Feltételes hozzáférési szabályzatok beállítása
A feltételes hozzáférés a rendszer szabályozott tartalmának védelme azáltal, hogy bizonyos feltételek teljesülését követeli meg a tartalomhoz való hozzáférés biztosítása előtt. A feltételes hozzáférési szabályzatok a legegyszerűbben if-then utasítások. Ha egy felhasználó hozzá szeretne férni egy erőforráshoz, akkor végre kell hajtania egy műveletet. Egy bérszámfejtés-kezelő például hozzá szeretne férni a bérszámfejtési alkalmazáshoz, és ehhez többtényezős hitelesítést (MFA) kell végrehajtania.
A feltételes hozzáféréssel két elsődleges célt érhet el:
- A felhasználók bárhol és bármikor hatékonyan dolgozhatnak.
- A szervezet eszközeinek védelme.
A feltételes hozzáférési szabályzatok használatával szükség esetén alkalmazhatja a megfelelő hozzáférés-vezérlést a szervezet biztonságának megőrzéséhez és a felhasználói úttól való távolmaradáshoz, ha nincs rá szükség.
Az, hogy a rendszer milyen gyakran kéri a felhasználót az újrahitelesítésre, a Microsoft Entra munkamenet-élettartamának konfigurációs beállításaitól függ. Bár a hitelesítő adatok megjegyzése kényelmes, a személyes eszközöket használó nagyvállalati forgatókönyvek üzembe helyezését is ritkábban teheti biztonságossá. A felhasználók védelme érdekében meggyőződhet arról, hogy az ügyfél gyakrabban kéri a Microsoft Entra többtényezős hitelesítési hitelesítő adatait. Ezt a viselkedést a feltételes hozzáférés bejelentkezési gyakoriságának használatával konfigurálhatja.
Feltételes hozzáférési szabályzat hozzárendelése felhőalapú számítógépekhez
A feltételes hozzáférési szabályzatok alapértelmezés szerint nincsenek beállítva a bérlőhöz. A felhőbeli PC belső alkalmazásához a következő platformok egyikével célozhatja meg a hitelesítésszolgáltatói szabályzatokat:
- Kék. További információ: Microsoft Entra feltételes hozzáférés.
- Microsoft Intune. Az alábbi lépések ismertetik ezt a folyamatot. További információ: Tudnivalók a feltételes hozzáférésről és az Intune-ról.
Függetlenül attól, hogy melyik módszert használja, a szabályzatok érvénybe lépnek a felhőbeli PC végfelhasználói portálján és a felhőbeli PC-vel való kapcsolaton.
Jelentkezzen be a Microsoft Intune Felügyeleti központba, és válassza a Végpontbiztonság>Feltételes hozzáférés>Új szabályzat létrehozása lehetőséget.
Adja meg az adott feltételes hozzáférési szabályzat nevét .
A Felhasználók területen válassza ki a 0 kiválasztott felhasználót és csoportot.
A Belefoglalás lapon válassza a Felhasználók és csoportok> kiválasztása lehetőséget, jelölje be a Felhasználók és csoportok> jelölőnégyzetet a Kiválasztás területen, és válassza ki a 0 kiválasztott felhasználót és csoportot.
A megnyíló új panelen keresse meg és jelölje ki azt a felhasználót vagy csoportot, akit meg szeretne célozni a feltételes hozzáférési szabályzattal, majd válassza a Kiválasztás lehetőséget.
A Célerőforrások területen válassza a Nincs kijelölt célerőforrás lehetőséget.
A Belefoglalás lapon válassza az Alkalmazások> kiválasztása lehetőséget a Kiválasztás területen, és válassza a Nincs lehetőséget.
A Kiválasztás panelen keresse meg és válassza ki a következő alkalmazásokat a védeni kívánt erőforrások alapján:
- Windows 365 (alkalmazásazonosító: 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Az alkalmazás megkereséséhez a "felhő" kifejezésre is rákereshet. Ez az alkalmazás akkor használatos, amikor lekérte a felhasználó erőforrásainak listáját, és amikor a felhasználók műveleteket kezdeményeznek a felhőbeli PC-n, például újraindítást.
- Azure Virtual Desktop (alkalmazásazonosító: 9cdead84-a844-4324-93f2-b2e6bb768d07). Ez az alkalmazás Windows Virtual Desktopként is megjelenhet. Ezzel az alkalmazással hitelesíthető az Azure Virtual Desktop Gateway a kapcsolat során, és amikor az ügyfél diagnosztikai adatokat küld a szolgáltatásnak.
- Microsoft Remote Desktop (alkalmazásazonosító: a4a365df-50f1-4397-bc59-1a1564b8bb9c) és Windows Cloud Login (alkalmazásazonosító: 270efc09-cd0d-444b-a71f-39af4910ec45). Ezekre az alkalmazásokra csak akkor van szükség, ha egyszeri bejelentkezést konfigurál egy kiépítési szabályzatban. Ezekkel az alkalmazásokkal hitelesítheti a felhasználókat a felhőbeli PC-ben.
Javasoljuk, hogy egyezzen a feltételes hozzáférési szabályzatokkal ezek között az alkalmazások között. Ez biztosítja, hogy a szabályzat a felhőbeli PC végfelhasználói portáljára, az átjáróval való kapcsolatra és a felhőbeli pc-re is érvényes legyen a konzisztens élmény érdekében. Ha ki szeretné zárni az alkalmazásokat, ezeket az alkalmazásokat is ki kell választania.
Fontos
Ha az egyszeri bejelentkezés engedélyezve van, a felhőbeli PC-hez való hitelesítés ma a Microsoft Remote Desktop Entra ID alkalmazást használja. Egy közelgő változás át fogja váltani a hitelesítést a Windows Cloud Login Entra ID alkalmazásra. A zökkenőmentes átmenet érdekében mindkét Entra ID-alkalmazást hozzá kell adnia a feltételes hozzáférési szabályzataihoz.
Megjegyzés:
Ha nem látja a Windows Cloud Login alkalmazást a feltételes hozzáférési szabályzat konfigurálásakor, az alábbi lépésekkel hozhatja létre az alkalmazást. A módosítások elvégzéséhez tulajdonosi vagy közreműködői engedélyekkel kell rendelkeznie az előfizetésen:
- Jelentkezzen be az Azure Portalra.
- Válassza az Előfizetések elemet az Azure-szolgáltatások listájából.
- Válassza ki az előfizetés nevét.
- Válassza az Erőforrás-szolgáltatók , majd a Microsoft.DesktopVirtualization lehetőséget.
- Válassza a felül található Regisztráció lehetőséget.
Az erőforrás-szolgáltató regisztrálása után a Windows Cloud Login alkalmazás megjelenik a feltételes hozzáférési szabályzat konfigurációjában, amikor kiválasztja azokat az alkalmazásokat, amelyekre alkalmazni szeretné a szabályzatot. Ha nem az Azure Virtual Desktopot használja, megszüntetheti a Microsoft.DesktopVirtualization erőforrás-szolgáltató regisztrációját, miután a Windows Cloud Login alkalmazás elérhetővé válik.
Ha szeretné finomhangolni a szabályzatot, az Engedélyezés területen válassza a 0 kiválasztott vezérlőt.
Az Engedélyezés panelen válassza ki azokat a hozzáférési beállításokat, amelyeket a szabályzathoz> rendelt összes objektumra alkalmazni szeretne.
Ha először tesztelni szeretné a szabályzatot, a Szabályzat engedélyezése területen válassza a Csak jelentés lehetőséget. Ha Be értékre állítja, a szabályzat a létrehozásakor azonnal érvényesülni fog.
A szabályzat létrehozásához válassza a Létrehozás lehetőséget.
Az aktív és inaktív szabályzatok listáját a Feltételes hozzáférés felhasználói felületén, a Szabályzatok nézetben tekintheti meg.
Bejelentkezési gyakoriság konfigurálása
A bejelentkezési gyakorisági szabályzatokkal konfigurálhatja, hogy milyen gyakran kell bejelentkezniük a felhasználóknak a Microsoft Entra-alapú erőforrások elérésekor. Ez segíthet a környezet biztonságának biztosításában, és különösen fontos a személyes eszközök esetében, ahol előfordulhat, hogy a helyi operációs rendszer nem igényel MFA-t, vagy inaktivitás után nem zárolja automatikusan. A rendszer csak akkor kéri a felhasználók hitelesítését, ha új hozzáférési jogkivonatot kérnek a Microsoft Entra-azonosítótól egy erőforrás elérésekor.
A bejelentkezési gyakoriságra vonatkozó szabályzatok eltérő viselkedést eredményeznek a kiválasztott Microsoft Entra alkalmazástól függően:
Alkalmazás neve | Alkalmazásazonosító | Viselkedés |
---|---|---|
Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Kényszeríti az újrahitelesítést, ha egy felhasználó lekéri a felhőbeli pc-k listáját, és amikor a felhasználók műveleteket kezdeményeznek a felhőbeli PC-n, például újraindítást. |
Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Kényszeríti az újrahitelesítést, amikor egy felhasználó hitelesítést hajt végre az Azure Virtual Desktop-átjárón a kapcsolat során. |
Microsoft Távoli asztal Windows Cloud-bejelentkezés |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Kényszeríti az újrahitelesítést, amikor egy felhasználó bejelentkezik a felhőbeli számítógépre, ha az egyszeri bejelentkezés engedélyezve van. Mindkét alkalmazást együtt kell konfigurálni, mivel az ügyfelek hamarosan átváltanak a Microsoft Távoli asztal alkalmazásról a Windows Cloud Login alkalmazásra a felhőalapú PC-hitelesítéshez. |
Annak az időszaknak a konfigurálása, amely után a felhasználónak újra be kell jelentkeznie:
- Nyissa meg a korábban létrehozott szabályzatot.
- A Munkamenet területen válassza a 0 kijelölt vezérlőt.
- A Munkamenet panelen válassza a Bejelentkezés gyakorisága lehetőséget.
- Válassza az Időszakos újrahitelesítés vagy a Minden alkalommal lehetőséget.
- Ha az Időszakos újrahitelesítés lehetőséget választja, adja meg annak az időszaknak az értékét, amely után a felhasználónak újra be kell jelentkeznie egy új hozzáférési jogkivonatot igénylő művelet végrehajtásakor, majd válassza a Kiválasztás lehetőséget. Ha például az értéket 1-re állítja, és az egységet Órák értékre állítja, akkor többtényezős hitelesítésre van szükség, ha egy kapcsolat több mint egy órával az utolsó felhasználói hitelesítés után indul el.
- A Minden alkalommal lehetőség jelenleg előzetes verzióban érhető el, és csak akkor támogatott, ha a Microsoft Távoli asztal és a Windows Felhőbeli bejelentkezés alkalmazásra van alkalmazva, ha az egyszeri bejelentkezés engedélyezve van a felhőalapú számítógépeken. Ha a Minden alkalommal lehetőséget választja, a rendszer az utolsó hitelesítés óta eltelt 5–10 perc elteltével újrahitelesítést kér az új kapcsolat indításakor.
- A lap alján válassza a Mentés lehetőséget.
Megjegyzés:
- Az újrahitelesítés csak akkor történik meg, ha egy felhasználónak hitelesítenie kell magát egy erőforráson, és új hozzáférési jogkivonatra van szükség. A kapcsolat létrejötte után a rendszer akkor sem kéri a felhasználókat, ha a kapcsolat hosszabb ideig tart, mint a konfigurált bejelentkezési gyakoriság.
- A felhasználóknak újra hitelesíteniük kell magukat, ha hálózati fennakadás miatt a munkamenet újra létrejön a konfigurált bejelentkezési gyakoriság után. Ez gyakoribb hitelesítési kérésekhez vezethet instabil hálózatokon.