Membangun kebijakan Akses Bersyarat

Seperti yang dijelaskan dalam artikel Apa itu Akses Bersyar, kebijakan Akses Bersyar adalah pernyataan if-then dari penugasan dan kontrol Akses. Kebijakan Akses Bersyarat menggabungkan sinyal untuk membuat keputusan dan menerapkan kebijakan organisasi.

Bagaimana organisasi membuat kebijakan ini? Apa yang diperlukan? Bagaimana penerapannya?

Beberapa kebijakan Akses Bersyar dapat berlaku untuk pengguna individual kapan saja. Dalam hal ini, semua kebijakan yang berlaku harus dipenuhi. Misalnya, jika satu kebijakan memerlukan autentikasi multifaktor dan yang lain memerlukan perangkat yang sesuai, Anda harus menyelesaikan MFA, dan menggunakan perangkat yang sesuai. Semua tugas digabungkan secara logis menggunakan AND. Jika Anda memiliki lebih dari satu tugas yang dikonfigurasi, semua penugasan harus dipenuhi untuk memicu kebijakan.

Jika kebijakan dengan "Perlu salah satu kontrol yang dipilih" dipilih, perintah muncul dalam urutan yang ditentukan. Setelah persyaratan kebijakan terpenuhi, akses diberikan.

Semua kebijakan diberlakukan dalam dua fase:

• Fase 1: Kumpulkan detail sesi
  • Kumpulkan detail sesi, seperti lokasi jaringan dan identitas perangkat yang diperlukan untuk evaluasi kebijakan.
  • Fase 1 evaluasi kebijakan terjadi untuk kebijakan dan kebijakan yang diaktifkan dalam mode khusus laporan .
• Tahap 2: Penerapan
  • Gunakan detail sesi yang dikumpulkan pada fase 1 untuk mengidentifikasi persyaratan apa pun yang tidak terpenuhi.
  • Jika ada kebijakan yang dikonfigurasi dengan blok kontrol pemberian, penegakan akan berhenti di sini dan pengguna diblokir.
  • Pengguna diminta untuk menyelesaikan lebih banyak persyaratan kontrol pemberian yang tidak terpenuhi selama fase 1 dalam urutan berikut, hingga kebijakan terpenuhi:
    1. autentikasi multifaktor
    2. Perangkat yang akan ditandai sebagai yang sesuai dengan
    3. perangkat terhubung hibrida Microsoft Entra
    4. aplikasi klien yang disetujui
    5. kebijakan perlindungan aplikasi
    6. Perubahan Kata Sandi
    7. Ketentuan Penggunaan
    8. Pengendalian Kustom
  • Setelah semua kontrol pemberian terpenuhi, kontrol sesi diterapkan (Aplikasi Diberlakukan, Pertahanan Microsoft untuk Aplikasi Cloud, dan masa pakai token).
  • Fase 2 evaluasi kebijakan terjadi untuk semua kebijakan yang diaktifkan.

Tugas

Bagian penugasan mendefinisikan siapa, apa, dan di mana untuk kebijakan Akses Bersyar.

Pengguna dan grup

Pengguna dan grup menetapkan siapa kebijakan yang disertakan atau dikecualikan saat diterapkan. Penugasan ini dapat mencakup semua pengguna, grup pengguna tertentu, peran direktori, atau pengguna tamu eksternal. Organisasi dengan lisensi ID Beban Kerja Microsoft Entra mungkin juga menargetkan identitas beban kerja .

Kebijakan yang menargetkan peran atau grup dievaluasi hanya ketika token dikeluarkan. Ini berarti:

• Pengguna yang baru ditambahkan ke peran atau grup tidak tunduk pada kebijakan hingga mereka mendapatkan token baru.
• Jika pengguna sudah memiliki token yang valid sebelum ditambahkan ke peran atau grup, kebijakan tidak berlaku secara retroaktif.

Praktik terbaiknya adalah memicu evaluasi Akses Bersyar selama aktivasi peran atau aktivasi keanggotaan grup menggunakan Microsoft Entra Privileged Identity Management.

Sumber daya target

Sumber daya target dapat menyertakan atau mengecualikan aplikasi cloud, tindakan pengguna, atau konteks autentikasi yang tunduk pada kebijakan.

Jaringan

Network berisi alamat IP, geografi, dan jaringan yang mematuhi Global Secure Access untuk keputusan kebijakan Akses Bersyarat. Admin dapat menentukan lokasi dan menandai beberapa sebagai tepercaya, seperti lokasi jaringan utama organisasi mereka.

Kondisi

Kebijakan dapat berisi beberapa kondisi .

Risiko masuk akun

Untuk organisasi dengan Microsoft Entra ID Protection, deteksi risiko yang dihasilkan di sana dapat memengaruhi kebijakan Akses Bersyarat Anda.

Platform perangkat

Organisasi dengan beberapa platform sistem operasi perangkat mungkin memberlakukan kebijakan tertentu pada platform yang berbeda.

Informasi yang digunakan untuk menentukan platform perangkat berasal dari sumber yang belum diverifikasi, seperti string agen pengguna yang dapat diubah.

Aplikasi klien

Perangkat lunak yang digunakan pengguna untuk mengakses aplikasi cloud. Misalnya, 'Browser' dan 'Aplikasi seluler dan klien desktop'. Secara default, semua kebijakan Akses Bersyarkat yang baru dibuat berlaku untuk semua jenis aplikasi klien meskipun kondisi aplikasi klien tidak dikonfigurasi.

Filter untuk perangkat

Kontrol ini memungkinkan penargetan perangkat tertentu berdasarkan atributnya dalam kebijakan.

Kontrol akses

Bagian pengendalian akses dari kebijakan Akses Bersyarat mengontrol cara kebijakan diterapkan.

Hibah

Grant memberi administrator sarana penegakan kebijakan di mana mereka dapat memblokir atau memberikan akses.

Memblokir akses

Blokir akses memblokir akses di bawah penugasan yang ditentukan. Kontrol ini kuat dan membutuhkan pengetahuan yang tepat untuk digunakan secara efektif.

Memberikan akses

Kontrol pemberian memicu penerapan satu atau beberapa kontrol.

• Memerlukan otentikasi multifaktor
• Memerlukan kekuatan autentikasi
• Mengharuskan perangkat ditandai sebagai sesuai (Intune)
• Memerlukan perangkat gabungan hibrid Microsoft Entra
• Memerlukan aplikasi klien yang disetujui
• Memerlukan kebijakan perlindungan aplikasi
• Memerlukan perubahan kata sandi
• Mewajibkan ketentuan penggunaan

Administrator memilih untuk mewajibkan salah satu kontrol sebelumnya atau semua kontrol yang dipilih menggunakan opsi berikut. Secara default, beberapa kontrol memerlukan semua.

• Memerlukan semua kontrol terpilih (kontrol dan kontrol)
• Memerlukan salah satu kontrol yang dipilih (kontrol atau kontrol)

Sesi

Kontrol sesi dapat membatasi pengalaman pengguna.

• Gunakan pembatasan yang diberlakukan aplikasi:
  • Hanya berfungsi dengan Exchange Online dan SharePoint Online.
  • Meneruskan informasi perangkat untuk mengontrol pengalaman, memberikan akses penuh atau terbatas.
• Gunakan Kontrol Akses Aplikasi Bersyarat
  • Menggunakan sinyal dari Microsoft Defender for Cloud Apps untuk melakukan hal-hal seperti:
    • Blokir unduhan, potong, salin, dan cetak dokumen sensitif.
    • Pantau perilaku sesi berisiko.
    • Memerlukan pelabelan file sensitif.
• Frekuensi masuk:
  • Kemampuan untuk mengubah frekuensi masuk default untuk autentikasi modern.
• Sesi browser yang berkelanjutan:
  • Memungkinkan pengguna untuk tetap masuk setelah menutup dan membuka kembali jendela browser mereka.
• Menyesuaikan evaluasi akses berkelanjutan.
• Nonaktifkan default ketahanan.

Kebijakan sederhana

Kebijakan Akses Bersyarkat harus menyertakan setidaknya berikut ini yang akan diberlakukan:

• Nama kebijakan
• Tugas
  • Pengguna dan/atau grup untuk menerapkan kebijakan
  • Menargetkan sumber daya untuk menerapkan kebijakan ke
• Kontrol Akses
  • Berikan atau Blok kontrol

Artikel Kebijakan Akses Bersyar Umum mencakup kebijakan yang mungkin berguna bagi sebagian besar organisasi.

Konten terkait

• Kebijakan Akses Bersyarat Umum

• Mengelola kepatuhan perangkat dengan Intune

• Microsoft Defender for Cloud Apps dan Akses Bersyarat