Feltételes hozzáférés számításifeladat-identitásokhoz

  • Cikk

A feltételes hozzáférési szabályzatok előzményként csak a felhasználókra vonatkoznak, amikor olyan alkalmazásokhoz és szolgáltatásokhoz férnek hozzá, mint a SharePoint Online. Mostantól kiterjesztjük a feltételes hozzáférési szabályzatok támogatását a szervezet tulajdonában lévő szolgáltatásnevekre. Ezen képességre Feltételes hozzáférés számításifeladat-identitásokhoz néven utalunk.

A számításifeladat-identitás olyan identitás, amely lehetővé teszi egy alkalmazás vagy szolgáltatásnév számára az erőforrásokhoz való hozzáférést, bizonyos esetekben egy felhasználó kontextusában. Ezek a számítási feladatok identitásai eltérnek a hagyományos felhasználói fiókoktól, mivel:

  • Nem képesek többtényezős hitelesítést végezni.
  • Gyakran nem rendelkeznek formális életciklus-folyamattal.
  • Valahol el kell tárolniuk a hitelesítő adatokat vagy titkos kódokat.

Ezek a különbségek megnehezítik a számítási feladatok identitásainak kezelését, és nagyobb kockázatot jelentenek a biztonság szempontjából.

Fontos

A számításifeladat-identitások prémium szintű licenceire van szükség a szolgáltatásnevekre vonatkozó feltételes hozzáférési szabályzatok létrehozásához vagy módosításához. A megfelelő licencekkel nem rendelkező címtárakban a számításifeladat-identitások meglévő feltételes hozzáférési szabályzatai továbbra is működni fognak, de nem módosíthatók. További információkért lásd: Microsoft Entra Számítási feladat ID.  

Feljegyzés

A házirend a bérlőben regisztrált egyetlen bérlői szolgáltatásnevekre alkalmazható. A külső SaaS és a több-bérlős alkalmazások hatóköre nem terjed ki. A felügyelt identitásokat nem fedi le a szabályzat.

A feltételes hozzáférés számításifeladat-identitásokhoz lehetővé teszi a szolgáltatásnevek letiltását a megbízható nyilvános IP-tartományokon kívülről, a Microsoft Entra ID-védelem által észlelt kockázat alapján, vagy a hitelesítési környezetekkel kombinálva.

Megvalósítás

Helyalapú feltételes hozzáférési szabályzat létrehozása

Hozzon létre egy helyalapú feltételes hozzáférési szabályzatot, amely a szolgáltatásnevekre vonatkozik.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. Mire vonatkozik ez a szabályzat?, válassza a Számítási feladatok identitásai lehetőséget.
    2. A Belefoglalás csoportban válassza a Szolgáltatásnevek kiválasztása lehetőséget, és válassza ki a megfelelő szolgáltatásnevet a listából.
  6. A Célerőforrások>Felhőalkalmazások>Belefoglalva területen válassza az Összes felhőalkalmazás lehetőséget. A szabályzat csak akkor érvényes, ha egy szolgáltatásnév jogkivonatot kér.
  7. A Feltételek>helyek területen adja meg az Összes helyet, és zárja ki azokat a kijelölt helyeket, ahol engedélyezni szeretné a hozzáférést.
  8. A Támogatás területen a Hozzáférés letiltása az egyetlen elérhető lehetőség. A hozzáférés le lesz tiltva, ha a jogkivonat-kérés az engedélyezett tartományon kívülről történik.
  9. A szabályzat csak jelentés módban menthető, így a rendszergazdák megbecsülhetik a hatásokat, vagy a házirend a házirend bekapcsolásával kényszeríthető.
  10. A szabályzat befejezéséhez válassza a Létrehozás lehetőséget .

Kockázatlapú feltételes hozzáférési szabályzat létrehozása

Hozzon létre egy kockázatalapú feltételes hozzáférési szabályzatot, amely a szolgáltatásnevekre vonatkozik.

Feltételes hozzáférési szabályzat létrehozása számítási feladat identitásával és kockázattal feltételként.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. Mire vonatkozik ez a szabályzat?, válassza a Számítási feladatok identitásai lehetőséget.
    2. A Belefoglalás csoportban válassza a Szolgáltatásnevek kiválasztása lehetőséget, és válassza ki a megfelelő szolgáltatásnevet a listából.
  6. A Célerőforrások>Felhőalkalmazások>Belefoglalva területen válassza az Összes felhőalkalmazás lehetőséget. A szabályzat csak akkor érvényes, ha egy szolgáltatásnév jogkivonatot kér.
  7. Feltételek mellett >a szolgáltatásnév kockázata
    1. Állítsa a Konfigurálás kapcsolót Igen értékre.
    2. Válassza ki azokat a kockázati szinteket, amelyeknél a szabályzatot aktiválni szeretné.
    3. Válassza a Kész lehetőséget.
  8. A Támogatás területen a Hozzáférés letiltása az egyetlen elérhető lehetőség. A hozzáférés a megadott kockázati szintek észlelésekor le van tiltva.
  9. A szabályzat csak jelentés módban menthető, így a rendszergazdák megbecsülhetik a hatásokat, vagy a házirend a házirend bekapcsolásával kényszeríthető.
  10. A szabályzat befejezéséhez válassza a Létrehozás lehetőséget .

Visszaállítás

Ha vissza szeretné állítani ezt a funkciót, törölheti vagy letilthatja a létrehozott szabályzatokat.

Bejelentkezési naplók

A bejelentkezési naplók segítségével áttekinthető, hogy a szabályzat hogyan van kényszerítve a szolgáltatásnevekre, vagy hogy a szabályzat várható hatása a csak jelentésalapú mód használata esetén hogyan történik.

  1. Keresse meg az Identity>Monitoring & Health>Bejelentkezési naplók>szolgáltatásnév bejelentkezéseit.
  2. Válasszon ki egy naplóbejegyzést, és válassza a Feltételes hozzáférés lapot a kiértékelési információk megtekintéséhez.

Hiba oka, amikor a feltételes hozzáférés letilt egy szolgáltatásnevet: "A hozzáférés feltételes hozzáférési szabályzatok miatt le lett tiltva."

Csak jelentés mód

A helyalapú szabályzatok eredményeinek megtekintéséhez tekintse meg a bejelentkezési jelentés csak jelentéssel ellátott lapját, vagy használja a feltételes hozzáférési Elemzések és a jelentéskészítő munkafüzetet.

Egy kockázatalapú szabályzat eredményeinek megtekintéséhez tekintse meg a bejelentkezési jelentés csak jelentéssel rendelkező eseményeinek lapját.

Referencia

Az objektumazonosító megkeresése

A szolgáltatásnév objektumazonosítóját a Microsoft Entra Enterprise Applications szolgáltatásból szerezheti be. A Microsoft Entra Alkalmazásregisztrációk objektumazonosítója nem használható. Ez az azonosító az alkalmazásregisztráció objektumazonosítója, nem pedig a szolgáltatásnév.

  1. Keresse meg az Identity>Applications>Enterprise Applications alkalmazást, és keresse meg a regisztrált alkalmazást.
  2. Az Áttekintés lapon másolja ki az alkalmazás objektumazonosítóját. Ez az azonosító a szolgáltatásnév egyedi azonosítója, amelyet a feltételes hozzáférési szabályzat használ a hívó alkalmazás megkereséséhez.

Microsoft Graph

Minta JSON helyalapú konfigurációhoz a Microsoft Graph bétavégpont használatával.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Következő lépések