Az Azure feltételes hozzáférésének ismertetése
A feltételes hozzáférés olyan eszköz, amellyel a Microsoft Entra ID identitásjelek alapján engedélyezi (vagy megtagadja) az erőforrásokhoz való hozzáférést. Ezek a jelek tartalmazzák a felhasználó személyét, tartózkodási helyét, és hogy milyen eszközről kér hozzáférést a felhasználó.
A feltételes hozzáférés segít az IT-rendszergazdáknak a következőkben:
- A felhasználók hatékony munkájának támogatása bárhol és bármikor.
- A szervezet adategységeinek védelme.
A feltételes hozzáférés részletesebb többtényezős hitelesítési felületet nyújt a felhasználók számára. Előfordulhat például, hogy a felhasználóknak nem kell a második hitelesítési tényezőt is teljesíteniük, ha ismert helyen tartózkodnak. Előfordulhat azonban, hogy meg kell felelniük a második hitelesítési tényezőnek, ha a bejelentkezési jeleik szokatlanok, vagy váratlan helyen tartózkodnak.
A bejelentkezés során a feltételes hozzáférés jeleket gyűjt a felhasználótól, ezek alapján döntést hoz, majd a hozzáférési kérelem engedélyezésével, megtagadásával vagy a többtényezős hitelesítési válasz megkövetelésével érvényt szerez a döntésnek.
Az alábbi ábra a folyamatot szemlélteti:
A jel itt lehet a felhasználó tartózkodási helye, a felhasználó eszköze vagy a felhasználó által elérni kívánt alkalmazás.
Ezen jelek alapján a döntés lehet a teljes hozzáférés engedélyezése, ha a felhasználó a szokásos helyéről jelentkezik be. Ha a felhasználó szokatlan helyről vagy magas kockázatú helyről jelentkezik be, akkor előfordulhat, hogy a hozzáférést teljesen megtagadja a rendszer, vagy csak egy második hitelesítési lépés után engedélyezi.
A kikényszerítés az a művelet, amely érvényt szerez a döntésnek. Ez a művelet lehet például a hozzáférés engedélyezése, vagy egy második hitelesítési forma megkövetelése a felhasználótól.
Mikor használhatom a feltételes hozzáférést?
A feltételes hozzáférés a következő esetekben hasznos:
- Többtényezős hitelesítés (MFA) megkövetelése egy alkalmazás eléréséhez a kérelmező szerepkörétől, helyétől vagy hálózatától függően. Szükség lehet például az MFA-ra a rendszergazdák számára, de a normál felhasználókhoz vagy a vállalati hálózaton kívülről csatlakozó személyekhez.
- A szolgáltatásokhoz való hozzáférés engedélyezése kizárólag jóváhagyott ügyfélalkalmazásokból lehetséges. Korlátozhatja például, hogy mely levelezőalkalmazások tudnak csatlakozni az e-mail-szolgáltatáshoz.
- Az alkalmazásokhoz való hozzáférés kizárólag felügyelt eszközökről lehetséges a felhasználók számára. A felügyelt eszköz egy olyan eszköz, amely megfelel a biztonsággal és megfelelőséggel szemben támasztott követelményeknek.
- A nem megbízható forrásokból, például ismeretlen vagy nem várt helyekről való hozzáférés letiltás.