Dostęp warunkowy dla tożsamości obciążeń

  • Artykuł

Zasady dostępu warunkowego stosowane historycznie tylko do użytkowników, gdy uzyskują dostęp do aplikacji i usług, takich jak SharePoint Online. Obecnie rozszerzamy obsługę zasad dostępu warunkowego, które mają być stosowane do jednostek usługi należących do organizacji. Nazywamy tę funkcję dostępem warunkowym dla tożsamości obciążeń.

Tożsamość obciążenia to tożsamość, która umożliwia aplikacji lub jednostce usługi dostęp do zasobów, czasami w kontekście użytkownika. Te tożsamości obciążeń różnią się od tradycyjnych kont użytkowników, ponieważ:

  • Nie można wykonać uwierzytelniania wieloskładnikowego.
  • Często nie mają formalnego procesu cyklu życia.
  • Musisz przechowywać swoje poświadczenia lub tajne wpisy w jakimś miejscu.

Te różnice utrudniają zarządzanie tożsamościami obciążeń i narażają je na większe ryzyko naruszenia zabezpieczeń.

Ważne

Licencje usługi Workload Identities Premium są wymagane do tworzenia lub modyfikowania zasad dostępu warunkowego w zakresie jednostek usługi. W katalogach bez odpowiednich licencji istniejące zasady dostępu warunkowego dla tożsamości obciążeń będą nadal działać, ale nie można ich modyfikować. Aby uzyskać więcej informacji, zobacz Cennik Microsoft Entra.  

Uwaga

Zasady można zastosować do pojedynczych jednostek usługi dzierżawy, które zostały zarejestrowane w dzierżawie. Aplikacje SaaS i aplikacje wielodostępne innych firm są poza zakresem. Tożsamości zarządzane nie są objęte zasadami.

Dostęp warunkowy dla tożsamości obciążeń umożliwia blokowanie jednostek usługi spoza zaufanych zakresów publicznych adresów IP na podstawie ryzyka wykrytego przez usługę ochrony toźsamości Microsoft Entra lub w połączeniu z kontekstami uwierzytelniania.

Implementacja

Tworzenie zasady dostępu warunkowego opartego na lokalizacji

Utwórz zasady dostępu warunkowego opartego na lokalizacji, które mają zastosowanie do jednostek usługi.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Co mają zastosowanie te zasady?, wybierz pozycję Tożsamości obciążeń.
    2. W obszarze Dołącz wybierz pozycję Wybierz jednostki usługi i wybierz odpowiednie jednostki usługi z listy.
  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze. Zasady mają zastosowanie tylko wtedy, gdy jednostka usługi żąda tokenu.
  7. W obszarze Lokalizacje warunków> uwzględnij dowolną lokalizację i wyklucz wybrane lokalizacje, w których chcesz zezwolić na dostęp.
  8. W obszarze Udziel blokuj dostęp jest jedyną dostępną opcją. Dostęp jest blokowany, gdy żądanie tokenu jest wykonywane spoza dozwolonego zakresu.
  9. Zasady można zapisywać w trybie tylko raportów, umożliwiając administratorom oszacowanie skutków lub wymuszanie zasad przez włączenie zasad.
  10. Wybierz pozycję Utwórz , aby ukończyć zasady.

Tworzenie zasady dostępu warunkowego opartego na ryzyku

Utwórz oparte na ryzyku zasady dostępu warunkowego, które mają zastosowanie do jednostek usługi.

Tworzenie zasad dostępu warunkowego z tożsamością obciążenia i ryzykiem jako warunkiem.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Co mają zastosowanie te zasady?, wybierz pozycję Tożsamości obciążeń.
    2. W obszarze Dołącz wybierz pozycję Wybierz jednostki usługi i wybierz odpowiednie jednostki usługi z listy.
  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze. Zasady mają zastosowanie tylko wtedy, gdy jednostka usługi żąda tokenu.
  7. W obszarze Warunki>Ryzyko jednostki usługi
    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Wybierz poziomy ryzyka, w których te zasady mają być wyzwalane.
    3. Wybierz pozycję Gotowe.
  8. W obszarze Udziel blokuj dostęp jest jedyną dostępną opcją. Dostęp jest blokowany, gdy są widoczne określone poziomy ryzyka.
  9. Zasady można zapisywać w trybie tylko raportów, umożliwiając administratorom oszacowanie skutków lub wymuszanie zasad przez włączenie zasad.
  10. Wybierz pozycję Utwórz , aby ukończyć zasady.

Wycofanie

Jeśli chcesz wycofać tę funkcję, możesz usunąć lub wyłączyć wszystkie utworzone zasady.

Dzienniki logowania

Dzienniki logowania służą do przeglądania sposobu wymuszania zasad dla jednostek usługi lub oczekiwanego wpływu zasad w przypadku korzystania z trybu tylko raportów.

  1. Przejdź do obszaru Monitorowanie tożsamości>i>rejestrowanie kondycji dzienników>logowania jednostki usługi.
  2. Wybierz wpis dziennika i wybierz kartę Dostęp warunkowy, aby wyświetlić informacje o ocenie.

Przyczyna niepowodzenia, gdy dostęp warunkowy blokuje jednostkę usługi: "Dostęp został zablokowany z powodu zasad dostępu warunkowego".

Tryb samego raportu

Aby wyświetlić wyniki zasad opartych na lokalizacji, zapoznaj się z kartą Tylko raport zdarzeń w raporcie logowania lub użyj skoroszytu dostęp warunkowy Szczegółowe informacje i raportowania.

Aby wyświetlić wyniki zasad opartych na ryzyku, zapoznaj się z kartą Tylko raport zdarzeń w raporcie logowania.

Odwołanie

Znajdowanie identyfikatora objectID

Identyfikator objectID jednostki usługi można uzyskać z witryny Microsoft Entra Enterprise Applications. Nie można użyć identyfikatora obiektu w usłudze Microsoft Entra Rejestracje aplikacji. Ten identyfikator jest identyfikatorem obiektu rejestracji aplikacji, a nie jednostki usługi.

  1. Przejdź do sekcji Identity Applications Enterprise Applications>(Aplikacje dla przedsiębiorstw tożsamości>) i znajdź zarejestrowaną aplikację.
  2. Na karcie Przegląd skopiuj identyfikator obiektu aplikacji. Ten identyfikator jest unikatowy dla jednostki usługi używanej przez zasady dostępu warunkowego w celu znalezienia aplikacji wywołującej.

Microsoft Graph

Przykładowy kod JSON dla konfiguracji opartej na lokalizacji przy użyciu punktu końcowego wersji beta programu Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Następne kroki