Feltételes hozzáférési szabályzatok alkalmazása privát hozzáférési alkalmazásokra

A feltételes hozzáférési szabályzatok alkalmazása az Microsoft Entra privát hozzáférés-alkalmazásokra hatékony módszer a belső, privát erőforrások biztonsági szabályzatainak kikényszerítésére. Feltételes hozzáférési szabályzatokat alkalmazhat a gyorselérési és privát hozzáférésű alkalmazásokra a Globális biztonságos hozzáférés szolgáltatásból.

Ez a cikk bemutatja, hogyan alkalmazhat feltételes hozzáférési szabályzatokat a gyorselérési és privát hozzáférési alkalmazásokra.

Előfeltételek

• A globális biztonságos hozzáférés funkcióit használó rendszergazdáknak az elvégzett feladatoktól függően az alábbi szerepkör-hozzárendelések közül legalább egynek kell rendelkezniük.
  • A globális biztonságos hozzáférés-rendszergazdai szerepkör a globális biztonságos hozzáférés funkcióinak kezeléséhez.
  • A feltételes hozzáférési szabályzatok létrehozásához és használatához szükséges feltételes hozzáférési rendszergazda .
• Konfigurálnia kell a gyorselérést vagy a privát hozzáférést.
• A termék licencelést igényel. További részletekért tekintse meg a Mi a globális biztonságos hozzáférés licencelési szakaszát. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.

Ismert korlátozások

• Jelenleg a globális biztonságos hozzáférési ügyfélen keresztüli csatlakozás szükséges a privát hozzáférésű forgalom beszerzéséhez.

Feltételes hozzáférés és globális biztonságos hozzáférés

A Globális biztonságos hozzáférés szolgáltatásból feltételes hozzáférési szabályzatot hozhat létre a gyorselérési vagy privát hozzáférésű alkalmazásokhoz. A globális biztonságos hozzáférésből kiinduló folyamat automatikusan hozzáadja a kiválasztott alkalmazást a szabályzat célerőforrásaként . Mindössze konfigurálnia kell a házirend-beállításokat.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.

2. Keresse meg a Global Secure Access>Applications>Enterprise-alkalmazásokat.

3. Válasszon ki egy alkalmazást a listából.

   

4. Az oldalmenüben válassza a Feltételes hozzáférés lehetőséget. A meglévő feltételes hozzáférési szabályzatok megjelennek a listában.

   

5. Válassza az Új szabályzat létrehozása lehetőséget. A kijelölt alkalmazás megjelenik a Célerőforrások részletei között.

   

6. Konfigurálja a feltételeket, a hozzáférés-vezérlést, és szükség szerint rendeljen hozzá felhasználókat és csoportokat.

Feltételes hozzáférési szabályzatokat egyéni attribútumokon alapuló alkalmazáscsoportokra is alkalmazhat. További információ: Az alkalmazások szűrése a feltételes hozzáférési szabályzatban.

Hozzárendelések és hozzáférés-vezérlők – példa

Módosítsa a következő szabályzatadatokat egy feltételes hozzáférési szabályzat létrehozásához, amely többtényezős hitelesítést, eszközmegfelelőséget vagy hibrid Microsoft Entra-csatlakoztatott eszközt igényel a Gyorselérési alkalmazáshoz. A felhasználói hozzárendelések biztosítják, hogy a szervezet vészhelyzeti hozzáférésű vagy törésüveg-fiókjai ki legyenek zárva a szabályzatból.

1. A Hozzárendelések csoportban válassza a Felhasználók lehetőséget:
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
2. A Hozzáférés-vezérlési beállítások>területen adja meg a következőt:
   1. Válassza a Többtényezős hitelesítés megkövetelése, az eszköz megfelelőként való megjelölésének megkövetelése, valamint a Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése lehetőséget
3. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.

Miután a rendszergazdák megerősítették a házirend-beállításokat a csak jelentésalapú módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

• A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
  • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Következő lépések

• A privát hozzáférésű forgalomtovábbítási profil engedélyezése
• Forrás IP-visszaállításának engedélyezése