Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Nowoczesne zabezpieczenia wykraczają poza obwód sieci organizacji w celu uwzględnienia tożsamości użytkownika i urządzenia. Organizacje używają teraz sygnałów opartych na tożsamości w ramach decyzji dotyczących kontroli dostępu. Microsoft Entra Dostęp Warunkowy integruje sygnały, aby podejmować decyzje i przestrzegać polityk organizacji. Dostęp warunkowy to aparat zasad firmy Microsoft Zero Trust biorąc pod uwagę sygnały z różnych źródeł podczas wymuszania decyzji dotyczących zasad.
Diagram przedstawiający koncepcję sygnałów kontroli dostępu warunkowego oraz decyzję o wymuszeniu zasad organizacyjnych.
Najprostsze zasady dostępu warunkowego to instrukcje if-then: jeśli użytkownik chce uzyskać dostęp do zasobu, musi wykonać akcję. Na przykład: jeśli użytkownik chce uzyskać dostęp do aplikacji lub usługi, takiej jak Microsoft 365, musi wykonać uwierzytelnianie wieloskładnikowe, aby uzyskać dostęp.
Administratorzy mają do czynienia z dwoma podstawowymi celami:
- Umożliwienie użytkownikom produktywnej pracy w dowolnym czasie i miejscu.
- Ochrona zasobów organizacji
Użyj zasad dostępu warunkowego, aby zastosować odpowiednie mechanizmy kontroli dostępu w razie potrzeby, aby zapewnić bezpieczeństwo organizacji i nie zakłócać produktywności.
Ważne
Polityki dostępu warunkowego są egzekwowane po zakończeniu uwierzytelniania pierwszego czynnika. Dostęp warunkowy nie jest przeznaczony do obrony pierwszej linii organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.
Typowe sygnały
Dostęp warunkowy używa sygnałów z różnych źródeł do podejmowania decyzji dotyczących dostępu.
Niektóre z tych sygnałów obejmują:
- Użytkownik, grupa lub agent
- Zasady mogą być przeznaczone dla określonych użytkowników, grup i agentów (wersja zapoznawcza), co zapewnia administratorom szczegółową kontrolę nad dostępem.
- Obsługa tożsamości agentów i użytkowników agentów rozszerza zasady Zero Trust na obciążenia sztucznej inteligencji.
- Informacje o lokalizacji adresu IP
- Organizacje mogą tworzyć zakresy adresów IP, które mogą być używane podczas podejmowania decyzji dotyczących zasad.
- Administratorzy mogą określać zakresy adresów IP dla całych krajów/regionów, aby blokować lub zezwalać na ruch.
- Urządzenie
- Użytkownicy posiadający urządzenia z określonymi platformami lub oznaczeni określonym stanem mogą być używani podczas wymuszania zasad dostępu warunkowego.
- Użyj filtrów dla urządzeń, aby kierować zasady do określonych urządzeń, takich jak stacje robocze z dostępem uprzywilejowanym.
- Application
- Wyzwalaj różne zasady dostępu warunkowego, gdy użytkownicy próbują uzyskać dostęp do określonych aplikacji.
- Stosowanie zasad do tradycyjnych aplikacji w chmurze, aplikacji lokalnych i zasobów agentów.
- Wykrywanie ryzyka w czasie rzeczywistym i obliczane
- Integruje sygnały z Ochrona tożsamości Microsoft Entra w celu identyfikowania i korygowania ryzykownych użytkowników, zachowania logowania i działań agenta.
-
Microsoft Defender for Cloud Apps
- Monitoruje i kontroluje dostęp i sesje aplikacji użytkownika w czasie rzeczywistym. Ta integracja zwiększa widoczność i kontrolę nad dostępem i działaniami w środowisku chmury.
Typowe decyzje
- Zablokowanie dostępu jest najbardziej restrykcyjną decyzją.
- Przyznaj dostęp
- Mniej restrykcyjna decyzja, która może wymagać co najmniej jednej z następujących opcji:
- Wymaganie uwierzytelniania wieloskładnikowego
- Wymagaj siły uwierzytelniania
- Wymagaj, aby urządzenie było oznaczone jako zgodne
- Wymaga się urządzenia przyłączonego hybrydowo z programem Microsoft Entra.
- Wymaganie zatwierdzonej aplikacji klienckiej
- Wymaganie zasad ochrony aplikacji
- Wymaganie zmiany hasła
- Wymaganie warunków użytkowania
Najczęściej stosowane zasady
Wiele organizacji ma typowe problemy z dostępem, z którymi mogą pomóc zasady dostępu warunkowego, takie jak:
- Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników z rolami administracyjnymi
- Wymaganie uwierzytelniania wieloskładnikowego dla zadań zarządzania Azure
- Blokowanie logowania dla użytkowników, którzy próbują używać starszych protokołów uwierzytelniania
- Wymaganie zaufanych lokalizacji na potrzeby rejestracji informacji zabezpieczających
- Blokowanie lub udzielanie dostępu z określonych lokalizacji
- Blokowanie ryzykownych zachowań logowania
- Wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji
Administratorzy mogą tworzyć zasady od podstaw lub rozpoczynać od zasad szablonu w portalu lub przy użyciu interfejs Graph API Firmy Microsoft.
doświadczenie administracyjne
Administratorzy posiadający co najmniej rolę Security Reader mogą znaleźć sekcję Dostęp warunkowy w centrum administracyjnym Microsoft Entra, w obszarze Entra ID>Dostęp warunkowy.
Na stronie Przegląd przedstawiono podsumowanie ostatnich działań związanych z zasadami dostępu warunkowego. W tym miejscu można zobaczyć, ile zasad jest włączonych w porównaniu z tylko raportami, aktywnością agenta i użytkownikami, aplikacjami, urządzeniami i ogólnymi alertami zabezpieczeń z sugestiami. Zrzut ekranu przedstawiający stronę przeglądu dostępu warunkowego.
Karta Pokrycie zawiera podsumowanie aplikacji objętych i nieobjętych zasadami dostępu warunkowego w ciągu ostatnich siedmiu dni. Zrzut ekranu przedstawiający kartę dostępu warunkowego z pokryciem zasad aplikacji.
Strona Zasady zawiera listę wszystkich zasad w środowisku dzierżawy, w tym zasady tylko raportowe, zasady utworzone przez agenta optymalizacji dostępu warunkowego (jeśli dotyczy). Opcje filtrowania, wyświetlania scenariuszy "Co jeśli" i tworzenia nowych zasad są dostępne tutaj. Zrzut ekranu przedstawiający stronę listy zasad dostępu warunkowego.
Agent optymalizacji dostępu warunkowego
Agent optymalizacji dostępu Conditional Access Optimization Agent z Microsoft Security Copilot sugeruje nowe zasady i zmiany istniejących na podstawie zasad Zero Trust i najlepszych rozwiązań firmy Microsoft. Za pomocą jednego kliknięcia zastosuj sugestię, aby automatycznie zaktualizować lub utworzyć zasady dostępu warunkowego. Agent potrzebuje co najmniej licencji Tożsamość Microsoft Entra P1 i security compute units (SCU).
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Tożsamość Microsoft Entra P1. Aby znaleźć odpowiednią licencję na potrzeby, zobacz Porównaj ogólnie dostępne funkcje Tożsamość Microsoft Entra.
Klienci z licencjami
Inne produkty i funkcje, które współdziałają z zasadami dostępu warunkowego, wymagają odpowiedniego licencjonowania dla tych produktów i funkcji, w tym Tożsamość obciążeń Microsoft Entra, Ochrona tożsamości Microsoft Entra i Microsoft Purview.
Po wygaśnięciu licencji wymaganych do dostępu warunkowego zasady nie są automatycznie wyłączone ani usuwane. Ten łagodny stan umożliwia klientom migrowanie z zasad dostępu warunkowego bez nagłej zmiany stanu zabezpieczeń. Pozostałe zasady można wyświetlać i usuwać, ale nie można ich zaktualizować.
Wartości domyślne zabezpieczeń pomagają chronić przed atakami związanymi z tożsamościami i są dostępne dla wszystkich klientów.
Zero Trust
Ta funkcja ułatwia organizacjom dostosowanie ich identities z trzema podstawowymi zasadami architektury Zero Trust:
- Zweryfikuj jawnie
- Użyj najniższych uprawnień
- Założenie, że doszło do naruszenia
Aby dowiedzieć się więcej na temat Zero Trust i innych sposobów dopasowania organizacji do wytycznych, zobacz Zero Trust Guidance Center.
Następne kroki
Planowanie wdrożenia dostępu warunkowego