Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Ikhtisar
Saat ini kebijakan Akses Bersyarat dapat diterapkan untuk semua aplikasi atau aplikasi individual. Organisasi dengan sejumlah besar aplikasi mungkin mengalami kesulitan dalam mengelola proses ini dalam beberapa kebijakan Akses Kondisional.
Filter pada aplikasi untuk Akses Bersyarat memungkinkan organisasi untuk menandai entitas layanan dengan atribut khusus. Atribut khusus ini kemudian ditambahkan ke dalam kebijakan Conditional Access mereka. Filter-filter untuk aplikasi dievaluasi pada saat runtime penerbitan token, bukan pada konfigurasi.
Dalam dokumen ini, Anda membuat kumpulan atribut kustom, menetapkan atribut keamanan kustom ke aplikasi Anda, dan membuat kebijakan Akses Bersyarat untuk mengamankan aplikasi.
Menetapkan peran
Atribut keamanan kustom sensitif terhadap keamanan dan hanya dapat dikelola oleh pengguna yang didelegasikan. Satu atau beberapa peran berikut harus ditetapkan kepada pengguna yang mengelola atau melaporkan atribut ini.
| Nama peran | Deskripsi |
|---|---|
| Administrator Penugasan Atribut | Tetapkan kunci dan nilai atribut keamanan kustom ke objek Microsoft Entra yang didukung. |
| Pembaca Penugasan Atribut | Baca kunci dan nilai atribut keamanan kustom untuk objek Microsoft Entra yang didukung. |
| Administrator Definisi Atribut | Menentukan dan mengelola definisi atribut keamanan kustom. |
| Pembaca Definisi Atribut | Baca definisi atribut keamanan kustom. |
Tetapkan peran yang sesuai untuk pengguna yang mengelola atau melaporkan atribut ini di cakupan direktori. Untuk langkah-langkah terperinci, lihat Assign Microsoft Entra roles.
Penting
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom.
Membuat atribut keamanan kustom
Ikuti instruksi dalam artikel, Tambahkan atau nonaktifkan atribut keamanan kustom di Microsoft Entra ID untuk menambahkan set Atribut berikut dan Atribut baru.
- Buat satu Set Atribut bernama ConditionalAccessTest.
- Buat atribut Baru bernama policyRequirement yang Memungkinkan beberapa nilai ditetapkan dan Hanya izinkan nilai yang telah ditentukan sebelumnya untuk ditetapkan. Tambahkan nilai yang telah ditentukan sebelumnya berikut:
- otorisasiLamaDiizinkan
- blokirPenggunaTamu
- memerlukan Autentikasi Multi-Faktor
- MemerlukanPerangkatYangMematuhi
- memerlukanPerangkatHybridTergabung
- memerlukanAplikasiYangPatuh
Cuplikan layar yang memperlihatkan atribut keamanan kustom dan nilai yang telah ditentukan sebelumnya dalam Microsoft Entra ID.
Catatan
Filter Akses Bersyarah untuk aplikasi hanya berfungsi dengan atribut keamanan kustom jenis string. Atribut Keamanan Kustom mendukung pembuatan jenis data Boolean tetapi Kebijakan Akses Bersyarat stringhanya mendukung .
Membuat kebijakan Akses Bersyarat
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Kondisi dan Pembaca Definisi Atribut.
- Telusuri ke Entra ID>Akses Bersyarat.
- Pilih Kebijakan baru.
- Beri nama pada kebijakan Anda. Buat standar yang bermakna untuk nama kebijakan Anda.
- Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
- Di Sertakan, pilih Semua pengguna.
- Di bawah Kecualikan, pilih Pengguna dan kelompok lalu pilih akses darurat atau akun darurat organisasi Anda.
- Pilih Selesai.
- Di bawah Sumber daya target, pilih opsi berikut:
- Pilih apa kebijakan ini berlaku untuk Sumber Daya (sebelumnya aplikasi cloud).
- Sertakan Pilih sumber daya.
- Pilih Edit filter.
- Atur Konfigurasikan ke Ya.
- Pilih Atribut yang dibuat sebelumnya yang disebut policyRequirement.
- Atur Operator ke Berisi.
- Setel Nilai menjadi requireMFA.
- Pilih Selesai.
- Pada Kontrol akses>Berikan, pilih Berikan akses, Memerlukan autentikasi multifaktor, lalu pilih Pilih.
- Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
- Pilih Buat untuk mengaktifkan kebijakan Anda.
Setelah mengonfirmasi pengaturan Anda menggunakan dampak kebijakan atau mode khusus laporan, pindahkan tombol Aktifkan kebijakan dari Hanya Laporan ke Aktif.
Mengonfigurasi atribut kustom
Langkah 1: Menyiapkan aplikasi contoh
Jika Anda sudah memiliki aplikasi pengujian yang menggunakan service principal, Anda dapat melewati langkah ini.
Siapkan aplikasi sampel yang menunjukkan bagaimana pekerjaan atau layanan Windows dapat berjalan dengan identitas aplikasi, bukan identitas pengguna. Ikuti instruksi dalam artikel Quickstart: Dapatkan token dan panggil Microsoft Graph API dengan menggunakan identitas aplikasi konsol untuk membuat aplikasi ini.
Langkah 2: Menetapkan atribut keamanan kustom ke aplikasi
Ketika Anda tidak memiliki perwakilan layanan yang tercantum di penyewa Anda, itu tidak dapat ditargetkan. Rangkaian Office 365 adalah contoh dari salah satu perwakilan layanan tersebut.
- Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Akses Kondisional dan Administrator Penugasan Atribut.
- Buka Entra ID>Aplikasi Perusahaan.
- Pilih perwakilan layanan yang ingin Anda terapkan atribut keamanan kustomnya.
- Di bawah Kelola>Atribut keamanan kustom, pilih Tambahkan penugasan.
- Di bawah Set atribut, pilih ConditionalAccessTest.
- Di bawah Nama atribut, pilih policyRequirement.
- Di bawah Nilai yang ditetapkan, pilih Tambahkan nilai, pilih requireMFA dari daftar, lalu pilih Selesai.
- Pilih Simpan.
Langkah 3: Uji kebijakan
Masuklah sebagai pengguna yang dikenakan kebijakan tersebut, lalu uji untuk memastikan bahwa Otentikasi Multi-Faktor (MFA) diperlukan saat mengakses aplikasi.
Skenario lain
- Pemblokiran autentikasi lama
- Memblokir akses eksternal ke aplikasi
- Mengharuskan perangkat yang sesuai atau kebijakan perlindungan aplikasi Intune
- Menerapkan kontrol frekuensi masuk yang lebih ketat untuk aplikasi tertentu
- Memerlukan stasiun kerja akses istimewa untuk aplikasi tertentu
- Memerlukan kontrol sesi untuk pengguna berisiko tinggi dan aplikasi tertentu
Konten terkait
Menentukan efek menggunakan mode hanya laporan Akses Bersyarat