Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Áttekintés
A feltételes hozzáférési szabályzatok a döntési folyamat egyik jelzéseként felhasználói, csoport-, ügynök- vagy számítási feladatok identitás-hozzárendelését tartalmazzák. Ezek az identitások belefoglalhatók vagy kizárhatók a feltételes hozzáférési szabályzatokból. Microsoft Entra ID kiértékeli az összes szabályzatot, és biztosítja, hogy a hozzáférés megadása előtt minden követelmény teljesül.
Felhasználók belefoglalása
Ez a lista általában a feltételes hozzáférési szabályzatban megcélzott összes felhasználót tartalmazza.
Feltételes hozzáférési szabályzat létrehozásakor az alábbi lehetőségek érhetők el.
- Egyik sem
- Nincsenek kijelölve felhasználók
- Minden felhasználó
- A címtár minden felhasználója, beleértve a B2B-vendégeket is.
- Felhasználók és csoportok kiválasztása
- Vendég- vagy külső felhasználók
- Ez a beállítás lehetővé teszi, hogy a feltételes hozzáférési szabályzatokat meghatározott vendég- vagy külső felhasználótípusokra és bérlőkre célozza meg, amelyek ezeket a felhasználókat tartalmazzák.
Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
- B2B együttműködési vendégfelhasználók
- B2B együttműködési tagfelhasználók
- B2B közvetlen kapcsolódási felhasználók
- Helyi vendégfelhasználók, például az otthoni bérlőhöz tartozó összes felhasználó, és a felhasználótípus attribútuma vendégként van beállítva
- Szolgáltatói felhasználók, például egy Felhőszolgáltató (CSP)
- Egyéb külső felhasználók, vagy a többi felhasználótípus-kijelölés által nem képviselt felhasználók
- Egy vagy több bérlő adható meg a kiválasztott felhasználói típusokhoz, vagy megadhatja az összes bérlőt.
- Ez a beállítás lehetővé teszi, hogy a feltételes hozzáférési szabályzatokat meghatározott vendég- vagy külső felhasználótípusokra és bérlőkre célozza meg, amelyek ezeket a felhasználókat tartalmazzák.
Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
- Címtárszerepkörök
- Lehetővé teszi, hogy a rendszergazdák meghatározott beépített címtárszerepköröket válasszanak ki a szabályzat-hozzárendelés meghatározásához. A szervezetek például szigorúbb szabályzatot hozhatnak létre a kiemelt szerepkörhöz aktívan hozzárendelt felhasználókra vonatkozóan. Más szerepkörtípusok nem támogatottak, beleértve a felügyeleti egységek hatókörébe tartozó szerepköröket és az egyéni szerepköröket.
- A feltételes hozzáférés lehetővé teszi, hogy a rendszergazdák kiválasztjanak néhány olyan szerepkört, amely elavultként szerepel a listán. Ezek a szerepkörök továbbra is megjelennek a mögöttes API-ban, és lehetővé tesszük a rendszergazdák számára, hogy szabályzatot alkalmazzanak rájuk.
- Lehetővé teszi, hogy a rendszergazdák meghatározott beépített címtárszerepköröket válasszanak ki a szabályzat-hozzárendelés meghatározásához. A szervezetek például szigorúbb szabályzatot hozhatnak létre a kiemelt szerepkörhöz aktívan hozzárendelt felhasználókra vonatkozóan. Más szerepkörtípusok nem támogatottak, beleértve a felügyeleti egységek hatókörébe tartozó szerepköröket és az egyéni szerepköröket.
- Felhasználók és csoportok
- Lehetővé teszi adott felhasználói csoportok célzását. A szervezetek kiválaszthatják például azt a csoportot, amely a HR-részleg összes tagját tartalmazza, ha egy HR-alkalmazás van kiválasztva felhőalkalmazásként. A csoport bármilyen típusú felhasználói csoport lehet Microsoft Entra ID, beleértve a dinamikus vagy hozzárendelt biztonsági és terjesztési csoportokat is. A szabályzat beágyazott felhasználókra és csoportokra lesz alkalmazva.
- Vendég- vagy külső felhasználók
Fontos
Ha kiválasztja, hogy mely felhasználók és csoportok szerepelnek a feltételes hozzáférési szabályzatban, a feltételes hozzáférési szabályzathoz közvetlenül hozzáadható egyéni felhasználók száma korlátozott. Ha sok egyéni felhasználót kell hozzáadni egy feltételes hozzáférési szabályzathoz, helyezze őket egy csoportba, és rendelje hozzá a csoportot a szabályzathoz.
Ha a felhasználók vagy csoportok több mint 2048 csoporthoz tartoznak, a hozzáférésük blokkolva lehet. Ez a korlát a közvetlen és a beágyazott csoporttagságra is vonatkozik.
Figyelmeztetés
A feltételes hozzáférési szabályzatok nem támogatják, hogy a felhasználók olyan címtárszerepkört rendeljenek hozzá, amely egy felügyeleti egységhez vagy címtárszerepkörhöz tartozik, amely közvetlenül egy objektumra terjed ki, például egyéni szerepkörökön keresztül.
Feljegyzés
A szabályzatok közvetlen B2B-kapcsolatra történő megcélzásakor ezek a szabályzatok a Teamst vagy SharePoint Online-t elérő B2B együttműködési felhasználókra lesznek alkalmazva, akik szintén jogosultak a közvetlen B2B-csatlakozásra. Ugyanez vonatkozik a B2B-együttműködés külső felhasználóira vonatkozó szabályzatokra is, ami azt jelenti, hogy a Megosztott Teams-csatornákhoz hozzáférő felhasználókra B2B együttműködési szabályzatok vonatkoznak, ha vendégfelhasználói jelenléttel is rendelkeznek a bérlőben.
Felhasználók kizárása
Ha a szervezetek is belefoglalnak és kizárnak egy felhasználót vagy csoportot, a rendszer kizárja a felhasználót vagy csoportot a szabályzatból. A kizárási művelet felülírja a belefoglalási műveletet egy szabályzatban. A kivételeket gyakran használják vészhelyzeti hozzáférési fiókok vagy "break-glass" fiókok esetében. A segélyhívási fiókokról és azok fontosságáról az alábbi cikkekben talál további információt:
A segélyhívási hozzáférési fiókok kezelése a Microsoft Entra ID Rugalmas hozzáférés-vezérlési felügyeleti stratégia létrehozása Microsoft Entra ID
Feltételes hozzáférési szabályzat létrehozásakor az alábbi lehetőségek érhetők el a kizáráshoz.
- Vendég- vagy külső felhasználók
- Ez a kijelölés több lehetőséget is kínál, amelyekkel feltételes hozzáférési szabályzatokat célozhat meg adott vendég- vagy külső felhasználói típusok, illetve adott bérlők számára, amelyek ilyen típusú felhasználókat tartalmaznak.
Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
- B2B együttműködési vendégfelhasználók
- B2B együttműködési tagfelhasználók
- B2B közvetlen kapcsolódási felhasználók
- Helyi vendégfelhasználók, például az otthoni bérlőhöz tartozó összes felhasználó, és a felhasználótípus attribútuma vendégként van beállítva
- Szolgáltatói felhasználók, például egy Felhőszolgáltató (CSP)
- Egyéb külső felhasználók, vagy a többi felhasználótípus-kijelölés által nem képviselt felhasználók
- Egy vagy több bérlő adható meg a kiválasztott felhasználói típusokhoz, vagy megadhatja az összes bérlőt.
- Ez a kijelölés több lehetőséget is kínál, amelyekkel feltételes hozzáférési szabályzatokat célozhat meg adott vendég- vagy külső felhasználói típusok, illetve adott bérlők számára, amelyek ilyen típusú felhasználókat tartalmaznak.
Számos különböző típusú vendég- vagy külső felhasználó választható ki, és több kijelölés is választható:
- Címtárszerepkörök
- Lehetővé teszi a rendszergazdák számára, hogy meghatározott Microsoft Entra címtárszerepköröket válasszanak ki a hozzárendelés meghatározásához.
- Felhasználók és csoportok
- Lehetővé teszi adott felhasználói csoportok célzását. A szervezetek kiválaszthatják például azt a csoportot, amely a HR-részleg összes tagját tartalmazza, ha egy HR-alkalmazás van kiválasztva felhőalkalmazásként. A csoport bármilyen típusú csoportot jelenthet a Microsoft Entra Azonosítóban, beleértve a dinamikus vagy hozzárendelt biztonsági és elosztási csoportokat is. A szabályzat beágyazott felhasználókra és csoportokra lesz alkalmazva.
Rendszergazdai zárolás megakadályozása
A rendszergazdai zárolás megakadályozása érdekében a Minden felhasználóra és a Minden alkalmazásra alkalmazott szabályzat létrehozásakor az alábbi figyelmeztetés jelenik meg.
Ne zárd ki magad! Először alkalmazzon egy szabályzatot egy kis számú felhasználóra, hogy ellenőrizze, hogy a szabályzat a várt módon működik-e. Emellett legalább egy rendszergazda kizárása ebből a szabályzatból. Ez biztosítja, hogy továbbra is legyen hozzáférése, és ha módosításra van szükség, frissíthet egy szabályzatot. Tekintse át az érintett felhasználókat és alkalmazásokat.
Alapértelmezés szerint a szabályzat lehetőséget biztosít az aktuális felhasználó kizárására, de a rendszergazda felülbírálhatja azt az alábbi képen látható módon.
Ha bezártnak találja magát, olvassa el a Mi a teendő, ha ki van zárva?
Külső partnerek hozzáférése
A külső felhasználókat célzó feltételes hozzáférési szabályzatok zavarhatják a szolgáltatói hozzáférést, például részletes delegált rendszergazdai jogosultságokat. További információ a részletes delegált rendszergazdai jogosultságok (GDAP) bevezetéséről. A szolgáltatói bérlők megcélzására szolgáló szabályzatok esetében használja a vendég- vagy külső felhasználók kiválasztási beállításai között elérhető külső felhasználótípust.
Ügynökök (előzetes verzió)
Az ügynökök a Microsoft Entra ID-ben olyan első osztályú fiókok, amelyek egyedi azonosítási és hitelesítési képességeket biztosítanak az AI-ügynökök számára. Az objektumokat célzó feltételes hozzáférési szabályzatok konkrét javaslatokkal rendelkeznek a feltételes hozzáférésről és az ügynökidentitásokról szóló cikkben
A szabályzat hatóköre a következő lehet:
- Minden ügynökidentitás
- Felhasználókként eljáró ügynökök kiválasztása
- Ügynökidentitások kiválasztása attribútumok alapján
- Egyedi ügynökidentitások kiválasztása
Munkaterhelés azonosságok
A számításifeladat-identitás olyan identitás, amely lehetővé teszi egy alkalmazás vagy szolgáltatásnév számára az erőforrásokhoz való hozzáférést, bizonyos esetekben egy felhasználó kontextusában. A feltételes hozzáférési szabályzatok a bérlőben regisztrált egybérlős szolgáltatási alapelvekre alkalmazhatók. A nem Microsoft SaaS és többfelhasználós alkalmazások nem tartoznak a hatókörbe. A felügyelt identitásokat nem fedi le a szabályzat.
A szervezetek meghatározott számítási feladat-identitásokat célozhatnak meg, amelyek belefoglalhatók vagy kizárhatók a szabályzatból.
További információért olvassa el a Feltételes hozzáférés munkaterhelési identitásokhoz című cikket.