Mi az a feltételes hozzáférés?
A modern biztonsági szegélyhálózat mostantól a szervezet hálózatán túlnyúlik a felhasználói és eszközidentitások belefoglalására. A szervezetek identitásalapú jeleket használhatnak hozzáférés-vezérlési döntéseik részeként.
A feltételes hozzáférés egyesíti a jeleket, hogy elősegítse a döntések meghozatalát és a szervezeti szabályzatok betartatását. Az Azure AD feltételes hozzáférés az új identitásalapú vezérlősík középpontjában áll.
A feltételes hozzáférési szabályzatok a legegyszerűbben az if-then utasítások, ha egy felhasználó hozzá szeretne férni egy erőforráshoz, akkor végre kell hajtania egy műveletet. Példa: Egy bérszámfejtés-kezelő hozzá szeretne férni a bérszámfejtési alkalmazáshoz, és többtényezős hitelesítést kell végeznie a hozzáféréshez.
A rendszergazdáknak két elsődleges céljuk van:
- A felhasználók hatékony munkájának támogatása bárhol és bármikor
- A szervezet eszközeinek védelme
A feltételes hozzáférési szabályzatokkal szükség esetén alkalmazhatja a megfelelő hozzáférés-vezérlést a szervezet biztonságának megőrzése érdekében.
Fontos
A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kikényszeríthetők. A feltételes hozzáférés nem a szervezet első védelmi vonala az olyan forgatókönyvek esetében, mint a szolgáltatásmegtagadásos (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.
Gyakori jelek
A feltételes hozzáférés szabályzathoz való döntéskor figyelembe veendő gyakori jelek közé tartoznak a következő jelek:
- Felhasználó- vagy csoporttagság
- A szabályzatok meghatározott felhasználókra és csoportokra célozhatók, így a rendszergazdák részletesen szabályozhatják a hozzáférést.
- IP-cím helyadatai
- A szervezetek megbízható IP-címtartományokat hozhatnak létre, amelyek felhasználhatók a szabályzattal kapcsolatos döntések meghozatalához.
- A rendszergazdák teljes ország/régió IP-tartományt adhatnak meg a forgalom blokkolásához vagy engedélyezéséhez.
- Eszköz
- A feltételes hozzáférési szabályzatok kikényszerítésekor az adott platformmal rendelkező vagy adott állapotú eszközökkel rendelkező felhasználók használhatók.
- Az eszközök szűrőinek használatával szabályzatokat célozhat meg bizonyos eszközökre, például emelt szintű hozzáférésű munkaállomásokra.
- Alkalmazás
- Az adott alkalmazásokhoz hozzáférni próbáló felhasználók különböző feltételes hozzáférési szabályzatokat aktiválhatnak.
- Valós idejű és számított kockázatészlelés
- Az Azure AD Identity Protection jelintegrációja lehetővé teszi a feltételes hozzáférési szabályzatok számára a kockázatos bejelentkezési viselkedés azonosítását. A szabályzatok ezután kényszeríthetik a felhasználókat a jelszavuk módosítására, a többtényezős hitelesítésre a kockázati szint csökkentése érdekében, vagy letilthatják a hozzáférést, amíg a rendszergazda manuális műveleteket nem hajt végre.
- Microsoft Defender for Cloud Apps
- Lehetővé teszi a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozását és vezérlését, ezáltal növelve a felhőkörnyezeten belüli hozzáférés és tevékenységek láthatóságát és szabályozását.
Gyakori döntések
- Hozzáférés letiltása
- Legszigorúbb döntés
- Hozzáférés biztosítása
- A legkevésbé korlátozó döntéshez továbbra is szükség lehet az alábbi lehetőségek közül egy vagy többre:
- Többtényezős hitelesítés megkövetelése
- Eszköz megfelelőként való megjelölésének megkövetelése
- Hibrid Azure AD-hez csatlakoztatott eszköz megkövetelése
- Jóváhagyott ügyfélalkalmazás megkövetelése
- Alkalmazásvédelmi szabályzat megkövetelése (előzetes verzió)
- A legkevésbé korlátozó döntéshez továbbra is szükség lehet az alábbi lehetőségek közül egy vagy többre:
Gyakran alkalmazott szabályzatok
Számos szervezet rendelkezik olyan gyakori hozzáférési problémákkal, amelyekben a feltételes hozzáférési szabályzatok segíthetnek , például:
- Többtényezős hitelesítés megkövetelése rendszergazdai szerepkörökkel rendelkező felhasználók számára
- Többtényezős hitelesítés megkövetelése az Azure felügyeleti feladataihoz
- A bejelentkezések blokkolása az örökölt hitelesítési protokollokat használó felhasználók számára
- Megbízható helyek megkövetelése az Azure AD Multi-Factor Authentication-regisztrációhoz
- Hozzáférés letiltása vagy biztosítása adott helyekről
- Kockázatos bejelentkezési viselkedések blokkolása
- Szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz
Licenckövetelmények
A funkció használatához Prémium szintű Azure AD P1-licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.
Ha Microsoft 365 Business prémium szintű licenccel rendelkező ügyfelei vannak, akkor szintén elérheti a feltételes hozzáférés szolgáltatásait.
A kockázatalapú szabályzatokhoz hozzá kell férni az Identity Protectionhez, amely egy Azure AD P2 szolgáltatás.
A feltételes hozzáférési szabályzatokkal interakcióba lépő egyéb termékekhez és szolgáltatásokhoz ezeknek a termékeknek és szolgáltatásoknak a megfelelő licencére van szükség.
Ha a feltételes hozzáféréshez szükséges licencek lejárnak, a szabályzatok nem lesznek automatikusan letiltva vagy törölve, így az ügyfelek anélkül migrálhatnak a feltételes hozzáférési szabályzatokból, hogy hirtelen megváltozik a biztonsági helyzetük. A fennmaradó szabályzatok megtekinthetők és törölhetők, de már nem frissíthetők.
A biztonsági alapértékek segítenek az identitással kapcsolatos támadások elleni védelemben, és minden ügyfél számára elérhetők.