Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zasady dostępu warunkowego muszą zawierać przypisanie tożsamości użytkownika, grupy lub obciążenia jako jeden z sygnałów w procesie decyzyjnym. Te tożsamości można dołączać lub wykluczać z zasad dostępu warunkowego. Identyfikator Entra firmy Microsoft ocenia wszystkie zasady i zapewnia spełnienie wszystkich wymagań przed udzieleniem dostępu.
Dołączanie użytkowników
Ta lista użytkowników zazwyczaj obejmuje wszystkich użytkowników, których organizacja uwzględnia w polityce dostępu warunkowego.
Poniższe opcje są dostępne do uwzględnienia podczas tworzenia zasad dostępu warunkowego.
- Żaden
- Nie wybrano żadnych użytkowników
- Wszyscy użytkownicy
- Wszyscy użytkownicy, którzy istnieją w katalogu, w tym goście B2B.
- Wybieranie użytkowników i grup
- Goście lub użytkownicy zewnętrzni
- Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników.
Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
- Użytkownicy-goście współpracy B2B
- Użytkownicy członków współpracy B2B
- Użytkownicy bezpośredniego połączenia B2B
- Lokalni użytkownicy-goście, na przykład każdy użytkownik należący do najemcy macierzystego z atrybutem typu użytkownika ustawionym na gościa
- Użytkownicy dostawcy usług, na przykład Dostawca rozwiązań w chmurze (CSP)
- Inni użytkownicy zewnętrzni lub użytkownicy, którzy nie są reprezentowani przez inne wybory typu użytkownika
- Dla wybranych typów użytkowników można określić jednego lub więcej najemców albo wszystkich najemców.
- Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników.
Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
- Role katalogu
- Umożliwia administratorom wybieranie określonych wbudowanych ról katalogu, które są używane do określania przypisania zasad. Na przykład organizacje mogą tworzyć bardziej restrykcyjne zasady dotyczące użytkowników, którzy aktywnie przypisyli rolę uprzywilejowaną. Inne typy ról nie są obsługiwane, w tym role ograniczone do jednostek administracyjnych i role niestandardowe.
- Dostęp warunkowy umożliwia administratorom wybieranie niektórych ról wymienionych jako przestarzałe. Te role nadal pojawiają się w podstawowym interfejsie API i zezwalamy administratorom na stosowanie do nich zasad.
- Umożliwia administratorom wybieranie określonych wbudowanych ról katalogu, które są używane do określania przypisania zasad. Na przykład organizacje mogą tworzyć bardziej restrykcyjne zasady dotyczące użytkowników, którzy aktywnie przypisyli rolę uprzywilejowaną. Inne typy ról nie są obsługiwane, w tym role ograniczone do jednostek administracyjnych i role niestandardowe.
- Użytkownicy i grupy
- Umożliwia kierowanie funkcji do określonych grup użytkowników. Na przykład organizacje mogą wybrać grupę zawierającą wszystkich członków działu kadr po wybraniu aplikacji kadr jako aplikacji w chmurze. Grupa może być dowolnym typem grupy użytkowników w usłudze Microsoft Entra ID, w tym dynamicznymi lub przypisanymi grupami zabezpieczeń i dystrybucji. Zasady są stosowane do zagnieżdżonych użytkowników i grup.
- Goście lub użytkownicy zewnętrzni
Ważne
W przypadku wybierania użytkowników i grup uwzględnionych w zasadach dostępu warunkowego istnieje ograniczenie liczby poszczególnych użytkowników, które można dodać bezpośrednio do zasad dostępu warunkowego. Jeśli do zasad dostępu warunkowego jest wymagana duża liczba użytkowników, którzy muszą zostać dodani bezpośrednio do zasad dostępu warunkowego, zalecamy umieszczenie użytkowników w grupie i przypisanie grupy do zasad dostępu warunkowego.
Jeśli użytkownicy lub grupy są członkami ponad 2048 grup, dostęp może zostać zablokowany. Ten limit dotyczy zarówno bezpośredniego, jak i zagnieżdżonego członkostwa w grupach.
Ostrzeżenie
Zasady dostępu warunkowego nie obsługują użytkowników przypisanych do ról katalogu ograniczonych do jednostki administracyjnej lub ról katalogu zawężonych bezpośrednio do obiektu, na przykład poprzez role niestandardowe.
Uwaga
Podczas kierowania zasad do użytkowników zewnętrznych B2B korzystających z bezpośrednich połączeń, te zasady będą również stosowane do użytkowników współpracujących w ramach B2B, uzyskujących dostęp do aplikacji Teams lub SharePoint Online i również kwalifikujących się do bezpośredniego połączenia B2B. To samo dotyczy zasad współpracy B2B dla użytkowników zewnętrznych, co oznacza, że użytkownicy korzystający z kanałów udostępnionych w Teams będą mieli zastosowane zasady współpracy B2B, jeśli mają również obecność jako użytkownicy-goście w dzierżawie.
Wykluczanie użytkowników
Gdy organizacje obejmują i wykluczają użytkownika lub grupę, użytkownik lub grupa jest wykluczony z zasad. Akcja wykluczania zastępuje akcję dołączania w zasadach. Wykluczenia są często używane w przypadku kont dostępu awaryjnego lub kont typu „break-glass”. Więcej informacji na temat kont dostępu awaryjnego i ich znaczenia można znaleźć w następujących artykułach:
- Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID
- Tworzenie odpornej strategii zarządzania kontrolą dostępu za pomocą identyfikatora Entra firmy Microsoft
Poniższe opcje są dostępne do wykluczenia podczas tworzenia zasad dostępu warunkowego.
- Goście lub użytkownicy zewnętrzni
- Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników.
Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
- Użytkownicy-goście współpracy B2B
- Użytkownicy członków współpracy B2B
- Użytkownicy bezpośredniego połączenia B2B
- Lokalni użytkownicy-goście, na przykład każdy użytkownik należący do najemcy macierzystego z atrybutem typu użytkownika ustawionym na gościa
- Użytkownicy dostawcy usług, na przykład Dostawca rozwiązań w chmurze (CSP)
- Inni użytkownicy zewnętrzni lub użytkownicy, którzy nie są reprezentowani przez inne wybory typu użytkownika
- Dla wybranych typów użytkowników można określić jednego lub więcej najemców albo wszystkich najemców.
- Ten wybór zawiera kilka opcji, które mogą służyć do określania zasad dostępu warunkowego do określonych typów gości lub użytkowników zewnętrznych i określonych dzierżaw zawierających tych typów użytkowników.
Istnieje kilka różnych typów użytkowników-gości lub użytkowników zewnętrznych, które można wybrać, a można wybrać wiele opcji:
- Role katalogu
- Umożliwia administratorom wybranie określonych ról katalogu firmy Microsoft Entra używanych do określania przypisania.
- Użytkownicy i grupy
- Umożliwia kierowanie funkcji do określonych grup użytkowników. Na przykład organizacje mogą wybrać grupę zawierającą wszystkich członków działu kadr po wybraniu aplikacji kadr jako aplikacji w chmurze. Grupa może być dowolnym typem grupy w Microsoft Entra ID, w tym grupami zabezpieczeń i dystrybucji, które są dynamiczne lub przypisane. Zasady są stosowane do zagnieżdżonych użytkowników i grup.
Zapobieganie blokadzie administratora
Aby zapobiec blokadzie administratora, podczas tworzenia zasad zastosowanych do wszystkich użytkowników i wszystkich aplikacji zostanie wyświetlone następujące ostrzeżenie.
Nie zamykaj się na zewnątrz! Zalecamy najpierw zastosowanie zasad do małego zestawu użytkowników, aby sprawdzić, czy działa zgodnie z oczekiwaniami. Zalecamy również wykluczenie co najmniej jednego administratora z tych zasad. Gwarantuje to, że nadal masz dostęp i możesz zaktualizować zasady, jeśli jest wymagana zmiana. Przejrzyj użytkowników i aplikacje, których dotyczy problem.
Domyślnie polityka umożliwia wyłączenie bieżącego użytkownika z tej polityki, ale administrator może to zmienić, jak pokazano na poniższym obrazku.
Jeśli okaże się, że zostałeś zablokowany, zobacz Co zrobić, jeśli zostałeś zablokowany?
Dostęp partnera zewnętrznego
Zasady dostępu warunkowego przeznaczone dla użytkowników zewnętrznych mogą zakłócać dostęp dostawcy usług, na przykład szczegółowe delegowane uprawnienia administratora Wprowadzenie do szczegółowych delegowanych uprawnień administratora (GDAP). W przypadku zasad przeznaczonych dla dzierżawców dostawców usług, należy użyć zewnętrznego typu użytkownika Dostawca usług, dostępnego w opcjach wyboru Gościa lub użytkownika zewnętrznego.
Tożsamości obciążeń
Tożsamość zadania roboczego to tożsamość, która umożliwia aplikacji lub głównej jednostce usługi dostęp do zasobów, czasami w kontekście użytkownika. Zasady dostępu warunkowego można stosować do głównych jednostek usługowych dla pojedynczego dzierżawcy zarejestrowanych w Twoim dzierżawcy. Aplikacje SaaS innych firm oraz aplikacje wielodostępne są poza zakresem. Tożsamości zarządzane nie są objęte zasadami.
Organizacje mogą określać konkretne tożsamości obciążeń roboczych, które mają być uwzględniane lub wykluczane z polityki.
Aby uzyskać więcej informacji, zobacz artykuł Dostęp warunkowy dla tożsamości obciążeniowych.