Megosztás a következőn keresztül:

Feltételes hozzáférési szabályzatok beállítása

  • Cikk

A feltételes hozzáférés a rendszer szabályozott tartalmának védelme azáltal, hogy bizonyos feltételek teljesülését követeli meg a tartalomhoz való hozzáférés biztosítása előtt. A feltételes hozzáférési szabályzatok a legegyszerűbben if-then utasítások. Ha egy felhasználó hozzá szeretne férni egy erőforráshoz, akkor végre kell hajtania egy műveletet. Egy bérszámfejtés-kezelő például hozzá szeretne férni a bérszámfejtési alkalmazáshoz, és ehhez többtényezős hitelesítést (MFA) kell végrehajtania.

A feltételes hozzáféréssel két elsődleges célt érhet el:

  • A felhasználók bárhol és bármikor hatékonyan dolgozhatnak.
  • A szervezet eszközeinek védelme.

A feltételes hozzáférési szabályzatok használatával szükség esetén alkalmazhatja a megfelelő hozzáférés-vezérlést a szervezet biztonságának megőrzéséhez és a felhasználói úttól való távolmaradáshoz, ha nincs rá szükség.

Az, hogy a rendszer milyen gyakran kéri a felhasználót az újrahitelesítésre, a Microsoft Entra munkamenet-élettartamának konfigurációs beállításaitól függ. Bár a hitelesítő adatok megjegyzése kényelmes, a személyes eszközöket használó nagyvállalati forgatókönyvek üzembe helyezését is ritkábban teheti biztonságossá. A felhasználók védelme érdekében meggyőződhet arról, hogy az ügyfél gyakrabban kéri a Microsoft Entra többtényezős hitelesítési hitelesítő adatait. Ezt a viselkedést a feltételes hozzáférés bejelentkezési gyakoriságának használatával konfigurálhatja.

Feltételes hozzáférési szabályzat hozzárendelése felhőalapú számítógépekhez

A feltételes hozzáférési szabályzatok alapértelmezés szerint nincsenek beállítva a bérlőhöz. A felhőbeli PC belső alkalmazásához a következő platformok egyikével célozhatja meg a hitelesítésszolgáltatói szabályzatokat:

Függetlenül attól, hogy melyik módszert használja, a szabályzatok érvénybe lépnek a felhőbeli PC végfelhasználói portálján és a felhőbeli PC-vel való kapcsolaton.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és válassza a Végpontbiztonság>Feltételes hozzáférés>Új szabályzat létrehozása lehetőséget.

  2. Adja meg az adott feltételes hozzáférési szabályzat nevét .

  3. A Felhasználók területen válassza ki a 0 kiválasztott felhasználót és csoportot.

  4. A Belefoglalás lapon válassza a Felhasználók és csoportok> kiválasztása lehetőséget, jelölje be a Felhasználók és csoportok> jelölőnégyzetet a Kiválasztás területen, és válassza ki a 0 kiválasztott felhasználót és csoportot.

  5. A megnyíló új panelen keresse meg és jelölje ki azt a felhasználót vagy csoportot, akit meg szeretne célozni a feltételes hozzáférési szabályzattal, majd válassza a Kiválasztás lehetőséget.

  6. A Célerőforrások területen válassza a Nincs kijelölt célerőforrás lehetőséget.

  7. A Belefoglalás lapon válassza az Alkalmazások> kiválasztása lehetőséget a Kiválasztás területen, és válassza a Nincs lehetőséget.

  8. A Kiválasztás panelen keresse meg és válassza ki a következő alkalmazásokat a védeni kívánt erőforrások alapján:

    • Windows 365 (alkalmazásazonosító: 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Az alkalmazás megkereséséhez a "felhő" kifejezésre is rákereshet. Ez az alkalmazás akkor használatos, amikor lekérte a felhasználó erőforrásainak listáját, és amikor a felhasználók műveleteket kezdeményeznek a felhőbeli PC-n, például újraindítást.
    • Azure Virtual Desktop (alkalmazásazonosító: 9cdead84-a844-4324-93f2-b2e6bb768d07). Ez az alkalmazás Windows Virtual Desktopként is megjelenhet. Ezzel az alkalmazással hitelesíthető az Azure Virtual Desktop Gateway a kapcsolat során, és amikor az ügyfél diagnosztikai adatokat küld a szolgáltatásnak.
    • Microsoft Remote Desktop (alkalmazásazonosító: a4a365df-50f1-4397-bc59-1a1564b8bb9c) és Windows Cloud Login (alkalmazásazonosító: 270efc09-cd0d-444b-a71f-39af4910ec45). Ezekre az alkalmazásokra csak akkor van szükség, ha egyszeri bejelentkezést konfigurál egy kiépítési szabályzatban. Ezekkel az alkalmazásokkal hitelesítheti a felhasználókat a felhőbeli PC-ben.

    Javasoljuk, hogy egyezzen a feltételes hozzáférési szabályzatokkal ezek között az alkalmazások között. Ez biztosítja, hogy a szabályzat a felhőbeli PC végfelhasználói portáljára, az átjáróval való kapcsolatra és a felhőbeli pc-re is érvényes legyen a konzisztens élmény érdekében. Ha ki szeretné zárni az alkalmazásokat, ezeket az alkalmazásokat is ki kell választania.

    Fontos

    Ha az egyszeri bejelentkezés engedélyezve van, a felhőbeli PC-hez való hitelesítés ma a Microsoft Remote Desktop Entra ID alkalmazást használja. Egy közelgő változás át fogja váltani a hitelesítést a Windows Cloud Login Entra ID alkalmazásra. A zökkenőmentes átmenet érdekében mindkét Entra ID-alkalmazást hozzá kell adnia a feltételes hozzáférési szabályzataihoz.

    Megjegyzés:

    Ha nem látja a Windows Cloud Login alkalmazást a feltételes hozzáférési szabályzat konfigurálásakor, az alábbi lépésekkel hozhatja létre az alkalmazást. A módosítások elvégzéséhez tulajdonosi vagy közreműködői engedélyekkel kell rendelkeznie az előfizetésen:

    1. Jelentkezzen be az Azure Portalra.
    2. Válassza az Előfizetések elemet az Azure-szolgáltatások listájából.
    3. Válassza ki az előfizetés nevét.
    4. Válassza az Erőforrás-szolgáltatók , majd a Microsoft.DesktopVirtualization lehetőséget.
    5. Válassza a felül található Regisztráció lehetőséget.

    Az erőforrás-szolgáltató regisztrálása után a Windows Cloud Login alkalmazás megjelenik a feltételes hozzáférési szabályzat konfigurációjában, amikor kiválasztja azokat az alkalmazásokat, amelyekre alkalmazni szeretné a szabályzatot. Ha nem az Azure Virtual Desktopot használja, megszüntetheti a Microsoft.DesktopVirtualization erőforrás-szolgáltató regisztrációját, miután a Windows Cloud Login alkalmazás elérhetővé válik.

  9. Ha szeretné finomhangolni a szabályzatot, az Engedélyezés területen válassza a 0 kiválasztott vezérlőt.

  10. Az Engedélyezés panelen válassza ki azokat a hozzáférési beállításokat, amelyeket a szabályzathoz> rendelt összes objektumra alkalmazni szeretne.

  11. Ha először tesztelni szeretné a szabályzatot, a Szabályzat engedélyezése területen válassza a Csak jelentés lehetőséget. Ha Be értékre állítja, a szabályzat a létrehozásakor azonnal érvényesülni fog.

  12. A szabályzat létrehozásához válassza a Létrehozás lehetőséget.

Az aktív és inaktív szabályzatok listáját a Feltételes hozzáférés felhasználói felületén, a Szabályzatok nézetben tekintheti meg.

Bejelentkezési gyakoriság konfigurálása

A bejelentkezési gyakorisági szabályzatokkal konfigurálhatja, hogy milyen gyakran kell bejelentkezniük a felhasználóknak a Microsoft Entra-alapú erőforrások elérésekor. Ez segíthet a környezet biztonságának biztosításában, és különösen fontos a személyes eszközök esetében, ahol előfordulhat, hogy a helyi operációs rendszer nem igényel MFA-t, vagy inaktivitás után nem zárolja automatikusan. A rendszer csak akkor kéri a felhasználók hitelesítését, ha új hozzáférési jogkivonatot kérnek a Microsoft Entra-azonosítótól egy erőforrás elérésekor.

A bejelentkezési gyakoriságra vonatkozó szabályzatok eltérő viselkedést eredményeznek a kiválasztott Microsoft Entra alkalmazástól függően:

Alkalmazás neve Alkalmazásazonosító Viselkedés
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Kényszeríti az újrahitelesítést, ha egy felhasználó lekéri a felhőbeli pc-k listáját, és amikor a felhasználók műveleteket kezdeményeznek a felhőbeli PC-n, például újraindítást.
Azure Virtual Desktop 9cdead84-a844-4324-93f2-b2e6bb768d07 Kényszeríti az újrahitelesítést, amikor egy felhasználó hitelesítést hajt végre az Azure Virtual Desktop-átjárón a kapcsolat során.
Microsoft Távoli asztal

Windows Cloud-bejelentkezés		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Kényszeríti az újrahitelesítést, amikor egy felhasználó bejelentkezik a felhőbeli számítógépre, ha az egyszeri bejelentkezés engedélyezve van.

Mindkét alkalmazást együtt kell konfigurálni, mivel az ügyfelek hamarosan átváltanak a Microsoft Távoli asztal alkalmazásról a Windows Cloud Login alkalmazásra a felhőalapú PC-hitelesítéshez.

Annak az időszaknak a konfigurálása, amely után a felhasználónak újra be kell jelentkeznie:

  1. Nyissa meg a korábban létrehozott szabályzatot.
  2. A Munkamenet területen válassza a 0 kijelölt vezérlőt.
  3. A Munkamenet panelen válassza a Bejelentkezés gyakorisága lehetőséget.
  4. Válassza az Időszakos újrahitelesítés vagy a Minden alkalommal lehetőséget.
    • Ha az Időszakos újrahitelesítés lehetőséget választja, adja meg annak az időszaknak az értékét, amely után a felhasználónak újra be kell jelentkeznie egy új hozzáférési jogkivonatot igénylő művelet végrehajtásakor, majd válassza a Kiválasztás lehetőséget. Ha például az értéket 1-re állítja, és az egységet Órák értékre állítja, akkor többtényezős hitelesítésre van szükség, ha egy kapcsolat több mint egy órával az utolsó felhasználói hitelesítés után indul el.
    • A Minden alkalommal lehetőség jelenleg előzetes verzióban érhető el, és csak akkor támogatott, ha a Microsoft Távoli asztal és a Windows Felhőbeli bejelentkezés alkalmazásra van alkalmazva, ha az egyszeri bejelentkezés engedélyezve van a felhőalapú számítógépeken. Ha a Minden alkalommal lehetőséget választja, a rendszer az utolsó hitelesítés óta eltelt 5–10 perc elteltével újrahitelesítést kér az új kapcsolat indításakor.
  5. A lap alján válassza a Mentés lehetőséget.

Megjegyzés:

  • Az újrahitelesítés csak akkor történik meg, ha egy felhasználónak hitelesítenie kell magát egy erőforráson, és új hozzáférési jogkivonatra van szükség. A kapcsolat létrejötte után a rendszer akkor sem kéri a felhasználókat, ha a kapcsolat hosszabb ideig tart, mint a konfigurált bejelentkezési gyakoriság.
  • A felhasználóknak újra hitelesíteniük kell magukat, ha hálózati fennakadás miatt a munkamenet újra létrejön a konfigurált bejelentkezési gyakoriság után. Ez gyakoribb hitelesítési kérésekhez vezethet instabil hálózatokon.

Következő lépések

RDP-eszközátirányítások kezelése