Udostępnij za pośrednictwem

Co to jest dostęp warunkowy?

Nowoczesne zabezpieczenia wykraczają poza obwód sieci organizacji w celu uwzględnienia tożsamości użytkownika i urządzenia. Organizacje używają teraz sygnałów opartych na tożsamości w ramach decyzji dotyczących kontroli dostępu. Microsoft Entra pozwala na dostęp warunkowy, łącząc sygnały w celu podejmowania decyzji i egzekwowania zasad organizacji. Dostęp warunkowy to silnik zasad Zero Trust firmy Microsoft, który uwzględnia sygnały z różnych źródeł przy egzekwowaniu decyzji polityki.

Diagram przedstawiający koncepcję sygnałów kontroli dostępu warunkowego oraz decyzję o wymuszeniu zasad organizacyjnych.

Najprostsze zasady dostępu warunkowego to instrukcje if-then; jeśli użytkownik chce uzyskać dostęp do zasobu, musi wykonać akcję. Na przykład: jeśli użytkownik chce uzyskać dostęp do aplikacji lub usługi, takiej jak Platforma Microsoft 365, musi wykonać uwierzytelnianie wieloskładnikowe, aby uzyskać dostęp.

Administratorzy są nastawieni na dwa podstawowe cele:

  • Umożliwienie użytkownikom produktywnej pracy w dowolnym czasie i miejscu.
  • Ochrona zasobów organizacji

Zasady dostępu warunkowego umożliwiają stosowanie odpowiednich mechanizmów kontroli dostępu w razie potrzeby w celu zapewnienia bezpieczeństwa organizacji.

Ważne

Polityki dostępu warunkowego są egzekwowane po zakończeniu uwierzytelniania pierwszego czynnika. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.

Typowe sygnały

Dostęp warunkowy uwzględnia sygnały z różnych źródeł podczas podejmowania decyzji dotyczących dostępu.

Diagram przedstawiający dostęp warunkowy jako aparat zasad Zero Trust agregujący sygnały z różnych źródeł.

Te sygnały obejmują:

  • Członkostwo użytkownika lub grupy
    • Zasady mogą być przeznaczone dla określonych użytkowników i grup, co zapewnia administratorom szczegółową kontrolę nad dostępem.
  • Informacje o lokalizacji adresu IP
    • Organizacje mogą tworzyć zaufane zakresy adresów IP, które mogą być używane podczas podejmowania decyzji dotyczących zasad.
    • Administratorzy mogą określać zakresy adresów IP dla całych krajów lub regionów, aby blokować lub zezwalać na ruch.
  • Urządzenie
    • Użytkownicy posiadający urządzenia z określonymi platformami lub oznaczeni określonym stanem mogą być używani podczas wymuszania zasad dostępu warunkowego.
    • Użyj filtrów dla urządzeń, aby kierować zasady do określonych urządzeń, takich jak stacje robocze z dostępem uprzywilejowanym.
  • Aplikacja
    • Użytkownicy próbujący uzyskać dostęp do określonych aplikacji mogą wyzwalać różne zasady dostępu warunkowego.
  • Wykrywanie ryzyka w czasie rzeczywistym i obliczane
    • Integracja sygnałów z usługą Microsoft Entra ID Protection umożliwia zasadom dostępu warunkowego identyfikowanie i korygowanie ryzykownych użytkowników i zachowania logowania.
  • Microsoft Defender dla aplikacji chmurowych
    • Umożliwia monitorowanie i kontrolowanie sesji aplikacji użytkownika w czasie rzeczywistym. Ta integracja zwiększa widoczność i kontrolę nad dostępem i działaniami wykonywanymi w środowisku chmurowym.

Typowe decyzje

  • Blokuj dostęp
    • Najbardziej restrykcyjna decyzja
  • Przyznaj dostęp
  • Mniej restrykcyjna decyzja, która może wymagać co najmniej jednej z następujących opcji:
    • Wymaganie uwierzytelniania wieloskładnikowego
    • Wymagaj siły uwierzytelniania
    • Wymagaj, aby urządzenie było oznaczone jako zgodne
    • Wymagaj urządzenia hybrydowego połączonego z Microsoft Entra
    • Wymaganie zatwierdzonej aplikacji klienckiej
    • Wymaganie zasad ochrony aplikacji
    • Wymaganie zmiany haseł
    • Wymaganie warunków użytkowania

Najczęściej stosowane zasady

Wiele organizacji ma typowe problemy z dostępem, z którymi mogą pomóc zasady dostępu warunkowego, takie jak:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników z rolami administracyjnymi
  • Wymaganie uwierzytelniania wieloskładnikowego dla zadań zarządzania platformą Azure
  • Blokowanie logowania użytkowników, który próbują korzystać ze starszych protokołów uwierzytelniania
  • Wymaganie zaufanych lokalizacji na potrzeby rejestracji informacji zabezpieczających
  • Blokowanie lub udzielanie dostępu z określonych lokalizacji
  • Blokowanie ryzykownych zachowań logowania
  • Wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji

Administratorzy mogą tworzyć zasady od podstaw lub rozpoczynać od zasad szablonu w portalu lub przy użyciu interfejsu API programu Microsoft Graph.

Doświadczenie administratora

Administratorzy z rolą Administratora dostępu warunkowego mogą zarządzać zasadami.

Dostęp warunkowy znajduje się w Microsoft Entra centrum administracyjnym w obszarze Entra ID>Dostęp warunkowy.

Zrzut ekranu przedstawiający stronę przeglądu dostępu warunkowego.

  • Strona Przegląd zawiera podsumowanie stanu zasad, użytkowników, urządzeń i aplikacji, a także ogólne i alerty zabezpieczeń z sugestiami.
  • Strona Pokrycie zawiera podsumowanie aplikacji z zakresem pokrycia polityką dostępu warunkowego oraz bez niej w ciągu ostatnich siedmiu dni.
  • Strona Monitorowanie umożliwia administratorom wyświetlanie wykresu logowań, które można filtrować, aby zobaczyć potencjalne luki w pokryciu zasad.

Zasady dostępu warunkowego na stronie Zasady można filtrować według administratorów na podstawie elementów, takich jak aktor, zasób docelowy, warunek, zastosowana kontrola, stan lub data. Ta możliwość filtrowania umożliwia administratorom szybkie znajdowanie określonych zasad na podstawie ich konfiguracji.

Agent optymalizacji dostępu warunkowego

Agent optymalizacji dostępu warunkowego (wersja zapoznawcza) z rozwiązaniem Microsoft Security Copilot zaleca nowe zasady i zmiany istniejących zasad na podstawie zasad zero trust i najlepszych rozwiązań firmy Microsoft. Jednym kliknięciem możesz zastosować sugestię, aby automatycznie zaktualizować lub utworzyć zasady dostępu warunkowego. Agent wymaga co najmniej licencji Microsoft Entra ID P1 i jednostek obliczeniowych zabezpieczeń (SCU).

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji identyfikatora Entra firmy Microsoft.

Klienci z licencjami platformy Microsoft 365 Business Premium mają również dostęp do funkcji dostępu warunkowego.

Zasady oparte na ryzyku wymagają dostępu do usługi Microsoft Entra ID Protection, która wymaga licencji P2.

Inne produkty i funkcje, które współdziałają z zasadami dostępu warunkowego, wymagają odpowiedniego licencjonowania dla tych produktów i funkcji.

Jeśli licencje wymagane do dostępu warunkowego wygasają, zasady nie są automatycznie wyłączone ani usuwane. Dzięki temu klienci migrują z dala od zasad dostępu warunkowego bez nagłej zmiany stanu zabezpieczeń. Pozostałe zasady można wyświetlać i usuwać, ale nie są już aktualizowane.

Wartości domyślne zabezpieczeń pomagają chronić przed atakami związanymi z tożsamościami i są dostępne dla wszystkich klientów.

Zero Trust

Ta funkcja ułatwia organizacjom dostosowanie tożsamości do trzech wytycznych dotyczących architektury Zero Trust:

  • Zweryfikuj jawnie
  • Użyj najniższych uprawnień
  • Założenie, że doszło do naruszenia

Aby dowiedzieć się więcej o modelu Zero Trust i innych sposobach dopasowania organizacji do wytycznych, zobacz Centrum wskazówek dotyczących zera zaufania.

Następne kroki