Dostęp warunkowy dla tożsamości obciążeniowych

Zasady dostępu warunkowego były historycznie stosowane tylko do użytkowników, gdy uzyskiwali dostęp do aplikacji i tych usług, takich jak SharePoint Online. Obecnie rozszerzamy obsługę zasad dostępu warunkowego, które mają być stosowane do jednostek usługi należących do organizacji. Nazywamy tę funkcję dostępem warunkowym dla tożsamości roboczych.

Tożsamość obciążenia roboczego to tożsamość, która umożliwia aplikacji lub podmiotowi usługi dostęp do zasobów, czasami w kontekście użytkownika. Te tożsamości zadaniowe różnią się od tradycyjnych kont użytkowników, ponieważ:

• Nie można wykonać uwierzytelniania wieloskładnikowego.
• Często nie mają formalnego procesu cyklu życia.
• Należy przechowywać ich poświadczenia lub tajemnice gdzieś.

Te różnice utrudniają zarządzanie tożsamościami obciążeń roboczych i narażają je na większe ryzyko kompromitacji.

Ważne

Licencje Workload Identities Premium są wymagane do tworzenia lub modyfikowania zasad dostępu warunkowego dla głównych elementów serwisowych. W katalogach bez odpowiednich licencji istniejące polityki dostępu warunkowego dla tożsamości roboczych będą nadal działać, ale nie mogą być modyfikowane. Aby uzyskać więcej informacji, zobacz Identyfikator Obciążenia Microsoft Entra.  

Uwaga

Zasady można zastosować do pojedynczych zasad usługi dla najemców, które zostały zarejestrowane w Twojej dzierżawie. Aplikacje SaaS i aplikacje wielodostępne innych firm są poza zakresem. Tożsamości zarządzane nie są objęte zasadami.

Dostęp warunkowy dla tożsamości obciążeń umożliwia blokowanie jednostek usługi:

• Spoza znanych zakresów publicznych adresów IP.
• Na podstawie ryzyka wykrytego przez Microsoft Entra ID Protection.
• W połączeniu z kontekstami uwierzytelniania.

Implementacja

Tworzenie zasady dostępu warunkowego opartego na lokalizacji

Utwórz zasady dostępu warunkowego opartego na lokalizacji, które mają zastosowanie do jednostek usługi.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkownicy lub tożsamości robocze.
   1. W obszarze Do czego ma zastosowanie ta zasada?, wybierz pozycję Tożsamości obciążeń roboczych.
   2. W obszarze Dołącz wybierz pozycję Wybierz jednostki usługi i wybierz odpowiednie jednostki usługi z listy.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") . Zasady mają zastosowanie tylko wtedy, gdy jednostka usługi żąda tokenu.
7. W sekcji Warunki>Lokalizacje, uwzględnij dowolną lokalizację i wyklucz wybrane lokalizacje, gdzie chcesz zezwolić na dostęp.
8. W opcji Udzielblokuj dostęp jest jedyną dostępną opcją. Dostęp jest blokowany, gdy żądanie tokenu jest wykonywane spoza dozwolonego zakresu.
9. Zasady można zapisać w trybie tylko raportowym, pozwalając administratorom na oszacowanie skutków lub wymusić ich przestrzeganie przez włączenie zasad.
10. Wybierz Utwórz, aby ukończyć tworzenie polityki.

Tworzenie zasady dostępu warunkowego opartego na ryzyku

Utwórz oparte na ryzyku zasady dostępu warunkowego, które mają zastosowanie do jednostek usługi.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Zasady dostępu warunkowego>.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz Użytkownicy lub tożsamości robocze.
   1. W sekcji Czego dotyczy ta zasada?, wybierz Tożsamości obciążeń roboczych.
   2. W obszarze Dołącz wybierz pozycję Wybierz jednostki usługi i wybierz odpowiednie jednostki usługi z listy.
6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") . Zasady mają zastosowanie tylko wtedy, gdy jednostka usługi żąda tokenu.
7. W obszarze Warunki>Ryzyko jednostki usługi
   1. Ustaw przełącznik Konfiguruj na wartość Tak.
   2. Wybierz poziomy ryzyka, dla których ta polisa ma się aktywować.
   3. Wybierz pozycję Gotowe.
8. Pod Grant, Blokuj dostęp jest jedyną dostępną opcją. Dostęp jest blokowany, gdy są widoczne określone poziomy ryzyka.
9. Można zapisać polisę w trybie tylko do raportów, umożliwiając administratorom oszacowanie skutków, lub wymusić jej przestrzeganie poprzez włączenie funkcji On.
10. Wybierz Utwórz, aby ukończyć swoją politykę.

Wycofanie

Jeśli chcesz wycofać tę funkcję, możesz usunąć lub wyłączyć wszystkie utworzone zasady.

Dzienniki logowania

Dzienniki logowania służą do przeglądania sposobu wymuszania zasad dla jednostek usługi lub oczekiwanego wpływu zasad w przypadku korzystania z trybu tylko raportów.

1. Przejdź do Identyfikacja>Monitorowanie i stan>Rejestry logowania>Logowania jednostki usługowej.
2. Wybierz wpis dziennika i wybierz kartę Dostęp warunkowy, aby wyświetlić informacje o ocenie.

Przyczyna niepowodzenia, gdy dostęp warunkowy blokuje usługę główną: "Dostęp został zablokowany z powodu polis dostępu warunkowego".

Tryb wyłącznie raportowania

Aby wyświetlić wyniki zasad opartych na lokalizacji, przejdź do karty Tylko raport zdarzeń w raporcie logowania się lub użyj skoroszytu Wgląd i raportowanie dostępu warunkowego.

Aby wyświetlić wyniki zasad opartych na ryzyku, zapoznaj się z zakładką Tylko do raportu w raporcie logowania.

Referencja

Znajdowanie identyfikatora objectID

Identyfikator objectID jednostki usługi można uzyskać z witryny Microsoft Entra Enterprise Applications. Identyfikatora obiektu nie można użyć w rejestracjach aplikacji Microsoft Entra. Ten identyfikator jest identyfikatorem obiektu rejestracji aplikacji, a nie jednostki usługi.

1. Przejdź do Identity>Applications>Enterprise Applications, i znajdź aplikację, którą zarejestrowałeś.
2. Na karcie Przegląd skopiuj identyfikator obiektu aplikacji. Ten identyfikator jest unikatowy dla głównego serwisu, używany przez politykę dostępu warunkowego do znalezienia wywołującej aplikacji.

Microsoft Graph

Przykładowy kod JSON dla konfiguracji opartej na lokalizacji przy użyciu punktu końcowego wersji beta programu Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Następne kroki

• Używanie lokalizacji sieciowej w zasadach dostępu warunkowego
• Co to jest tryb raportowania tylko dostępu warunkowego?