Dostęp warunkowy dla tożsamości obciążeń
Zasady dostępu warunkowego stosowane historycznie tylko do użytkowników, gdy uzyskują dostęp do aplikacji i usług, takich jak SharePoint Online. Obecnie rozszerzamy obsługę zasad dostępu warunkowego, które mają być stosowane do jednostek usługi należących do organizacji. Nazywamy tę funkcję dostępem warunkowym dla tożsamości obciążeń.
Tożsamość obciążenia to tożsamość, która umożliwia aplikacji lub jednostce usługi dostęp do zasobów, czasami w kontekście użytkownika. Te tożsamości obciążeń różnią się od tradycyjnych kont użytkowników, ponieważ:
- Nie można wykonać uwierzytelniania wieloskładnikowego.
- Często nie mają formalnego procesu cyklu życia.
- Musisz przechowywać swoje poświadczenia lub tajne wpisy w jakimś miejscu.
Te różnice utrudniają zarządzanie tożsamościami obciążeń i narażają je na większe ryzyko naruszenia zabezpieczeń.
Ważne
Licencje usługi Workload Identities Premium są wymagane do tworzenia lub modyfikowania zasad dostępu warunkowego w zakresie jednostek usługi. W katalogach bez odpowiednich licencji istniejące zasady dostępu warunkowego dla tożsamości obciążeń będą nadal działać, ale nie można ich modyfikować. Aby uzyskać więcej informacji, zobacz Cennik Microsoft Entra.
Uwaga
Zasady można zastosować do pojedynczych jednostek usługi dzierżawy, które zostały zarejestrowane w dzierżawie. Aplikacje SaaS i aplikacje wielodostępne innych firm są poza zakresem. Tożsamości zarządzane nie są objęte zasadami.
Dostęp warunkowy dla tożsamości obciążeń umożliwia blokowanie jednostek usługi:
- Spoza znanych zakresów publicznych adresów IP.
- Na podstawie ryzyka wykrytego przez Ochrona tożsamości Microsoft Entra.
- W połączeniu z kontekstami uwierzytelniania.
Implementacja
Tworzenie zasady dostępu warunkowego opartego na lokalizacji
Utwórz zasady dostępu warunkowego opartego na lokalizacji, które mają zastosowanie do jednostek usługi.
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>zasad dostępu>warunkowego.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Co mają zastosowanie te zasady?, wybierz pozycję Tożsamości obciążeń.
- W obszarze Dołącz wybierz pozycję Wybierz jednostki usługi i wybierz odpowiednie jednostki usługi z listy.
- W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") . Zasady mają zastosowanie tylko wtedy, gdy jednostka usługi żąda tokenu.
- W obszarze Lokalizacje warunków> uwzględnij dowolną lokalizację i wyklucz wybrane lokalizacje, w których chcesz zezwolić na dostęp.
- W obszarze Udziel blokuj dostęp jest jedyną dostępną opcją. Dostęp jest blokowany, gdy żądanie tokenu jest wykonywane spoza dozwolonego zakresu.
- Zasady można zapisywać w trybie tylko raportów, umożliwiając administratorom oszacowanie skutków lub wymuszanie zasad przez włączenie zasad.
- Wybierz pozycję Utwórz , aby ukończyć zasady.
Tworzenie zasady dostępu warunkowego opartego na ryzyku
Utwórz oparte na ryzyku zasady dostępu warunkowego, które mają zastosowanie do jednostek usługi.
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>zasad dostępu>warunkowego.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Co mają zastosowanie te zasady?, wybierz pozycję Tożsamości obciążeń.
- W obszarze Dołącz wybierz pozycję Wybierz jednostki usługi i wybierz odpowiednie jednostki usługi z listy.
- W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") . Zasady mają zastosowanie tylko wtedy, gdy jednostka usługi żąda tokenu.
- W obszarze Warunki>Ryzyko jednostki usługi
- Ustaw przełącznik Konfiguruj na wartość Tak.
- Wybierz poziomy ryzyka, w których te zasady mają być wyzwalane.
- Wybierz pozycję Gotowe.
- W obszarze Udziel blokuj dostęp jest jedyną dostępną opcją. Dostęp jest blokowany, gdy są widoczne określone poziomy ryzyka.
- Zasady można zapisywać w trybie tylko raportów, umożliwiając administratorom oszacowanie skutków lub wymuszanie zasad przez włączenie zasad.
- Wybierz pozycję Utwórz , aby ukończyć zasady.
Wycofanie
Jeśli chcesz wycofać tę funkcję, możesz usunąć lub wyłączyć wszystkie utworzone zasady.
Dzienniki logowania
Dzienniki logowania służą do przeglądania sposobu wymuszania zasad dla jednostek usługi lub oczekiwanego wpływu zasad w przypadku korzystania z trybu tylko raportów.
- Przejdź do obszaru Monitorowanie tożsamości>i>rejestrowanie kondycji dzienników>logowania jednostki usługi.
- Wybierz wpis dziennika i wybierz kartę Dostęp warunkowy, aby wyświetlić informacje o ocenie.
Przyczyna niepowodzenia, gdy dostęp warunkowy blokuje jednostkę usługi: "Dostęp został zablokowany z powodu zasad dostępu warunkowego".
Tryb samego raportu
Aby wyświetlić wyniki zasad opartych na lokalizacji, zapoznaj się z kartą Tylko raport zdarzeń w raporcie logowania lub użyj skoroszytu Szczegółowe informacje o dostępie warunkowym i raportowania .
Aby wyświetlić wyniki zasad opartych na ryzyku, zapoznaj się z kartą Tylko raport zdarzeń w raporcie logowania.
Odwołanie
Znajdowanie identyfikatora objectID
Identyfikator objectID jednostki usługi można uzyskać z witryny Microsoft Entra Enterprise Applications. Nie można użyć identyfikatora obiektu w usłudze Microsoft Entra Rejestracje aplikacji. Ten identyfikator jest identyfikatorem obiektu rejestracji aplikacji, a nie jednostki usługi.
- Przejdź do sekcji Identity Applications Enterprise Applications>(Aplikacje dla przedsiębiorstw tożsamości>) i znajdź zarejestrowaną aplikację.
- Na karcie Przegląd skopiuj identyfikator obiektu aplikacji. Ten identyfikator jest unikatowy dla jednostki usługi używanej przez zasady dostępu warunkowego w celu znalezienia aplikacji wywołującej.
Microsoft Graph
Przykładowy kod JSON dla konfiguracji opartej na lokalizacji przy użyciu punktu końcowego wersji beta programu Microsoft Graph.
{
"displayName": "Name",
"state": "enabled OR disabled OR enabledForReportingButNotEnforced",
"conditions": {
"applications": {
"includeApplications": [
"All"
]
},
"clientApplications": {
"includeServicePrincipals": [
"[Service principal Object ID] OR ServicePrincipalsInMyTenant"
],
"excludeServicePrincipals": [
"[Service principal Object ID]"
]
},
"locations": {
"includeLocations": [
"All"
],
"excludeLocations": [
"[Named location ID] OR AllTrusted"
]
}
},
"grantControls": {
"operator": "and",
"builtInControls": [
"block"
]
}
}