Membuat kebijakan Akses Bersyarat
Seperti yang dijelaskan dalam artikel Apa itu Akses Bersyarat, kebijakan Akses Bersyarat adalah pernyataan if-then, dari Tutas dan Kontrol akses. Kebijakan Akses Bersyarat menggabungkan sinyal untuk membuat keputusan dan menerapkan kebijakan organisasi.
Bagaimana organisasi membuat kebijakan ini? Apa yang diperlukan? Bagaimana kebijakan tersebut diterapkan?
Beberapa kebijakan Akses Bersyarat mungkin berlaku untuk pengguna individual kapan saja. Dalam hal ini, semua kebijakan yang berlaku harus dipenuhi. Misalnya, jika satu kebijakan memerlukan autentikasi multifaktor dan yang lain memerlukan perangkat yang sesuai, Anda harus menyelesaikan MFA, dan menggunakan perangkat yang sesuai. Semua penetapan secara logis ANDed. Jika Anda memiliki lebih dari satu penugasan yang dikonfigurasi, semua penugasan harus dipenuhi untuk memicu kebijakan.
Jika kebijakan di mana "Memerlukan salah satu kontrol yang dipilih" dipilih, kami meminta dalam urutan yang ditentukan, segera setelah persyaratan kebijakan terpenuhi, akses diberikan.
Semua kebijakan diterapkan dalam dua tahap:
- Fase 1: Mengumpulkan detail sesi
- Kumpulkan detail sesi, seperti lokasi jaringan dan identitas perangkat yang diperlukan untuk evaluasi kebijakan.
- Tahap 1 evaluasi kebijakan terjadi untuk kebijakan yang diaktifkan dan kebijakan dalam mode khusus laporan.
- Fase 2: Penerapan
- Gunakan detail sesi yang dikumpulkan dalam tahap 1 untuk mengidentifikasi persyaratan apa pun yang belum terpenuhi.
- Jika ada kebijakan yang dikonfigurasi untuk memblokir akses, dengan kontrol pemberian pemblokiran, penerapan akan berhenti di sini dan pengguna akan diblokir.
- Pengguna akan diminta untuk menyelesaikan lebih banyak persyaratan kontrol pemberian yang tidak terpenuhi selama fase 1 dalam urutan berikut, sampai kebijakan terpenuhi:
- Setelah semua kontrol pemberian terpenuhi, terapkan kontrol sesi (Aplikasi yang Diterapkan, Aplikasi Pertahanan Microsoft untuk Cloud, dan Masa Pakai token)
- Tahap 2 evaluasi kebijakan terjadi untuk semua kebijakan yang diaktifkan.
Penetapan
Bagian penetapan mengontrol siapa, apa, dan di mana kebijakan Akses Bersyarat.
Pengguna dan grup
Pengguna dan grup menetapkan siapa kebijakan yang akan disertakan atau dikecualikan. Penetapan ini dapat mencakup semua pengguna, grup pengguna tertentu, peran direktori, atau pengguna tamu eksternal.
Aplikasi atau tindakan cloud
Tindakan atau aplikasi cloud dapat menyertakan atau mengecualikan aplikasi cloud, tindakan pengguna, atau konteks autentikasi yang akan tunduk pada kebijakan.
Kondisi
Kebijakan dapat berisi beberapa kondisi.
Risiko masuk
Untuk organisasi dengan Microsoft Entra ID Protection, deteksi risiko yang dihasilkan di sana dapat memengaruhi kebijakan Akses Bersyar Anda.
Platform perangkat
Organisasi dengan beberapa platform sistem operasi perangkat mungkin ingin menerapkan kebijakan tertentu di platform yang berbeda.
Informasi yang digunakan untuk menghitung platform perangkat berasal dari sumber yang belum diverifikasi seperti string agen pengguna yang dapat diubah.
Lokasi
Lokasi menghubungkan alamat IP, geografi, dan jaringan yang sesuai dengan Akses Aman Global ke keputusan kebijakan Akses Bersyar. Administrator dapat memilih untuk menentukan lokasi dan menandai beberapa sebagai tepercaya seperti lokasi jaringan utama organisasi mereka.
Aplikasi klien
Perangkat lunak yang digunakan pengguna untuk mengakses aplikasi cloud. Misalnya, 'Browser', dan 'Aplikasi seluler dan klien desktop'. Secara default, semua kebijakan Akses Bersyarat yang baru saja dibuat akan berlaku untuk semua jenis aplikasi klien, meskipun ketentuan aplikasi klien tidak dikonfigurasi.
Perilaku ketentuan aplikasi klien diperbarui pada bulan Agustus 2020. Jika Anda telah memiliki kebijakan Akses Bersyarat, kebijakan ini tidak akan berubah. Namun, jika Anda memilih pada kebijakan yang ada, sakelar konfigurasi telah dihapus dan aplikasi klien yang menerapkan kebijakan tersebut dipilih.
Filter untuk perangkat
Kontrol ini memungkinkan penargetan perangkat tertentu berdasarkan atributnya dalam sebuah kebijakan.
Kontrol Akses
Bagian kontrol akses dari kebijakan Akses Bersyarat mengontrol bagaimana kebijakan diberlakukan.
Pemberian
Pemberian menyediakan administrator sarana penerapan kebijakan tempat mereka dapat memblokir atau memberikan akses.
Akses blok
Akses pemblokiran hanya akan memblokir akses dengan tugas yang ditentukan. Kontrol blok sangat kuat dan harus digunakan dengan pengetahuan yang tepat.
Memberikan akses
Kontrol pemberian dapat memicu penerapan satu atau beberapa kontrol.
- Memerlukan autentikasi multifaktor
- Mewajibkan perangkat ditandai sebagai sesuai (Intune)
- Memerlukan perangkat gabungan hibrid Microsoft Entra
- Memerlukan aplikasi klien yang disetujui
- Memerlukan kebijakan perlindungan aplikasi
- Perlu perubahan kata sandi
- Mewajibkan ketentuan penggunaan
Administrator dapat memilih untuk mewajibkan salah satu kontrol sebelumnya atau semua kontrol yang dipilih menggunakan opsi berikut. Nilai default untuk beberapa kontrol adalah mewajibkan semua.
- Mewajibkan semua kontrol yang dipilih (kontrol dan kontrol)
- Mewajjibkan salah satu kontrol yang dipilih (kontrol atau kontrol)
Sesi
Kontrol sesi dapat membatasi pengalaman
- Menggunakan pembatasan yang diberlakukan aplikasi
- Saat ini hanya berfungsi dengan Exchange Online dan SharePoint Online.
- Meneruskan informasi perangkat untuk memungkinkan kontrol pengalaman pemberian akses penuh atau terbatas.
- Menggunakan Kontrol Aplikasi Akses Bersyar
- Menggunakan sinyal dari Microsoft Defender untuk Cloud Apps untuk melakukan hal-hal seperti:
- Memblokir unduhan, memotong, menyalin, dan mencetak dokumen sensitif.
- Pantau perilaku sesi berisiko.
- Wajibkan pelabelan berkas sensitif.
- Menggunakan sinyal dari Microsoft Defender untuk Cloud Apps untuk melakukan hal-hal seperti:
- Frekuensi masuk
- Kemampuan untuk mengubah frekuensi masuk default untuk autentikasi modern.
- Sesi browser persisten
- Memungkinkan pengguna untuk tetap masuk setelah menutup dan membuka kembali jendela browser mereka.
- Mengkustomasi evaluasi akses berkelanjutan
- Nonaktifkan default ketahanan
Kebijakan sederhana
Kebijakan Akses Bersyarat harus berisi minimal hal-hal berikut yang akan diberlakukan:
- Nama kebijakan.
- Penetapan
- Pengguna dan/atau grup yang kebijakannya akan diterapkan.
- Tindakan atau aplikasi cloud yang kebijakannya akan diterapkan.
- Kontrol akses
- Kontrol Pemberian atau Blokir
Artikel Kebijakan Akses Bersyarat Umum mencakup beberapa kebijakan yang kami rasa akan berguna bagi kebanyakan organisasi.
Langkah berikutnya
Membuat kebijakan Akses Bersyarat
Merencanakan penyebaran autentikasi multifaktor Microsoft Entra berbasis cloud
Mengelola kepatuhan perangkat dengan Intune
Aplikasi Pertahanan Microsoft untuk Cloud dan Akses Bersyarat