Planowanie wdrażania dostępu warunkowego

Planowanie wdrożenia dostępu warunkowego ma kluczowe znaczenie dla osiągnięcia strategii dostępu organizacji dla aplikacji i zasobów. Zasady dostępu warunkowego zapewniają dużą elastyczność konfiguracji. Jednak ta elastyczność oznacza również, że należy uważnie zaplanować, aby uniknąć niepożądanych wyników.

Microsoft Entra Conditional Access łączy sygnały, takie jak użytkownik, urządzenie i lokalizacja, aby zautomatyzować decyzje i wymusić zasady dostępu organizacyjnego dla zasobów. Te zasady dostępu warunkowego pomagają zrównoważyć bezpieczeństwo i produktywność, wymuszając mechanizmy kontroli zabezpieczeń w razie potrzeby i pozostając poza sposobem użytkownika, gdy nie.

Dostęp warunkowy jest podstawą aparatu zasad zabezpieczeń Zero Trust firmy Microsoft.

Firma Microsoft udostępnia wartości domyślne zabezpieczeń, które zapewniają podstawowy poziom zabezpieczeń włączony w dzierżawach, które nie mają identyfikatora Microsoft Entra ID P1 ani P2. Za pomocą dostępu warunkowego można tworzyć zasady, które zapewniają taką samą ochronę jak domyślne ustawienia zabezpieczeń, ale z dokładnością. Wartości domyślne dostępu warunkowego i zabezpieczeń nie mają być łączone, ponieważ tworzenie zasad dostępu warunkowego uniemożliwia włączenie domyślnych ustawień zabezpieczeń.

Wymagania wstępne

• Działająca dzierżawa firmy Microsoft Entra z włączoną licencją microsoft Entra ID P1, P2 lub wersji próbnej. W razie potrzeby utwórz je bezpłatnie.
  • Microsoft Entra ID P2 jest wymagany do uwzględnienia Ochrona tożsamości Microsoft Entra ryzyka w zasadach dostępu warunkowego.
• Administratorzy korzystający z dostępu warunkowego muszą mieć jedno z następujących przypisań ról w zależności od wykonywanych zadań. Aby postępować zgodnie z zasadą zero zaufania najniższych uprawnień, rozważ użycie usługi Privileged Identity Management (PIM) do aktywowania uprzywilejowanych przypisań ról just in time.
  • Odczyt zasad i konfiguracji dostępu warunkowego
    • Czytelnik zabezpieczeń
  • Tworzenie lub modyfikowanie zasad dostępu warunkowego
    • Administrator dostępu warunkowego
• Użytkownik testowy (nie administrator), który umożliwia sprawdzenie, czy zasady działają zgodnie z oczekiwaniami przed wdrożeniem dla rzeczywistych użytkowników. Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
• Grupa, do którego należy użytkownik testowy. Jeśli musisz utworzyć grupę, zobacz Tworzenie grupy i dodawanie członków w identyfikatorze Entra firmy Microsoft.

Komunikacja ze zmianami

Komunikacja ma kluczowe znaczenie dla sukcesu wszelkich nowych funkcji. Należy aktywnie komunikować się z użytkownikami, jak zmienia się ich środowisko, kiedy zmienia się i jak uzyskać pomoc techniczną, jeśli wystąpią problemy.

Składniki zasad dostępu warunkowego

Zasady dostępu warunkowego odpowiadają na pytania dotyczące tego, kto może uzyskiwać dostęp do zasobów, do jakich zasobów mogą uzyskiwać dostęp i w jakich warunkach. Zasady można zaprojektować tak, aby udzielać dostępu, ograniczać dostęp za pomocą kontrolek sesji lub blokować dostęp. Zasady dostępu warunkowego można utworzyć, definiując instrukcje if-then, takie jak:

Jeśli przypisanie zostanie spełnione	Stosowanie kontroli dostępu
Jeśli jesteś użytkownikiem aplikacji Finance accessing the Payroll application (Finanse)	Wymaganie uwierzytelniania wieloskładnikowego i zgodnego urządzenia
Jeśli nie jesteś członkiem aplikacji Finance accessing the Payroll application (Finanse)	Zablokuj dostęp
Jeśli ryzyko użytkownika jest wysokie	Wymaganie uwierzytelniania wieloskładnikowego i bezpiecznej zmiany hasła

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Zadaj odpowiednie pytania

Poniżej przedstawiono kilka typowych pytań dotyczących przypisań i kontroli dostępu. Przed utworzeniem zasad udokumentuj odpowiedzi na pytania dla każdej zasady.

Tożsamości użytkowników lub obciążeń

• Którzy użytkownicy, grupy, role katalogów lub tożsamości obciążenia są dołączani do zasad lub wykluczani z nich?
• Jakie konta lub grupy dostępu awaryjnego powinny być wykluczone z zasad?

Aplikacje w chmurze lub akcje

Czy te zasady będą stosowane do dowolnej aplikacji, akcji użytkownika lub kontekstu uwierzytelniania? Jeśli tak:

• Do jakich aplikacji lub usług będą stosowane zasady?
• Jakie akcje użytkownika podlegają tym zasadom?
• Do jakich kontekstów uwierzytelniania zostaną zastosowane te zasady?

Filtruj dla aplikacji

Używanie filtru dla aplikacji do dołączania lub wykluczania aplikacji zamiast ich indywidualnego określania pomaga organizacjom:

• Łatwe skalowanie i określanie dowolnej liczby aplikacji.
• Łatwe zarządzanie aplikacjami przy użyciu podobnych wymagań dotyczących zasad.
• Zmniejsz liczbę poszczególnych zasad.
• Zmniejszanie błędów podczas edytowania zasad: nie trzeba dodawać/usuwać aplikacji ręcznie z zasad. Wystarczy zarządzać atrybutami.
• Przezwyciężenie ograniczeń rozmiaru zasad.

Warunki

• Które platformy urządzeń są uwzględnione w zasadach lub wykluczone z nich?
• Jakie są znane lokalizacje sieciowe organizacji?
  • Jakie lokalizacje są zawarte w zasadach lub wykluczone z nich?
• Jakie typy aplikacji klienckich są uwzględniane w zasadach lub wykluczone z nich?
• Czy chcesz kierować określone atrybuty urządzenia?
• Jeśli korzystasz z Ochrona tożsamości Microsoft Entra, czy chcesz uwzględnić ryzyko związane z logowaniem lub użytkownikiem?

Blokowanie lub przyznawanie kontrolek

Czy chcesz udzielić dostępu do zasobów, wymagając co najmniej jednego z następujących elementów?

• Uwierzytelnianie wieloskładnikowe
• Urządzenie oznaczone jako zgodne
• Korzystanie z urządzenia przyłączonego hybrydowego firmy Microsoft Entra
• Używanie zatwierdzonej aplikacji klienckiej
• Ochrona aplikacji zastosowane zasady
• Zmiana hasła
• Zaakceptowane warunki użytkowania

Blokowanie dostępu to zaawansowany mechanizm kontroli, który należy stosować z odpowiednią wiedzą. Zasady z instrukcjami blokującymi mogą mieć niezamierzone skutki uboczne. Prawidłowe testowanie i walidacja są niezbędne przed włączeniem kontrolki na dużą skalę. Administratorzy powinni używać narzędzi, takich jak tryb tylko dostęp warunkowy i narzędzie What If w dostępie warunkowym podczas wprowadzania zmian.

Kontrolki sesji

Czy chcesz wymusić dowolną z następujących kontroli dostępu w aplikacjach w chmurze?

• Korzystanie z ograniczeń wymuszonych przez aplikację
• Korzystanie z kontroli dostępu warunkowego aplikacji
• Wymuszanie częstotliwości logowania
• Używanie trwałych sesji przeglądarki
• Dostosowywanie ciągłej weryfikacji dostępu

Łączenie zasad

Podczas tworzenia i przypisywania zasad należy wziąć pod uwagę sposób działania tokenów dostępu. Tokeny dostępu udzielają dostępu lub odmawiają dostępu na podstawie tego, czy użytkownicy wysyłający żądanie zostali autoryzowani i uwierzytelnieni. Jeśli osoba żądający może udowodnić, że jest tym, kim jest, może uzyskać dostęp do chronionych zasobów lub funkcji.

Tokeny dostępu są wystawiane domyślnie, jeśli warunek zasad dostępu warunkowego nie wyzwoli kontroli dostępu.

Te zasady nie uniemożliwiają aplikacji posiadania własnej możliwości blokowania dostępu.

Rozważmy na przykład uproszczony przykład zasad, w którym:

Użytkownicy: GRUPA FINANSÓW
Uzyskiwanie dostępu: APLIKACJA PŁACOWA
Kontrola dostępu: uwierzytelnianie wieloskładnikowe

• Użytkownik A znajduje się w GRUPIE FINANSÓW. Są one wymagane do przeprowadzenia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do aplikacji PŁAC.
• Użytkownik B nie należy do GRUPY FINANSÓW, wystawia token dostępu i może uzyskać dostęp do aplikacji PŁAC bez przeprowadzania uwierzytelniania wieloskładnikowego.

Aby zapewnić, że użytkownicy spoza grupy finansowej nie mogą uzyskać dostępu do aplikacji płacowej, można utworzyć oddzielne zasady, aby zablokować wszystkich innych użytkowników, takich jak następujące uproszczone zasady:

Użytkownicy: uwzględnij wszystkich użytkowników / wyklucz grupę FINANSE
Uzyskiwanie dostępu: APLIKACJA PŁACOWA
Kontrola dostępu: Blokuj dostęp

Teraz, gdy użytkownik B próbuje uzyskać dostęp do aplikacji PŁAC, która jest blokowana.

Zalecenia

Biorąc pod uwagę nasze wnioski dotyczące korzystania z dostępu warunkowego i obsługi innych klientów, poniżej przedstawiono kilka zaleceń opartych na naszych naukach.

Stosowanie zasad dostępu warunkowego do każdej aplikacji

Upewnij się, że każda aplikacja ma co najmniej jedną zasadę dostępu warunkowego. Z perspektywy zabezpieczeń lepiej jest utworzyć zasady obejmujące wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze"), a następnie wykluczyć aplikacje, do których nie mają być stosowane zasady. Dzięki temu nie trzeba aktualizować zasad dostępu warunkowego za każdym razem, gdy dołączasz nową aplikację.

Napiwek

Należy zachować ostrożność podczas używania bloków i wszystkich aplikacji w ramach jednej zasady. Może to zablokować administratorów i nie można skonfigurować wykluczeń dla ważnych punktów końcowych, takich jak program Microsoft Graph.

Minimalizowanie liczby zasad dostępu warunkowego

Tworzenie zasad dla każdej aplikacji nie jest wydajne i prowadzi do trudnej administracji. Dostęp warunkowy ma limit 195 zasad na dzierżawę. Ten limit zasad 195 obejmuje zasady dostępu warunkowego w dowolnym stanie, w tym tryb tylko do raportu, włączony lub wyłączony.

Zalecamy analizowanie aplikacji i grupowanie ich w aplikacje, które mają te same wymagania dotyczące zasobów dla tych samych użytkowników. Jeśli na przykład wszystkie aplikacje platformy Microsoft 365 lub wszystkie aplikacje hr mają te same wymagania dla tych samych użytkowników, utwórz pojedyncze zasady i uwzględnij wszystkie aplikacje, do których ma zastosowanie.

Zasady dostępu warunkowego są zawarte w pliku JSON i ten plik jest powiązany z limitem rozmiaru, którego nie spodziewamy się, że jedna zasada przekroczy. Jeśli używasz długiej listy identyfikatorów GUID w zasadach, możesz osiągnąć ten limit. Jeśli napotkasz te limity, zalecamy alternatywy, takie jak:

• Używaj grup lub ról do dołączania lub wykluczania użytkowników zamiast wyświetlania poszczególnych użytkowników indywidualnie.
• Użyj filtru dla aplikacji, aby uwzględnić lub wykluczyć aplikacje zamiast indywidualnie je określić.

Konfigurowanie trybu samego raportu

Domyślnie każda zasada utworzona na podstawie szablonu jest tworzona w trybie tylko do raportu. Zalecamy organizacjom testowanie i monitorowanie użycia, aby zapewnić zamierzony wynik przed włączeniem poszczególnych zasad.

Włącz zasady w trybie tylko do raportowania. Po zapisaniu zasad w trybie tylko do raportu możesz zobaczyć wpływ na logowania w czasie rzeczywistym w dziennikach logowania. W dziennikach logowania wybierz zdarzenie i przejdź do karty Tylko raport, aby wyświetlić wynik poszczególnych zasad tylko raportów.

Zagregowany wpływ zasad dostępu warunkowego można wyświetlić w skoroszycie Szczegółowe informacje i raportowanie. Aby uzyskać dostęp do skoroszytu, potrzebujesz subskrypcji usługi Azure Monitor i musisz przesłać strumieniowo dzienniki logowania do obszaru roboczego usługi Log Analytics.

Planowanie zakłóceń

Aby zmniejszyć ryzyko blokady podczas nieprzewidzianych zakłóceń, zaplanuj strategie odporności dla organizacji.

Włączanie akcji chronionych

Włączenie akcji chronionych powoduje utworzenie, zmodyfikowanie lub usunięcie zasad dostępu warunkowego w innej warstwie zabezpieczeń. Organizacje mogą wymagać nowego uwierzytelniania wieloskładnikowego lub innej kontroli udzielania przed zmodyfikowaniem zasad.

Ustawianie standardów nazewnictwa dla zasad

Standard nazewnictwa pomaga znaleźć zasady i zrozumieć ich przeznaczenie bez otwierania ich w portalu administracyjnym platformy Azure. Zalecamy nadenie zasadom nazwy:

• Numer sekwencji
• Aplikacje w chmurze, których dotyczy
• Odpowiedź
• Kto ma zastosowanie do
• Gdy ma zastosowanie

Przykład: zasady wymagające uwierzytelniania wieloskładnikowego dla użytkowników marketingowych, którzy uzyskują dostęp do aplikacji Dynamics CRP z sieci zewnętrznych, mogą być następujące:

Opisowa nazwa ułatwia zachowanie przeglądu implementacji dostępu warunkowego. Numer sekwencji jest przydatny, jeśli musisz odwołać się do zasad w konwersacji. Na przykład podczas rozmowy z administratorem na telefonie możesz poprosić go o otwarcie zasad CA01 w celu rozwiązania problemu.

Standardy nazewnictwa kontroli dostępu awaryjnego

Oprócz aktywnych zasad zaimplementuj wyłączone zasady, które działają jako pomocnicze odporne mechanizmy kontroli dostępu w scenariuszach awarii lub awarii. Standard nazewnictwa zasad awaryjnych powinien obejmować:

• WŁĄCZ W NAGŁYCH WYPADKACH na początku, aby nazwa była wyróżniana wśród innych zasad.
• Nazwa zakłóceń, do których należy zastosować.
• Numer sekwencji kolejności, który pomoże administratorowi znać, w jakich zasadach kolejności należy włączyć.

Przykład: Następująca nazwa wskazuje, że te zasady są pierwszymi z czterech zasad, które należy włączyć, jeśli występują zakłócenia uwierzytelniania wieloskładnikowego:

• EM01 — WŁĄCZ W NAGŁYCH WYPADKACH: zakłócenia uwierzytelniania wieloskładnikowego [1/4] — Exchange SharePoint: Wymagaj dołączenia hybrydowego firmy Microsoft Entra dla użytkowników vip.

Blokuj kraje/regiony, z których nigdy nie oczekujesz logowania

Identyfikator Entra firmy Microsoft umożliwia tworzenie nazwanych lokalizacji. Utwórz listę krajów/regionów, które są dozwolone, a następnie utwórz zasady bloku sieciowego z tymi "dozwolonymi krajami/regionami" jako wykluczeniem. Ta opcja powoduje mniejsze obciążenie dla klientów, którzy znajdują się w mniejszych lokalizacjach geograficznych. Pamiętaj, aby wykluczyć konta dostępu awaryjnego z tych zasad.

Wdrażanie zasad dostępu warunkowego

Gdy wszystko będzie gotowe, wdróż zasady dostępu warunkowego w fazach.

Tworzenie zasad dostępu warunkowego

Zapoznaj się z szablonami zasad dostępu warunkowego i typowymi zasadami zabezpieczeń dla organizacji platformy Microsoft 365, aby rozpocząć pracę. Te szablony są wygodnym sposobem wdrażania zaleceń firmy Microsoft. Upewnij się, że wykluczysz konta dostępu awaryjnego.

Ocena wpływu zasad

Zalecamy użycie następujących narzędzi do oceny wpływu zasad zarówno przed wprowadzeniem zmian, jak i po ich wprowadzeniu. Przebieg symulowany daje dobry pomysł na efekt, jaki ma zasada dostępu warunkowego, nie zastępuje rzeczywistego przebiegu testu w prawidłowo skonfigurowanym środowisku projektowym.

• Tryb tylko raportów oraz szczegółowe informacje o dostępie warunkowym i skoroszyt raportowania.
• Narzędzie What If

Testowanie zasad

Upewnij się, że testujesz kryteria wykluczania zasad. Możesz na przykład wykluczyć użytkownika lub grupę z zasad, które wymagają uwierzytelniania wieloskładnikowego. Przetestuj, czy wykluczeni użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe, ponieważ połączenie innych zasad może wymagać uwierzytelniania wieloskładnikowego dla tych użytkowników.

Przeprowadź każdy test w planie testowania za pomocą użytkowników testowych. Plan testowania jest ważny, ponieważ pozwala uzyskać porównanie między wynikami oczekiwanymi a rzeczywistymi. W poniższej tabeli przedstawiono przykładowe przypadki testowe. Dostosuj scenariusze i oczekiwane wyniki w zależności od konfiguracji zasad dostępu warunkowego.

Zasady	Scenariusz	Oczekiwany wynik
Ryzykowne logowania	Użytkownik loguje się do aplikacji przy użyciu niezatwierdzonej przeglądarki	Oblicza ocenę ryzyka na podstawie prawdopodobieństwa, że logowanie nie zostało wykonane przez użytkownika. Wymaga od użytkownika samodzielnego korygowania przy użyciu uwierzytelniania wieloskładnikowego
Zarządzanie urządzeniami	Autoryzowany użytkownik próbuje zalogować się z autoryzowanego urządzenia	Udzielony dostęp
Zarządzanie urządzeniami	Autoryzowany użytkownik próbuje zalogować się z nieautoryzowanego urządzenia	Zablokowany dostęp
Zmiana hasła dla ryzykownych użytkowników	Autoryzowany użytkownik próbuje zalogować się przy użyciu poświadczeń naruszonych (logowanie o wysokim ryzyku)	Użytkownik jest monitowany o zmianę hasła lub dostępu jest blokowany na podstawie zasad

Wdrażanie w środowisku produkcyjnym

Po potwierdzeniu wpływu przy użyciu trybu tylko do raportu administrator może przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Wycofywanie zasad

W przypadku konieczności wycofania nowo wdrożonych zasad użyj jednej lub kilku z następujących opcji:

• Wyłącz zasady. Wyłączenie zasad gwarantuje, że nie ma zastosowania, gdy użytkownik spróbuje się zalogować. Zawsze możesz wrócić i włączyć zasady, gdy chcesz go użyć.

• Wyklucz użytkownika lub grupę z zasad. Jeśli użytkownik nie może uzyskać dostępu do aplikacji, możesz wykluczyć użytkownika z zasad.

  Uwaga

  Wykluczenia powinny być używane oszczędnie, tylko w sytuacjach, gdy użytkownik jest zaufany. Użytkownicy powinni zostać dodani z powrotem do zasad lub grupy tak szybko, jak to możliwe.

• Jeśli zasady są wyłączone i nie są już wymagane, usuń je.

Rozwiązywanie problemów z zasadami dostępu warunkowego

Jeśli użytkownik ma problem z zasadami dostępu warunkowego, zbierz następujące informacje, aby ułatwić rozwiązywanie problemów.

• Główna nazwa użytkownika
• Nazwa wyświetlana użytkownika
• Nazwa systemu operacyjnego
• Sygnatura czasowa (przybliżona wartość jest ok)
• Aplikacja docelowa
• Typ aplikacji klienckiej (przeglądarka a klient)
• Identyfikator korelacji (ten identyfikator jest unikatowy dla logowania)

Jeśli użytkownik otrzymał komunikat z linkiem Więcej szczegółów, może uzyskać większość potrzebnych Ci informacji.

Po zebraniu informacji zobacz następujące zasoby:

• Problemy z logowaniem przy użyciu dostępu warunkowego — poznaj nieoczekiwane wyniki logowania związane z dostępem warunkowym przy użyciu komunikatów o błędach i dziennika logowania firmy Microsoft Entra.
• Za pomocą narzędzia What-If — dowiedz się, dlaczego zasady były lub nie zostały zastosowane do użytkownika w określonych okolicznościach lub jeśli zasady będą stosowane w znanym stanie.

Powiązana zawartość

• Dowiedz się więcej na temat uwierzytelniania wieloskładnikowego
• Dowiedz się więcej o Ochrona tożsamości Microsoft Entra
• Zarządzanie zasadami dostępu warunkowego przy użyciu interfejsu API programu Microsoft Graph