Poprzednie

Następne

Opis dostępu warunkowego

Ukończone

Dostęp warunkowy to funkcja identyfikatora Entra firmy Microsoft, która zapewnia dodatkową warstwę zabezpieczeń przed zezwoleniem uwierzytelnionymi użytkownikom na dostęp do danych lub innych zasobów. Dostęp warunkowy jest implementowany za pomocą zasad, które są tworzone i zarządzane w usłudze Microsoft Entra ID. Analiza zasad dostępu warunkowego sygnalizuje sygnały, w tym użytkownika, lokalizacji, urządzenia, aplikacji i ryzyka w celu zautomatyzowania decyzji dotyczących autoryzowania dostępu do zasobów (aplikacji i danych).

Najprostsze zasady dostępu warunkowego to instrukcje if-then. Na przykład zasady dostępu warunkowego mogą określać, że jeśli użytkownik należy do określonej grupy, wymagane jest zapewnienie uwierzytelniania wieloskładnikowego w celu zalogowania się do aplikacji.

Ważne

Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego składnika. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.

Składniki zasad dostępu warunkowego

Zasady dostępu warunkowego w usłudze Microsoft Entra ID składają się z dwóch składników, przypisań i kontroli dostępu.

Przypisania

Podczas tworzenia zasad dostępu warunkowego administratorzy mogą określić, które sygnały mają być używane za pomocą przypisań. Część przypisań zasad kontroluje, kto, co, gdzie i kiedy zasady dostępu warunkowego. Wszystkie przypisania są logicznie anDed. Jeśli skonfigurowano więcej niż jedno przypisanie, wszystkie przypisania muszą być spełnione, aby wyzwolić zasady. Niektóre z przypisań to:

• Użytkownicy i grupy przypisują, kto będzie zawierać lub wykluczać zasady. To przypisanie może obejmować wszystkich użytkowników, określone grupy użytkowników, role katalogu lub zewnętrznych użytkowników-gości. To przypisanie może również obejmować pojedyncze jednostki usługi dzierżawy (aplikacje), które są zarejestrowane w dzierżawie.
• Aplikacje lub akcje w chmurze mogą obejmować lub wykluczać aplikacje w chmurze, akcje użytkownika lub konteksty uwierzytelniania, które podlegają zasadom. Integracja Microsoft Defender dla Chmury z dostępem warunkowym umożliwia widoczność w czasie rzeczywistym i kontrolę dostępu do i działań wykonywanych w środowisku chmury.
• Warunki określają, gdzie i kiedy będą stosowane zasady. W celu utworzenia szczegółowych i określonych zasad dostępu warunkowego można połączyć wiele warunków. Niektóre warunki obejmują:
  • Ryzyko związane z logowaniem i ryzyko związane z użytkownikiem. Integracja z Ochrona tożsamości Microsoft Entra umożliwia zasadom dostępu warunkowego identyfikowanie podejrzanych akcji związanych z kontami użytkowników w katalogu i wyzwalanie zasad. Ryzyko logowania to prawdopodobieństwo, że dane żądanie logowania lub uwierzytelniania nie jest autoryzowane przez właściciela tożsamości. Ryzyko użytkownika to prawdopodobieństwo naruszenia zabezpieczeń danej tożsamości lub konta.
  • Platforma urządzeń. Platforma urządzeń, która charakteryzuje się systemem operacyjnym działającym na urządzeniu, może być używana podczas wymuszania zasad dostępu warunkowego.
  • Informacje o lokalizacji adresu IP. Organizacje mogą definiować zakresy zaufanych adresów IP, które mogą być używane podczas podejmowania decyzji dotyczących zasad. Ponadto administratorzy mogą zablokować lub zezwolić na ruch z całego zakresu adresów IP w całym kraju/regionie.
  • Aplikacje klienckie. Aplikacje klienckie, oprogramowanie używane przez użytkownika w celu uzyskania dostępu do aplikacji w chmurze, w tym przeglądarek, aplikacji mobilnych, klientów stacjonarnych, może być również używane w decyzji o zasadach dostępu.
  • Filtry dla urządzeń. Organizacje mogą wymuszać zasady na podstawie właściwości urządzenia przy użyciu filtrów dla urządzeń. Na przykład ta opcja może służyć do określania docelowych zasad dla określonych urządzeń, takich jak stacje robocze z dostępem uprzywilejowanym.

W istocie część przypisań kontroluje, kto, co i gdzie zasady dostępu warunkowego.

Kontrole dostępu

Po zastosowaniu zasad dostępu warunkowego zostanie podjęta świadoma decyzja dotycząca blokowania dostępu, udzielania dostępu, udzielania dostępu z dodatkową weryfikacją lub stosowania kontroli sesji w celu włączenia ograniczonego środowiska. Decyzja ta jest określana jako część kontroli dostępu w zasadach dostępu warunkowego i definiuje sposób wymuszania zasad. Typowe decyzje to:

• Blokuj dostęp
• Udziel dostępu. Administracja istratory mogą udzielać dostępu bez dodatkowej kontroli lub mogą wymusić co najmniej jedną kontrolę podczas udzielania dostępu. Przykłady kontrolek używanych do udzielania dostępu obejmują wymaganie od użytkowników przeprowadzania uwierzytelniania wieloskładnikowego, wymaganie dostępu do zasobu określonych metod uwierzytelniania, wymaganie od urządzeń spełnienia określonych wymagań dotyczących zasad zgodności, wymaganie zmiany hasła i nie tylko. Aby uzyskać pełną listę, zobacz Udzielanie kontrolek w zasadach dostępu warunkowego.
• Sesja. W ramach zasad dostępu warunkowego administrator może korzystać z kontrolek sesji w celu włączenia ograniczonych środowisk w określonych aplikacjach w chmurze. Na przykład kontrola dostępu warunkowego aplikacji używa sygnałów z aplikacji Microsoft Defender dla Chmury do blokowania możliwości pobierania, wycinania, kopiowania i drukowania poufnych dokumentów lub do wymagania etykietowania poufnych plików. Inne kontrolki sesji obejmują częstotliwość logowania i wymuszane ograniczenia aplikacji, które w przypadku wybranych aplikacji używają informacji o urządzeniu, aby zapewnić użytkownikom ograniczone lub pełne środowisko w zależności od stanu urządzenia. Aby uzyskać pełną listę, zobacz Kontrolki sesji w zasadach dostępu warunkowego.

Podsumowując, część przypisania kontroluje, kto, co i gdzie zasady dostępu warunkowego, podczas gdy część kontroli dostępu kontroluje sposób wymuszania zasad.

Kontynuuj