A feltételes hozzáférés ismertetése

Befejeződött

A feltételes hozzáférés a Microsoft Entra-azonosító egyik funkciója, amely további biztonsági réteget biztosít, mielőtt a hitelesített felhasználók hozzáférhetnek az adatokhoz vagy más eszközökhöz. A feltételes hozzáférés a Microsoft Entra ID-ban létrehozott és felügyelt szabályzatokkal valósítható meg. A feltételes hozzáférési szabályzat a jeleket elemzi, beleértve a felhasználót, a helyet, az eszközt, az alkalmazást és az erőforrásokhoz (alkalmazásokhoz és adatokhoz) való hozzáférés engedélyezésével kapcsolatos döntések automatizálásának kockázatát.

Képernyőkép a feltételes hozzáférési szabályzat folyamatról. A jelek segítségével dönthető el, hogy engedélyezi vagy letiltja-e az alkalmazásokhoz és adatokhoz való hozzáférést.

A feltételes hozzáférési szabályzatok a legegyszerűbbek az if-then utasítások. Egy feltételes hozzáférési szabályzat például azt jelezheti, hogy ha egy felhasználó egy adott csoporthoz tartozik, akkor többtényezős hitelesítést kell biztosítania az alkalmazásba való bejelentkezéshez.

Fontos

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Feltételes hozzáférési szabályzat összetevői

A Microsoft Entra ID feltételes hozzáférési szabályzata két összetevőből, hozzárendelésből és hozzáférés-vezérlésből áll.

Képernyőfelvétel a feltételes hozzáférési szabályzat két összetevőjét, a hozzárendeléseket és a hozzáférési vezérlőket mutatja.

Hozzárendelések

Feltételes hozzáférési szabályzat létrehozásakor a rendszergazdák meghatározhatják, hogy mely jeleket használják a hozzárendelések. A szabályzat hozzárendelési része szabályozza a feltételes hozzáférési szabályzat kiét, miét, hol és mikor. Minden hozzárendelés logikailag ANDed. Ha egynél több hozzárendelés van konfigurálva, minden hozzárendelésnek teljesülnie kell egy szabályzat aktiválásához. A feladatok némelyike a következők:

  • A felhasználók azt rendelik hozzá, hogy a szabályzat kiket tartalmazzon vagy zárjon ki. Ez a hozzárendelés magában foglalhat minden felhasználót a címtárban, az adott felhasználókat és csoportokat, a címtárszerepköröket, a külső vendégeket és a számítási feladat identitását.
  • A célerőforrások közé tartoznak az alkalmazások vagy szolgáltatások, a felhasználói műveletek, a globális biztonságos hozzáférés (előzetes verzió) vagy a hitelesítési környezet.
    • Felhőalkalmazások – A rendszergazdák választhatnak a beépített Microsoft-alkalmazásokat tartalmazó alkalmazások vagy szolgáltatások listájából, beleértve a Microsoft Cloud-alkalmazásokat, az Office 365-öt, a Windows Azure Service Management API-t, a Microsoft Felügyeleti portálokat és a Microsoft Entra által regisztrált alkalmazásokat.
    • Felhasználói műveletek – A rendszergazdák dönthetnek úgy, hogy nem egy felhőalkalmazáson, hanem egy felhasználói műveleten, például a biztonsági adatok regisztrálásán vagy az eszközök regisztrálásán vagy csatlakoztatásán alapuló szabályzatot határoznak meg, így a feltételes hozzáférés kényszeríti a vezérlőket a műveletek körül.
    • Globális biztonságos hozzáférés (előzetes verzió) – A rendszergazdák feltételes hozzáférési szabályzatokkal biztosíthatják a globális biztonságos hozzáférési szolgáltatáson áthaladó forgalmat. Ez a globális biztonságos hozzáférés forgalmi profiljainak definiálásával történik. A feltételes hozzáférési szabályzatok ezután hozzárendelhetők a Globális biztonságos hozzáférés forgalmi profilhoz.
    • Hitelesítési környezet – A hitelesítési környezet az alkalmazások adatainak és műveleteinek további védelmére használható. Előfordulhat például, hogy a SharePoint-webhelyek adott tartalmaihoz hozzáféréssel rendelkező felhasználók egy felügyelt eszközön keresztül férhetnek hozzá a tartalomhoz, vagy elfogadhatják a használati feltételeket.
  • A hálózat lehetővé teszi a felhasználó hozzáférésének szabályozását a felhasználó hálózata vagy fizikai helye alapján. Bármilyen hálózatot vagy helyet, megbízható hálózatként megjelölt helyeket, megbízható IP-címtartományokat vagy elnevezett helyeket is megadhat. A szervezet biztonsági szabályzatainak megfelelő felhasználókból és eszközökből álló megfelelő hálózatokat is azonosíthat.
  • A feltételek határozzák meg, hogy hol és mikor alkalmazza a szabályzatot. Több feltétel kombinálható részletes és konkrét feltételes hozzáférési szabályzatok létrehozásához. Néhány feltétel a következők:
    • Bejelentkezési kockázat és felhasználói kockázat. A Microsoft Entra ID-védelem integrációja lehetővé teszi a feltételes hozzáférési szabályzatok számára a címtárban lévő felhasználói fiókokhoz kapcsolódó gyanús műveletek azonosítását és a szabályzat aktiválását. A bejelentkezési kockázat annak a valószínűsége, hogy egy adott bejelentkezési vagy hitelesítési kérést nem engedélyez az identitástulajdonos. A felhasználói kockázat annak a valószínűsége, hogy egy adott identitás vagy fiók sérül.
    • Insider-kockázat. A Microsoft Purview adaptív védelemmel rendelkező rendszergazdák a Microsoft Purview kockázati jelzéseit beépíthetik a feltételes hozzáférési szabályzatok döntéseibe. Az insider-kockázat figyelembe veszi a Microsoft Purview adatszabályozási, adatbiztonsági és kockázati és megfelelőségi konfigurációit.
    • Eszközplatform. Az eszközplatform, amelyet az eszközön futó operációs rendszer jellemez, használható a feltételes hozzáférési szabályzatok kényszerítésekor.
    • Ügyfélalkalmazások. Az ügyfélalkalmazások, a felhasználó által a felhőalkalmazás elérésére használt szoftverek, beleértve a böngészőket, mobilalkalmazásokat és asztali ügyfeleket, a hozzáférési szabályzat döntésében is használhatók.
    • Eszközök szűrői. A szervezetek az eszköztulajdonságok alapján kényszeríthetik a szabályzatokat az eszközök szűrőinek beállításával. Ez a beállítás például arra használható, hogy szabályzatokat célozz meg bizonyos eszközökre, például a kiemelt hozzáférésű munkaállomásokra.

A hozzárendelések rész lényegében a feltételes hozzáférési szabályzat kiét, miét és helyét szabályozza.

Hozzáférés-vezérlés

A feltételes hozzáférési szabályzat alkalmazásakor megalapozott döntés születik arról, hogy tiltsa-e le a hozzáférést, adjon-e hozzáférést, adjon-e hozzáférést extra ellenőrzéssel, vagy használjon munkamenet-vezérlést a korlátozott felhasználói élmény érdekében. A döntést a feltételes hozzáférési szabályzat hozzáférési vezérlőjének nevezik, és meghatározza a szabályzatok kikényszerítésének módját. Gyakori döntések a következők:

  • Hozzáférés letiltása
  • Hozzáférés biztosítása. A rendszergazdák további vezérlők nélkül adhatnak hozzáférést, vagy dönthetnek úgy, hogy egy vagy több vezérlőt kényszerítenek ki a hozzáférés megadásakor. A hozzáférés biztosításához használt vezérlők közé tartozik például a felhasználók többtényezős hitelesítésének megkövetelése, az erőforrások eléréséhez szükséges konkrét hitelesítési módszerek megkövetelése, az eszközöknek meg kell felelniük bizonyos megfelelőségi szabályzati követelményeknek, jelszómódosítást igényelnek stb. A teljes listát a Feltételes hozzáférési szabályzat Engedélyezési vezérlői című témakörben találja.
  • Munkamenet. A feltételes hozzáférési szabályzaton belül a rendszergazda munkamenet-vezérlőkkel engedélyezheti az adott felhőalkalmazások korlátozott felhasználói élményét. A feltételes hozzáférésű alkalmazások vezérlése például a Felhőhöz készült Microsoft Defender-alkalmazások jelzéseit használja a bizalmas dokumentumok letöltési, kivágási, másolási és nyomtatási képességeinek letiltására, illetve a bizalmas fájlok címkézésének megkövetelésére. Más munkamenet-vezérlők közé tartoznak a bejelentkezés gyakorisága és az alkalmazás által kikényszerített korlátozások, amelyek a kiválasztott alkalmazások esetében az eszközinformációk segítségével az eszköz állapotától függően korlátozott vagy teljes körű felhasználói élményt biztosítanak a felhasználóknak. A teljes listaért tekintse meg a munkamenet-vezérlőket a feltételes hozzáférési szabályzatban.

Összefoglalva, a hozzárendelések rész szabályozza a feltételes hozzáférési szabályzat kiét, miét és helyét, míg a hozzáférés-vezérlési rész szabályozza a szabályzatok kikényszerítését.