Mi az a feltételes hozzáférés?

A modern biztonsági szegélyhálózat mostantól a szervezet hálózatán túlnyúlik a felhasználói és eszközidentitások belefoglalására. A szervezetek identitásalapú jeleket használhatnak hozzáférés-vezérlési döntéseik részeként.

A feltételes hozzáférés egyesíti a jeleket, hogy elősegítse a döntések meghozatalát és a szervezeti szabályzatok betartatását. Az Azure AD feltételes hozzáférés az új identitásalapú vezérlősík középpontjában áll.

A feltételes hozzáférési szabályzatok a legegyszerűbben az if-then utasítások, ha egy felhasználó hozzá szeretne férni egy erőforráshoz, akkor végre kell hajtania egy műveletet. Példa: Egy bérszámfejtés-kezelő hozzá szeretne férni a bérszámfejtési alkalmazáshoz, és többtényezős hitelesítést kell végeznie a hozzáféréshez.

A rendszergazdáknak két elsődleges céljuk van:

• A felhasználók hatékony munkájának támogatása bárhol és bármikor
• A szervezet eszközeinek védelme

A feltételes hozzáférési szabályzatokkal szükség esetén alkalmazhatja a megfelelő hozzáférés-vezérlést a szervezet biztonságának megőrzése érdekében.

Fontos

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kikényszeríthetők. A feltételes hozzáférés nem a szervezet első védelmi vonala az olyan forgatókönyvek esetében, mint a szolgáltatásmegtagadásos (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Gyakori jelek

A feltételes hozzáférés szabályzathoz való döntéskor figyelembe veendő gyakori jelek közé tartoznak a következő jelek:

• Felhasználó- vagy csoporttagság
  • A szabályzatok meghatározott felhasználókra és csoportokra célozhatók, így a rendszergazdák részletesen szabályozhatják a hozzáférést.
• IP-cím helyadatai
  • A szervezetek megbízható IP-címtartományokat hozhatnak létre, amelyek felhasználhatók a szabályzattal kapcsolatos döntések meghozatalához.
  • A rendszergazdák teljes ország/régió IP-tartományt adhatnak meg a forgalom blokkolásához vagy engedélyezéséhez.
• Eszköz
  • A feltételes hozzáférési szabályzatok kikényszerítésekor az adott platformmal rendelkező vagy adott állapotú eszközökkel rendelkező felhasználók használhatók.
  • Az eszközök szűrőinek használatával szabályzatokat célozhat meg bizonyos eszközökre, például emelt szintű hozzáférésű munkaállomásokra.
• Alkalmazás
  • Az adott alkalmazásokhoz hozzáférni próbáló felhasználók különböző feltételes hozzáférési szabályzatokat aktiválhatnak.
• Valós idejű és számított kockázatészlelés
  • Az Azure AD Identity Protection jelintegrációja lehetővé teszi a feltételes hozzáférési szabályzatok számára a kockázatos bejelentkezési viselkedés azonosítását. A szabályzatok ezután kényszeríthetik a felhasználókat a jelszavuk módosítására, a többtényezős hitelesítésre a kockázati szint csökkentése érdekében, vagy letilthatják a hozzáférést, amíg a rendszergazda manuális műveleteket nem hajt végre.
• Microsoft Defender for Cloud Apps
  • Lehetővé teszi a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozását és vezérlését, ezáltal növelve a felhőkörnyezeten belüli hozzáférés és tevékenységek láthatóságát és szabályozását.

Gyakori döntések

• Hozzáférés letiltása
  • Legszigorúbb döntés
• Hozzáférés biztosítása
  • A legkevésbé korlátozó döntéshez továbbra is szükség lehet az alábbi lehetőségek közül egy vagy többre:
    • Többtényezős hitelesítés megkövetelése
    • Eszköz megfelelőként való megjelölésének megkövetelése
    • Hibrid Azure AD-hez csatlakoztatott eszköz megkövetelése
    • Jóváhagyott ügyfélalkalmazás megkövetelése
    • Alkalmazásvédelmi szabályzat megkövetelése (előzetes verzió)

Gyakran alkalmazott szabályzatok

Számos szervezet rendelkezik olyan gyakori hozzáférési problémákkal, amelyekben a feltételes hozzáférési szabályzatok segíthetnek , például:

• Többtényezős hitelesítés megkövetelése rendszergazdai szerepkörökkel rendelkező felhasználók számára
• Többtényezős hitelesítés megkövetelése az Azure felügyeleti feladataihoz
• A bejelentkezések blokkolása az örökölt hitelesítési protokollokat használó felhasználók számára
• Megbízható helyek megkövetelése az Azure AD Multi-Factor Authentication-regisztrációhoz
• Hozzáférés letiltása vagy biztosítása adott helyekről
• Kockázatos bejelentkezési viselkedések blokkolása
• Szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz

Licenckövetelmények

A funkció használatához Prémium szintű Azure AD P1-licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

Ha Microsoft 365 Business prémium szintű licenccel rendelkező ügyfelei vannak, akkor szintén elérheti a feltételes hozzáférés szolgáltatásait.

A kockázatalapú szabályzatokhoz hozzá kell férni az Identity Protectionhez, amely egy Azure AD P2 szolgáltatás.

A feltételes hozzáférési szabályzatokkal interakcióba lépő egyéb termékekhez és szolgáltatásokhoz ezeknek a termékeknek és szolgáltatásoknak a megfelelő licencére van szükség.

Ha a feltételes hozzáféréshez szükséges licencek lejárnak, a szabályzatok nem lesznek automatikusan letiltva vagy törölve, így az ügyfelek anélkül migrálhatnak a feltételes hozzáférési szabályzatokból, hogy hirtelen megváltozik a biztonsági helyzetük. A fennmaradó szabályzatok megtekinthetők és törölhetők, de már nem frissíthetők.

A biztonsági alapértékek segítenek az identitással kapcsolatos támadások elleni védelemben, és minden ügyfél számára elérhetők.

Következő lépések

• Feltételes hozzáférési szabályzat összeállítása darabonként
• A feltételes hozzáférés üzembe helyezésének megtervezése
• Tudnivalók az Identity Protectionről
• A Microsoft Defender for Cloud Apps ismertetése
• Tudnivalók a Microsoft Intune-ról