Dostęp warunkowy: zasoby docelowe

Zasoby docelowe (wcześniej aplikacje w chmurze, akcje i kontekst uwierzytelniania) są kluczowymi sygnałami w zasadach dostępu warunkowego. Zasady dostępu warunkowego umożliwiają administratorom przypisywanie kontrolek do określonych aplikacji, usług, akcji lub kontekstu uwierzytelniania.

• Administratorzy mogą wybrać spośród listy aplikacji lub usług, które obejmują wbudowane aplikacje Microsoft i wszelkie zintegrowane aplikacje Microsoft Entra, w tym aplikacje z galerii, spoza galerii oraz aplikacje publikowane za pośrednictwem Application Proxy.
• Administratorzy mogą zdecydować się na zdefiniowanie zasad nie opartych na aplikacji w chmurze, ale na akcji użytkownika , takiej jak Rejestrowanie informacji o zabezpieczeniach lub rejestrowanie lub dołączanie urządzeń, co umożliwia dostęp warunkowy do wymuszania kontroli wokół tych akcji.
• Administratorzy mogą kierować profile przesyłania ruchu z Global Secure Access, aby zwiększyć funkcjonalność.
• Administratorzy mogą używać kontekstu uwierzytelniania , aby zapewnić dodatkową warstwę zabezpieczeń w aplikacjach.

Aplikacje w chmurze firmy Microsoft

Administratorzy mogą przypisywać zasady dostępu warunkowego do aplikacji w chmurze firmy Microsoft, pod warunkiem że jednostka usługi jest obecna w ich dzierżawie, z wyjątkiem usługi Microsoft Graph. Program Microsoft Graph działa jako zasób parasolowy. Użyj Raportowania odbiorców, aby zobaczyć podstawowe usługi i uwzględniać te usługi w swoich zasadach. Niektóre aplikacje, takie jak Office 365 i Windows Azure Service Management API , obejmują wiele powiązanych aplikacji podrzędnych lub usług. Po utworzeniu nowych aplikacji w chmurze firmy Microsoft są one wyświetlane na liście selektorów aplikacji zaraz po utworzeniu jednostki usługi w dzierżawie.

Office 365

Platforma Microsoft 365 oferuje oparte na chmurze usługi zwiększające produktywność i współpracę, takie jak Exchange, SharePoint i Microsoft Teams. Usługi w chmurze platformy Microsoft 365 są głęboko zintegrowane, aby zapewnić bezproblemowe i wspólne środowisko pracy. Ta integracja może spowodować zamieszanie podczas tworzenia zasad, takich jak niektóre aplikacje, takie jak Microsoft Teams, mają zależności od innych, takich jak SharePoint lub Exchange.

Pakiet Office 365 umożliwia jednoczesne odnoszenie się do wszystkich tych usług. Zalecamy użycie nowego pakietu Office 365, zamiast skupiania się na poszczególnych aplikacjach w chmurze, aby uniknąć problemów z zależnościami usług.

Ukierunkowanie tej grupy aplikacji pomaga uniknąć problemów, które mogą wystąpić z powodu niespójnych zasad i zależności. Na przykład: aplikacja Exchange Online jest powiązana z tradycyjnymi danymi usługi Exchange Online, takimi jak poczta, kalendarz i informacje kontaktowe. Powiązane metadane mogą być udostępniane za pośrednictwem różnych zasobów, takich jak wyszukiwanie. Aby zapewnić ochronę wszystkich metadanych zgodnie z oczekiwaniami, administratorzy powinni przypisać zasady do aplikacji usługi Office 365.

Administratorzy mogą wykluczyć cały pakiet Office 365 lub określone aplikacje w chmurze usługi Office 365 z zasad dostępu warunkowego.

Pełną listę wszystkich usług dostępnych można znaleźć w artykule Aplikacje zawarte w pakiecie aplikacji usługi Office 365 dostępu warunkowego.

Interfejs API zarządzania usługami platformy Windows Azure

W przypadku odnoszenia się do aplikacji Windows Azure Service Management API zasady są egzekwowane w odniesieniu do tokenów wystawionych dla zestawu usług ściśle powiązanych z portalem. To grupowanie obejmuje identyfikatory aplikacji:

• Azure Resource Manager
• Witryna Azure Portal, która obejmuje również centrum administracyjne Microsoft Entra
• Azure Data Lake
• Interfejs API usługi Application Insights
• Interfejs API analizy logów

Ponieważ zasady są stosowane do portalu zarządzania Platformy Azure i interfejsu API, wszystkie usługi i klienci zależni od interfejsu API platformy Azure mogą być pośrednio dotknięte. Na przykład:

• Azure CLI (Interfejs wiersza polecenia platformy Azure)
• Portal usługi Azure Data Factory
• Azure DevOps
• Azure Event Hubs
• Azure PowerShell
• Usługa Azure Service Bus
• Azure SQL Database
• Azure Synapse
• Klasyczne interfejsy API modelu wdrażania
• Centrum administracyjne platformy Microsoft 365
• Microsoft IoT Central
• Instancja zarządzana SQL
• Portal administratora subskrypcji programu Visual Studio

Uwaga

Aplikacja interfejsu API zarządzania usługami platformy Windows Azure ma zastosowanie do programu Azure PowerShell, który wywołuje interfejs API usługi Azure Resource Manager. Nie dotyczy programu Microsoft Graph PowerShell, który wywołuje interfejs API programu Microsoft Graph.

Aby uzyskać więcej informacji na temat konfigurowania przykładowych zasad dla interfejsu API zarządzania usługami platformy Windows Azure, zobacz Dostęp warunkowy: wymaganie uwierzytelniania wieloskładnikowego na potrzeby zarządzania platformą Azure.

Napiwek

Dla Azure Government powinieneś skierować się na aplikację Azure Government Cloud Management API.

Portale administracyjne Microsoft

Gdy zasady dostępu warunkowego odnoszą się do aplikacji chmurowej Microsoft Admin Portals, zasady są egzekwowane w odniesieniu do tokenów wystawionych dla identyfikatorów aplikacji następujących portali administracyjnych firmy Microsoft:

• Azure Portal
• Centrum administracyjne programu Exchange
• Centrum administracyjne platformy Microsoft 365
• Portal Microsoft 365 Defender
• Centrum administracyjne Microsoft Entra
• Centrum administracyjne Microsoft Intune
• Portal zgodności Microsoft Purview
• Centrum administracyjne platformy Microsoft Teams

Stale dodajemy do listy kolejne portale administracyjne.

Uwaga

Aplikacja Portale administracyjne firmy Microsoft ma zastosowanie tylko do logowania interakcyjnego do wymienionych portali administracyjnych. Logowania do podstawowych zasobów lub usług, takich jak Microsoft Graph lub Azure Resource Manager API, nie są objęte tą aplikacją. Te zasoby są chronione przez aplikację interfejsu API zarządzania usługami platformy Windows Azure . To grupowanie umożliwia klientom przejście przez proces wdrażania uwierzytelniania wieloskładnikowego dla administratorów bez wpływu na automatyzację, która opiera się na interfejsach API i programie PowerShell. Gdy wszystko będzie gotowe, firma Microsoft zaleca korzystanie z zasad wymagających od administratorów wykonywania uwierzytelniania wieloskładnikowego zawsze w celu zapewnienia kompleksowej ochrony.

Inne aplikacje

Administratorzy mogą dodać dowolną zarejestrowaną aplikację usługi Microsoft Entra do zasad dostępu warunkowego. Te aplikacje mogą obejmować:

• Aplikacje opublikowane za pośrednictwem serwera proxy aplikacji Entra firmy Microsoft
• Aplikacje dodane z galerii
• Aplikacje niestandardowe, które nie są w galerii
• Starsze aplikacje udostępniane za pomocą kontrolerów dostarczania aplikacji i sieci
• Aplikacje korzystające z logowania jednokrotnego opartego na hasłach

Uwaga

Ponieważ zasady dostępu warunkowego określają wymagania dotyczące uzyskiwania dostępu do usługi, nie można zastosować jej do aplikacji klienckiej (publicznej/natywnej). Innymi słowy, zasady nie są ustawiane bezpośrednio w aplikacji klienckiej (publicznej/natywnej), ale są stosowane, gdy klient wywołuje usługę. Na przykład zasady ustawione w usłudze SharePoint mają zastosowanie do wszystkich klientów wywołujących program SharePoint. Zasady ustawione w programie Exchange dotyczą próby uzyskania dostępu do poczty e-mail przy użyciu klienta programu Outlook. Dlatego w oknie wyboru aplikacji nie są dostępne do wyboru aplikacje klienckie (publiczne/natywne), a opcja Dostępu Warunkowego nie jest dostępna w ustawieniach aplikacji dla takich aplikacji zarejestrowanych w twojej dzierżawie.

Niektóre aplikacje w ogóle nie są wyświetlane w selektorze. Jedynym sposobem uwzględnienia tych aplikacji w zasadach dostępu warunkowego jest dołączenie wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze") lub dodanie brakującej jednostki usługi przy użyciu polecenia cmdlet New-MgServicePrincipal programu PowerShell lub przy użyciu interfejsu API programu Microsoft Graph.

Opis dostępu warunkowego dla różnych typów klientów

Dostęp warunkowy ma zastosowanie do zasobów, które nie są klientami, z wyjątkiem sytuacji, gdy klient jest poufnym klientem żądającym tokenu identyfikatora.

• Klient publiczny
  • Klienci publiczni to klienci, którzy działają lokalnie na urządzeniach, takich jak Microsoft Outlook w aplikacjach klasycznych lub mobilnych, takich jak Microsoft Teams.
  • Zasady dostępu warunkowego nie mają zastosowania do samego klienta publicznego, ale mają zastosowanie na podstawie zasobów żądanych przez klientów publicznych.
• Poufny klient
  • Dostęp warunkowy ma zastosowanie do zasobów żądanych przez klienta i samego klienta poufnego, jeśli żąda tokenu identyfikatora.
  • Na przykład: Jeśli program Outlook Web żąda tokenu dla zakresów Mail.Read i Files.Read, dostęp warunkowy stosuje zasady dla programów Exchange i SharePoint. Ponadto jeśli program Outlook Web żąda tokenu identyfikatora, dostęp warunkowy stosuje również zasady dla programu Outlook Web.

Aby wyświetlić dzienniki logowania dla tych typów klientów z centrum administracyjnego firmy Microsoft Entra:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do Entra ID Monitorowanie & zdrowie Dzienniki logowania.
3. Dodaj filtr dla typu poświadczeń klienta .
4. Dostosuj filtr, aby wyświetlić określony zestaw dzienników na podstawie poświadczeń klienta używanych w logowaniu.

Aby uzyskać więcej informacji, zobacz artykuł Publiczny klient i poufne aplikacje klienckie.

Wszystkie zasoby

Zastosowanie zasad dostępu warunkowego do wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze") bez żadnych wykluczeń aplikacji powoduje wymuszanie zasad dla wszystkich żądań tokenów z witryn internetowych i usług, w tym profilów przekazywania ruchu globalnego bezpiecznego dostępu. Ta opcja obejmuje aplikacje, które nie są indywidualnie przeznaczone dla zasad dostępu warunkowego, takie jak Windows Azure Active Directory (0000002-0000-0000-0000-c000-00000000000).

Ważne

Firma Microsoft zaleca utworzenie zasad uwierzytelniania wieloskładnikowego dla wszystkich użytkowników i wszystkich zasobów (bez żadnych wykluczeń aplikacji), takich jak w artykule Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.

Zachowanie dostępu warunkowego, gdy zasada dla wszystkich zasobów ma wykluczenie aplikacji

Jeśli jakakolwiek aplikacja zostanie wykluczona z zasad, aby nie przypadkowo zablokować dostępu użytkowników, niektóre zakresy niskich uprawnień są wykluczone z wymuszania zasad. Te zakresy umożliwiają wywołania bazowych interfejsów API programu Graph, takich jak Windows Azure Active Directory (0000002-0000-0000-c000-000000000000000) i Microsoft Graph (00000003-0000-0000-c000-000000000000), aby uzyskać dostęp do informacji o profilu użytkownika i członkostwie w grupach często używanych przez aplikacje w ramach uwierzytelniania. Na przykład: gdy program Outlook żąda tokenu dla programu Exchange, prosi również o zakres User.Read, aby móc wyświetlać podstawowe informacje o koncie bieżącego użytkownika.

Większość aplikacji ma podobną zależność, dlatego te zakresy o niskich uprawnieniach są automatycznie wykluczane za każdym razem, gdy istnieje wykluczenie aplikacji w zasadach Wszystkie zasoby . Te wykluczenia z zakresu niskich uprawnień nie zezwalają na dostęp do danych poza podstawowymi informacjami o profilu użytkownika i grupie. Wykluczone zakresy są wymienione w następujący sposób, zgoda jest nadal wymagana, aby aplikacje korzystały z tych uprawnień.

• Klienci natywni i aplikacje jednostronicowe (SPA) mają dostęp do następujących zakresów niskich uprawnień:
  • Azure AD Graph: email, offline_access, openid, profileUser.Read
  • Microsoft Graph: email, , offline_accessopenid, profile, , User.ReadPeople.Read
• Klienci poufni mają dostęp do następujących zakresów o niskich uprawnieniach, jeśli są wykluczeni z zasad Wszystkie zasoby:
  • Azure AD Graph: email, offline_access, openidprofile, User.Read, , User.Read.AllUser.ReadBasic.All
  • Microsoft Graph: email, , offline_accessopenidprofileUser.ReadUser.Read.AllUser.ReadBasic.AllPeople.ReadPeople.Read.All, , GroupMember.Read.AllMember.Read.Hidden

Aby uzyskać więcej informacji na temat wymienionych zakresów, zobacz Dokumentacja uprawnień programu Microsoft Graph oraz Zakresy i uprawnienia na platformie tożsamości firmy Microsoft.

Ochrona informacji o katalogu

Jeśli zalecana zasada uwierzytelniania wieloskładnikowego bez wykluczeń aplikacji nie może być skonfigurowana ze względów biznesowych, a zasady zabezpieczeń organizacji muszą obejmować zakresy związane z katalogiem o niskich uprawnieniach (, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All), alternatywą jest utworzenie oddzielnej zasady dostępu warunkowego, której celem jest Member.Read.Hidden (00000002-0000-0000-c000-000000000000). Usługa Windows Azure Active Directory (nazywana również usługą Azure AD Graph) to zasób reprezentujący dane przechowywane w katalogu, takim jak użytkownicy, grupy i aplikacje. Zasób usługi Windows Azure Active Directory znajduje się w obszarze Wszystkie zasoby , ale może być indywidualnie objęty zasadami dostępu warunkowego, wykonując następujące czynności:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator definicji atrybutów i administrator przypisania atrybutów.
2. Przejdź do elementu Entra ID>Niestandardowe atrybuty zabezpieczeń.
3. Utwórz nowy zestaw atrybutów i definicję atrybutów. Aby uzyskać więcej informacji, zobacz Dodawanie lub dezaktywowanie niestandardowych definicji atrybutów zabezpieczeń w identyfikatorze Entra firmy Microsoft.
4. Przejdź do aplikacji Entra ID>Dla przedsiębiorstw.
5. Usuń filtr Typ aplikacji i wyszukaj identyfikator aplikacji rozpoczynający się od 00000002-0000-0000-c000-00000000000000.
6. Wybierz Windows Azure Active Directory>Niestandardowe atrybuty zabezpieczeń>Dodaj przypisanie.
7. Wybierz zestaw atrybutów i wartość atrybutu, która ma być używana w zasadach.
8. Przejdź do Entra ID, a następnie do Zasad dostępu warunkowego.
9. Utwórz lub zmodyfikuj istniejące zasady.
10. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję >Wybierz zasoby>Edytuj filtr.
11. Dostosuj filtr, aby uwzględnić zestaw atrybutów i definicję z wcześniejszej wersji.
12. Zapisz politykę

Wszystkie zasoby internetowe z globalnym bezpiecznym dostępem

Opcja Wszystkie zasoby internetowe z Globalnym Bezpiecznym Dostępem umożliwia administratorom wycelowanie profilu przekazywania ruchu internetowego z usługi Microsoft Entra Internet Access.

Te profile w globalnym bezpiecznym dostępie umożliwiają administratorom definiowanie i kontrolowanie sposobu kierowania ruchu przez Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra. Profile przekazywania ruchu można przypisać do urządzeń i sieci zdalnych. Aby zapoznać się z przykładem zastosowania zasad dostępu warunkowego do tych profilów ruchu, zobacz artykuł How to apply Conditional Access policies to the Microsoft 365 traffic profile (Jak stosować zasady dostępu warunkowego do profilu ruchu platformy Microsoft 365).

Aby uzyskać więcej informacji na temat tych profilów, zobacz artykuł Global Secure Access traffic forwarding profiles (Globalne profile przekazywania ruchu bezpiecznego dostępu).

Akcje użytkownika

Akcje użytkownika to zadania wykonywane przez użytkownika. Obecnie dostęp warunkowy obsługuje dwie akcje użytkownika:

• Zarejestruj informacje o zabezpieczeniach: ta akcja użytkownika umożliwia wymuszanie zasad dostępu warunkowego, gdy użytkownicy włączeni do połączonej rejestracji próbują zarejestrować swoje informacje zabezpieczające. Więcej informacji można znaleźć w artykule Rejestracja połączonych informacji zabezpieczających.

Uwaga

Gdy administratorzy stosują politykę dotyczącą działań użytkownika w celu zarejestrowania informacji zabezpieczających, jeśli konto użytkownika jest gościem korzystającym z konta osobistego Microsoft (MSA), używając kontrolki „Wymagaj uwierzytelniania wieloskładnikowego”, administracja wymaga zarejestrowania informacji zabezpieczających przez użytkownika MSA w organizacji. Jeśli użytkownik-gość pochodzi z innego dostawcy, takiego jak Google, dostęp jest zablokowany.

• Rejestrowanie lub dołączanie urządzeń: ta akcja użytkownika umożliwia administratorom wymuszanie zasad dostępu warunkowego podczas rejestrowania lub dołączania urządzeń do identyfikatora Entra firmy Microsoft. Zapewnia ona szczegółową konfigurację uwierzytelniania wieloskładnikowego na potrzeby rejestrowania lub dołączania urządzeń, zamiast ogólnych zasad działających w obrębie całej dzierżawy, które obecnie istnieją. Istnieją trzy kluczowe zagadnienia dotyczące tej akcji użytkownika:
  • Require multifactor authentication jest jedyną kontrolą dostępu dostępną w tej akcji użytkownika, a wszystkie inne są wyłączone. To ograniczenie zapobiega konfliktom z mechanizmami kontroli dostępu, które są zależne od rejestracji urządzeń firmy Microsoft Entra lub nie mają zastosowania do rejestracji urządzeń firmy Microsoft Entra.
  • Client apps, Filters for devices i Device state warunki nie są dostępne dla tej akcji użytkownika, ponieważ są one zależne od rejestracji urządzeń Microsoft Entra w celu wymuszenia zasad dostępu warunkowego.

Ostrzeżenie

Po skonfigurowaniu zasad dostępu warunkowego za pomocą akcji użytkownika Zarejestruj lub dołącz urządzenia, należy ustawić w Entra ID>, Urządzenia>, Przegląd>, Ustawienia urządzenia - Require Multifactor Authentication to register or join devices with Microsoft Entra na Nie. W przeciwnym razie zasady dostępu warunkowego związane z działaniami użytkownika nie są właściwie egzekwowane. Więcej informacji na temat tego ustawienia urządzenia można znaleźć w temacie Konfigurowanie ustawień urządzenia.

Kontekst uwierzytelniania

Kontekst uwierzytelniania może służyć do dalszego zabezpieczania danych i akcji w aplikacjach. Te aplikacje mogą być własnymi aplikacjami niestandardowymi, niestandardowymi aplikacjami biznesowymi (LOB), aplikacjami, takimi jak SharePoint, lub aplikacjami chronionymi przez usługę Microsoft Defender for Cloud Apps.

Na przykład organizacja może przechowywać pliki w witrynach programu SharePoint, takich jak menu obiadowe lub tajny przepis sosu GRILL. Każdy może mieć dostęp do witryny z menu obiadowym, ale użytkownicy, którzy mają dostęp do witryny z tajnym przepisem na sos BBQ, mogą potrzebować dostępu z urządzenia zarządzanego i muszą wyrazić zgodę na określone warunki użytkowania.

Kontekst uwierzytelniania współpracuje z użytkownikami lub tożsamościami obciążeń, ale nie w tych samych zasadach dostępu warunkowego.

Konfigurowanie kontekstów uwierzytelniania

Konteksty uwierzytelniania są zarządzane pod Entra ID> dostęp warunkowy> kontekst uwierzytelniania.

Utwórz nowe definicje kontekstu uwierzytelniania, wybierając pozycję Nowy kontekst uwierzytelniania. Organizacje są ograniczone do łącznie 99 definicji kontekstu uwierzytelniania c1-c99. Skonfiguruj następujące atrybuty:

• Nazwa wyświetlana to nazwa używana do identyfikowania kontekstu uwierzytelniania w Microsoft Entra ID oraz w aplikacjach, które wykorzystują konteksty uwierzytelniania. Zalecamy używanie nazw między zasobami, takimi jak zaufane urządzenia, aby zmniejszyć wymaganą liczbę kontekstów uwierzytelniania. Posiadanie ograniczonego zestawu ogranicza liczbę przekierowań i zapewnia lepsze doświadczenie użytkownika końcowego.
• Opis zawiera więcej informacji na temat zasad. Te informacje są używane przez administratorów i tych, którzy stosują konteksty uwierzytelniania do zasobów.
• Pole wyboru Publikuj w aplikacjach po zaznaczeniu udostępnia kontekst uwierzytelniania aplikacjom i czyni go dostępnym do przypisania. Jeśli kontekst uwierzytelniania nie jest sprawdzany, jest niedostępny dla zasobów podrzędnych.
• Identyfikator jest tylko do odczytu i używany w tokenach i aplikacjach dla definicji kontekstu uwierzytelniania specyficznego dla żądania. Wymienione tutaj na potrzeby rozwiązywania problemów i przypadków użycia programowania.

Dodaj do zasad dostępu warunkowego

Administratorzy mogą wybrać opublikowane konteksty uwierzytelniania w zasadach dostępu warunkowego w sekcji Przypisania>aplikacje lub akcje w chmurze, wybierając Kontekst uwierzytelniania z menu Wybierz, do czego mają zastosowanie te zasady.

Usuwanie kontekstu uwierzytelniania

Po usunięciu kontekstu uwierzytelniania upewnij się, że żadne aplikacje nie korzystają z niego. W przeciwnym razie dostęp do danych aplikacji nie jest już chroniony. Można potwierdzić to wymaganie wstępne, sprawdzając dzienniki logowania w przypadkach, gdy stosowane są zasady dostępu warunkowego uwierzytelniania kontekstowego.

Aby usunąć kontekst uwierzytelniania, nie musi mieć przypisanych zasad dostępu warunkowego i nie może być publikowany w aplikacjach. To wymaganie pomaga zapobiec przypadkowemu usunięciu kontekstu uwierzytelniania, który jest nadal używany.

Tagowanie zasobów przy użyciu kontekstów uwierzytelniania

Aby uzyskać więcej informacji na temat użycia kontekstu uwierzytelniania w aplikacjach, zobacz następujące artykuły.

• Używanie etykiet poufności do ochrony zawartości w usłudze Microsoft Teams, grupach platformy Microsoft 365 i witrynach programu SharePoint
• Microsoft Defender dla aplikacji chmurowych
• Aplikacje niestandardowe

Następne kroki

• Dostęp warunkowy: warunki
• Typowe zasady dostępu warunkowego
• Zależności aplikacji klienckiej