Mi az a feltételes hozzáférés?

A modern biztonsági szegélyhálózat mostantól a szervezet hálózatán túlnyúlik a felhasználói és eszközidentitások belefoglalására. A szervezetek identitásalapú jeleket használhatnak hozzáférés-vezérlési döntéseik részeként.

A feltételes hozzáférés egyesíti a jeleket, hogy elősegítse a döntések meghozatalát és a szervezeti szabályzatok betartatását. Az Azure AD feltételes hozzáférés az új identitásalapú vezérlősík középpontjában áll.

Fogalmi feltételes jelzés plusz döntés a kényszerítésről

A feltételes hozzáférési szabályzatok a legegyszerűbben az if-then utasítások, ha egy felhasználó hozzá szeretne férni egy erőforráshoz, akkor végre kell hajtania egy műveletet. Példa: Egy bérszámfejtés-kezelő hozzá szeretne férni a bérszámfejtési alkalmazáshoz, és többtényezős hitelesítést kell végeznie a hozzáféréshez.

A rendszergazdáknak két elsődleges céljuk van:

  • A felhasználók hatékony munkájának támogatása bárhol és bármikor
  • A szervezet eszközeinek védelme

A feltételes hozzáférési szabályzatokkal szükség esetén alkalmazhatja a megfelelő hozzáférés-vezérlést a szervezet biztonságának megőrzése érdekében.

A feltételes hozzáférés elvi folyamata

Fontos

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kikényszeríthetők. A feltételes hozzáférés nem a szervezet első védelmi vonala az olyan forgatókönyvek esetében, mint a szolgáltatásmegtagadásos (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Gyakori jelek

A feltételes hozzáférés szabályzathoz való döntéskor figyelembe veendő gyakori jelek közé tartoznak a következő jelek:

  • Felhasználó- vagy csoporttagság
    • A szabályzatok meghatározott felhasználókra és csoportokra célozhatók, így a rendszergazdák részletesen szabályozhatják a hozzáférést.
  • IP-cím helyadatai
    • A szervezetek megbízható IP-címtartományokat hozhatnak létre, amelyek felhasználhatók a szabályzattal kapcsolatos döntések meghozatalához.
    • A rendszergazdák teljes ország/régió IP-tartományt adhatnak meg a forgalom blokkolásához vagy engedélyezéséhez.
  • Eszköz
    • A feltételes hozzáférési szabályzatok kikényszerítésekor az adott platformmal rendelkező vagy adott állapotú eszközökkel rendelkező felhasználók használhatók.
    • Az eszközök szűrőinek használatával szabályzatokat célozhat meg bizonyos eszközökre, például emelt szintű hozzáférésű munkaállomásokra.
  • Alkalmazás
    • Az adott alkalmazásokhoz hozzáférni próbáló felhasználók különböző feltételes hozzáférési szabályzatokat aktiválhatnak.
  • Valós idejű és számított kockázatészlelés
    • Az Azure AD Identity Protection jelintegrációja lehetővé teszi a feltételes hozzáférési szabályzatok számára a kockázatos bejelentkezési viselkedés azonosítását. A szabályzatok ezután kényszeríthetik a felhasználókat a jelszavuk módosítására, a többtényezős hitelesítésre a kockázati szint csökkentése érdekében, vagy letilthatják a hozzáférést, amíg a rendszergazda manuális műveleteket nem hajt végre.
  • Microsoft Defender for Cloud Apps
    • Lehetővé teszi a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozását és vezérlését, ezáltal növelve a felhőkörnyezeten belüli hozzáférés és tevékenységek láthatóságát és szabályozását.

Gyakori döntések

  • Hozzáférés letiltása
    • Legszigorúbb döntés
  • Hozzáférés biztosítása
    • A legkevésbé korlátozó döntéshez továbbra is szükség lehet az alábbi lehetőségek közül egy vagy többre:
      • Többtényezős hitelesítés megkövetelése
      • Eszköz megfelelőként való megjelölésének megkövetelése
      • Hibrid Azure AD-hez csatlakoztatott eszköz megkövetelése
      • Jóváhagyott ügyfélalkalmazás megkövetelése
      • Alkalmazásvédelmi szabályzat megkövetelése (előzetes verzió)

Gyakran alkalmazott szabályzatok

Számos szervezet rendelkezik olyan gyakori hozzáférési problémákkal, amelyekben a feltételes hozzáférési szabályzatok segíthetnek , például:

  • Többtényezős hitelesítés megkövetelése rendszergazdai szerepkörökkel rendelkező felhasználók számára
  • Többtényezős hitelesítés megkövetelése az Azure felügyeleti feladataihoz
  • A bejelentkezések blokkolása az örökölt hitelesítési protokollokat használó felhasználók számára
  • Megbízható helyek megkövetelése az Azure AD Multi-Factor Authentication-regisztrációhoz
  • Hozzáférés letiltása vagy biztosítása adott helyekről
  • Kockázatos bejelentkezési viselkedések blokkolása
  • Szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz

Licenckövetelmények

A funkció használatához Prémium szintű Azure AD P1-licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

Ha Microsoft 365 Business prémium szintű licenccel rendelkező ügyfelei vannak, akkor szintén elérheti a feltételes hozzáférés szolgáltatásait.

A kockázatalapú szabályzatokhoz hozzá kell férni az Identity Protectionhez, amely egy Azure AD P2 szolgáltatás.

A feltételes hozzáférési szabályzatokkal interakcióba lépő egyéb termékekhez és szolgáltatásokhoz ezeknek a termékeknek és szolgáltatásoknak a megfelelő licencére van szükség.

Ha a feltételes hozzáféréshez szükséges licencek lejárnak, a szabályzatok nem lesznek automatikusan letiltva vagy törölve, így az ügyfelek anélkül migrálhatnak a feltételes hozzáférési szabályzatokból, hogy hirtelen megváltozik a biztonsági helyzetük. A fennmaradó szabályzatok megtekinthetők és törölhetők, de már nem frissíthetők.

A biztonsági alapértékek segítenek az identitással kapcsolatos támadások elleni védelemben, és minden ügyfél számára elérhetők.

Következő lépések