogatják azokat a felhasználókat, amelyek egy felügyeleti egységhez vagy címtárszerepkörhöz hatókörrel rendelkező címtárszerepkört rendelnek közvetlenül egy objektumhoz, például egyéni szerepkörökön keresztül.

Feljegyzés

A szabályzatok közvetlen B2B-kapcsolatra történő megcélzásakor ezek a szabályzatok a B2B-együttműködés azon felhasználóira is érvényesek lesznek, akik hozzáférnek a Teamshez vagy a SharePoint Online-hoz, és jogosultak a közvetlen B2B-csatlakozásra is. Ugyanez vonatkozik a B2B-együttműködés külső felhasználóira vonatkozó szabályzatokra is, ami azt jelenti, hogy a Megosztott Teams-csatornákhoz hozzáférő felhasználókra B2B együttműködési szabályzatok vonatkoznak, ha vendégfelhasználói jelenléttel is rendelkeznek a bérlőben.

Felhasználók kizárása

Ha a szervezetek is belefoglalnak és kizárnak egy felhasználót vagy csoportot, a rendszer kizárja a felhasználót vagy csoportot a szabályzatból. A kizárási művelet felülírja a belefoglalási műveletet a szabályzatban. A kizárásokat gyakran használják vészhelyzeti hozzáféréshez vagy üvegtöréses fiókokhoz. A segélyhívási fiókokról és azok fontosságáról az alábbi cikkekben talál további információt:

A feltételes hozzáférési szabályzatok létrehozásakor az alábbi lehetőségek zárhatóak ki.

  • Vendég- vagy külső felhasználók
    • Ez a kijelölés több lehetőséget is kínál, amelyekkel feltételes hozzáférési szabályzatokat célozhat meg adott vendég- vagy külső felhasználói típusok, illetve adott bérlők számára, amelyek ilyen típusú felhasználókat tartalmaznak. Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
      • B2B együttműködési vendégfelhasználók
      • B2B együttműködési tagfelhasználók
      • B2B közvetlen kapcsolódási felhasználók
      • Helyi vendégfelhasználók, például az otthoni bérlőhöz tartozó összes felhasználó, és a felhasználótípus attribútuma vendégként van beállítva
      • Szolgáltatói felhasználók, például egy Felhőszolgáltató (CSP)
      • Egyéb külső felhasználók, vagy a többi felhasználótípus-kijelölés által nem képviselt felhasználók
    • Egy vagy több bérlő megadható a kiválasztott felhasználói típus(ok)hoz, vagy megadhatja az összes bérlőt.
  • Címtárszerepkörök
    • Lehetővé teszi a rendszergazdák számára, hogy meghatározott Microsoft Entra címtárszerepköröket válasszanak ki a hozzárendelés meghatározásához. A szervezetek például szigorúbb szabályzatot hozhatnak létre a globális Rendszergazda istrator szerepkörrel rendelkező felhasználókra vonatkozóan.
  • Felhasználók és csoportok
    • Lehetővé teszi adott felhasználói csoportok célzását. A szervezetek kiválaszthatják például azt a csoportot, amely a HR-részleg összes tagját tartalmazza, ha egy HR-alkalmazás van kiválasztva felhőalkalmazásként. A csoport bármilyen típusú csoport lehet a Microsoft Entra-azonosítóban, beleértve a dinamikus vagy hozzárendelt biztonsági és terjesztési csoportokat is. A szabályzat beágyazott felhasználókra és csoportokra lesz alkalmazva.

Rendszergazdai zárolás megakadályozása

A rendszergazdai zárolás megakadályozása érdekében a minden felhasználóra és minden alkalmazásra alkalmazott szabályzat létrehozásakor az alábbi figyelmeztetés jelenik meg.

Ne zárd ki magad! Javasoljuk, hogy először alkalmazzon egy szabályzatot egy kis számú felhasználóra, hogy ellenőrizze, hogy a szabályzat a várt módon működik-e. Azt is javasoljuk, hogy legalább egy rendszergazdát zárjunk ki ebből a szabályzatból. Ez biztosítja, hogy továbbra is legyen hozzáférése, és ha módosításra van szükség, frissíthet egy szabályzatot. Tekintse át az érintett felhasználókat és alkalmazásokat.

A szabályzat alapértelmezés szerint lehetőséget biztosít arra, hogy kizárja az aktuális felhasználót a szabályzatból, de a rendszergazda felülbírálhatja az alábbi képen látható módon.

Warning, don't lock yourself out!

Ha bezártnak találja magát, olvassa el a Mi a teendő, ha ki van zárva?

Külső partnerek hozzáférése

A külső felhasználókat célzó feltételes hozzáférési szabályzatok zavarhatják a szolgáltatói hozzáférést, például részletes delegált rendszergazdai jogosultságok – Bevezetés a részletes delegált rendszergazdai jogosultságok (GDAP) használatába. A szolgáltatói bérlők megcélzására szolgáló szabályzatok esetében használja a vendég- vagy külső felhasználók kiválasztási beállításai között elérhető külső felhasználótípust.

Számítási feladatok identitásai

A számítási feladatok identitása olyan identitás, amely lehetővé teszi egy alkalmazás vagy szolgáltatásnév számára az erőforrásokhoz való hozzáférést, néha egy felhasználó kontextusában. A feltételes hozzáférési szabályzatok a bérlőben regisztrált egyetlen bérlői szolgáltatásnevekre alkalmazhatók. A külső SaaS és a több-bérlős alkalmazások hatóköre nem terjed ki. A felügyelt identitásokat nem fedi le a szabályzat.

A szervezetek meghatározott számítási feladat-identitásokat célozhatnak meg, amelyek belefoglalhatók vagy kizárhatók a szabályzatból.

További információ: Feltételes hozzáférés a számítási feladatok identitásaihoz.

Következő lépések