Planowanie zasad dostępu warunkowego

  • 8 min

Planowanie wdrożenia dostępu warunkowego ma kluczowe znaczenie dla osiągnięcia strategii dostępu organizacji dla aplikacji i zasobów.

W świecie aplikacji mobilnych i chmurowych użytkownicy uzyskują dostęp do zasobów organizacji z dowolnego miejsca przy użyciu różnych urządzeń i aplikacji. W związku z tym skupienie się na tym, kto może uzyskać dostęp do zasobu, nie jest już wystarczające. Należy również rozważyć, gdzie znajduje się użytkownik, używane urządzenie, uzyskiwany dostęp do zasobu i nie tylko.

Firma Microsoft Entra Conditional Access (CA) analizuje sygnały, takie jak użytkownik, urządzenie i lokalizacja, aby zautomatyzować decyzje i wymusić zasady dostępu organizacyjnego dla zasobu. Zasady urzędu certyfikacji umożliwiają stosowanie mechanizmów kontroli dostępu, takich jak uwierzytelnianie wieloskładnikowe (MFA). Zasady urzędu certyfikacji umożliwiają monitowanie użytkowników o uwierzytelnianie wieloskładnikowe w razie potrzeby w celu zapewnienia bezpieczeństwa i pozostawania poza sposobem korzystania z użytkowników, gdy nie jest to konieczne.

Diagram przedstawiający sposób działania dostępu warunkowego. Scentralizowany dostawca tożsamości weryfikuje reguły przed udzieleniem dostępu.

Mimo że wartości domyślne zabezpieczeń zapewniają podstawowy poziom zabezpieczeń, organizacja potrzebuje większej elastyczności niż oferta domyślnych zabezpieczeń. Możesz użyć urzędu certyfikacji, aby dostosować wartości domyślne zabezpieczeń z większą szczegółowością i skonfigurować nowe zasady spełniające wymagania.

Świadczenia

Zalety wdrażania urzędu certyfikacji to:

  • Zwiększenie produktywności — przerywanie pracy użytkowników przy użyciu warunku logowania, takiego jak uwierzytelnianie wieloskładnikowe, gdy gwarantuje to co najmniej jeden sygnał. Zasady urzędu certyfikacji umożliwiają kontrolowanie, kiedy użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe, gdy dostęp jest zablokowany i kiedy muszą korzystać z zaufanego urządzenia.
  • Zarządzanie ryzykiem — automatyzowanie oceny ryzyka przy użyciu warunków zasad oznacza, że ryzykowne logowania są identyfikowane i korygowane lub blokowane. Sprzęganie dostępu warunkowego z usługą Identity Protection, która wykrywa anomalie i podejrzane zdarzenia, umożliwia kierowanie dostępu do zasobów, gdy dostęp do zasobów jest blokowany lub blokowany.
  • Rozwiązywanie problemów ze zgodnością i ładem — dostęp warunkowy umożliwia inspekcję dostępu do aplikacji, prezentowanie warunków użytkowania zgody i ograniczanie dostępu na podstawie zasad zgodności.
  • Zarządzanie kosztami — przenoszenie zasad dostępu do Microsoft Entra ID zmniejsza zależność od niestandardowych lub lokalnych rozwiązań dla kontroli dostępu i związanych z nimi kosztów infrastruktury.
  • Zero Trust — dostęp warunkowy ułatwia przejście do środowiska zerowego zaufania.

Omówienie składników zasad dostępu warunkowego

Zasady urzędu certyfikacji są instrukcjami if-then: Jeśli przypisanie zostanie spełnione, zastosuj te mechanizmy kontroli dostępu. Gdy administrator konfiguruje polityki CA, warunki są nazywane przypisaniami. Zasady urzędu certyfikacji umożliwiają wymuszanie kontroli dostępu w aplikacjach organizacji na podstawie określonych przypisań.

Zrzut ekranu przedstawiający okno dialogowe dostępu warunkowego z otwartym ekranem tworzenia zasad dla konfiguracji.

Przypisania definiują użytkowników i grupy, których dotyczą zasady, aplikacje w chmurze lub akcje, do których będą stosowane zasady, oraz warunki, w których będą stosowane zasady. Ustawienia kontroli dostępu zapewniają lub blokują dostęp do różnych aplikacji w chmurze i mogą włączać ograniczone środowiska w określonych aplikacjach w chmurze.

Niektóre typowe pytania dotyczące przypisań, kontroli dostępu i kontrole sesji:

  • Użytkownicy i grupy: którzy użytkownicy i grupy zostaną uwzględnione w zasadach lub wykluczone z nich? Czy te zasady obejmują wszystkich użytkowników, określoną grupę użytkowników, role katalogu lub użytkowników zewnętrznych?
  • Aplikacje lub akcje w chmurze: Do jakich aplikacji będą stosowane zasady? Jakie akcje użytkownika będą podlegać tym zasadom?
  • Warunki: Które platformy urządzeń zostaną uwzględnione lub wykluczone z zasad? Jakie są zaufane lokalizacje organizacji?
  • Mechanizmy kontroli dostępu: Czy chcesz udzielić dostępu do zasobów przez zaimplementowanie wymagań, takich jak uwierzytelnianie wieloskładnikowe, urządzenia oznaczone jako zgodne lub urządzenia dołączone hybrydo do firmy Microsoft Entra?
  • Kontrolki sesji: czy chcesz kontrolować dostęp do aplikacji w chmurze, implementując wymagania, takie jak uprawnienia wymuszone przez aplikację lub kontrola dostępu warunkowego?

Wystawianie tokenu dostępu

Tokeny dostępu umożliwiają klientom bezpieczne wywoływanie chronionych internetowych interfejsów API i są one używane przez internetowe interfejsy API do przeprowadzania uwierzytelniania i autoryzacji. Zgodnie ze specyfikacją protokołu OAuth tokeny dostępu są nieprzezroczystymi ciągami bez ustawionego formatu. Niektórzy dostawcy tożsamości używają identyfikatorów GUID; inne używają zaszyfrowanych obiektów blob. Platforma tożsamości Microsoft używa różnych formatów tokenu dostępu w zależności od konfiguracji interfejsu API, który akceptuje token.

Ważne jest, aby zrozumieć, w jaki sposób są wystawiane tokeny dostępu.

Diagram procesu wystawiania tokenu dostępu w celu uzyskania dostępu warunkowego i jego wykorzystania.

Uwaga

Jeśli przypisanie nie jest wymagane i nie obowiązują żadne zasady urzędu certyfikacji, domyślne zachowanie polega na wystawieniu tokenu dostępu.

Rozważmy na przykład zasady, w których:

Jeśli użytkownik znajduje się w grupie 1, wymusić uwierzytelnianie wieloskładnikowe, aby uzyskać dostęp do aplikacji 1.

Jeśli użytkownik inny niż w grupie 1 próbuje uzyskać dostęp do aplikacji, warunek "if" jest spełniony, a token jest wystawiany. Wyłączenie użytkowników spoza grupy 1 wymaga oddzielnych zasad, aby zablokować wszystkich innych użytkowników.

Postępuj zgodnie z najlepszymi rozwiązaniami

Platforma dostępu warunkowego zapewnia dużą elastyczność konfiguracji. Jednak duża elastyczność oznacza również, że należy dokładnie przejrzeć konfigurację poszczególnych zasad przed ich wdrożeniem, aby uniknąć niepożądanych skutków.

Konfigurowanie kont dostępu awaryjnego

W przypadku błędnego skonfigurowania zasad mogą one zablokować organizacjom dostęp do witryny Azure Portal. Zniweluj przypadkową blokadę administratora, tworząc co najmniej dwa konta dostępu awaryjnego w organizacji. Więcej informacji na temat kont dostępu awaryjnego znajdziesz w dalszej części tego kursu.

Konfiguracja trybu Tylko raport

Przewidywanie liczby i nazw użytkowników dotkniętych typowymi inicjatywami wdrażania, takimi jak:

  • Blokowanie starszego uwierzytelniania.
  • Wymaganie uwierzytelniania wieloskładnikowego.
  • Implementowanie zasad ryzyka związanego z logowaniem.

Tryb tylko do raportów umożliwia administratorom ocenę zasad urzędu certyfikacji przed ich włączeniem w ich środowisku.

Wykluczanie krajów, z których nigdy nie oczekujesz logowania

Identyfikator Entra firmy Microsoft umożliwia tworzenie nazwanych lokalizacji. Utwórz nazwaną lokalizację zawierającą wszystkie kraje, z których nigdy nie spodziewasz się, że nastąpi logowanie. Następnie utwórz zasady dla wszystkich aplikacji, które blokują logowanie z tej nazwanej lokalizacji. Pamiętaj, aby wykluczyć administratorów z tej polityki.

Typowe zasady

Podczas planowania rozwiązania zasad urzędu certyfikacji należy ocenić, czy chcesz utworzyć zasady, aby osiągnąć następujące wyniki.

  • Wymagaj uwierzytelniania wieloskładnikowego. Typowe przypadki użycia obejmują wymaganie uwierzytelniania wieloskładnikowego przez administratorów, do określonych aplikacji, dla wszystkich użytkowników lub z lokalizacji sieciowych, którym nie ufasz.

  • Reagowanie na potencjalnie naruszone konta. Można włączyć trzy domyślne zasady: wymagaj od wszystkich użytkowników zarejestrowania się w usłudze MFA, wymagaj zmiany hasła dla użytkowników, którzy są narażeni na wysokie ryzyko i wymagają uwierzytelniania wieloskładnikowego dla użytkowników o średnim lub wysokim ryzyku logowania.

  • Wymagaj urządzeń zarządzanych. Rozprzestrzenianie obsługiwanych urządzeń w celu uzyskania dostępu do zasobów w chmurze pomaga zwiększyć produktywność użytkowników. Prawdopodobnie nie chcesz, aby dostęp do niektórych zasobów w danym środowisku był uzyskiwany przez urządzenia z nieznanym poziomem ochrony. W przypadku tych zasobów należy wymagać, aby użytkownicy mogli uzyskiwać do nich dostęp tylko przy użyciu urządzenia zarządzanego.

  • Wymagaj zatwierdzonych aplikacji klienckich. Pracownicy używają swoich urządzeń przenośnych zarówno do zadań osobistych, jak i służbowych. W przypadku scenariuszy BYOD należy zdecydować, czy zarządzać całym urządzeniem, czy tylko danymi na nim. W przypadku zarządzania tylko danymi i dostępem możesz wymagać zatwierdzonych aplikacji w chmurze, które mogą chronić dane firmowe.

  • Blokuj dostęp. Blokowanie dostępu zastępuje wszystkie inne przypisania dla użytkownika i ma możliwość zablokowania całej organizacji logowania się do dzierżawy. Można go użyć na przykład, gdy migruje się aplikację do Microsoft Entra ID, ale nie jest jeszcze gotowy na to, by ktokolwiek się do niej zalogował. Możesz również zablokować dostęp do aplikacji w chmurze w określonych lokalizacjach sieciowych lub zablokować dostęp do zasobów dzierżawy przy użyciu starszego uwierzytelniania.

    Ważne

    Jeśli tworzysz zasady blokujące dostęp dla wszystkich użytkowników, pamiętaj, aby wykluczyć konta dostępu awaryjnego i rozważyć wykluczenie wszystkich administratorów z zasad.

Tworzenie i testowanie zasad

Na każdym etapie wdrożenia upewnij się, że oceniasz wyniki zgodnie z oczekiwaniami.

Gdy nowe zasady są gotowe, wdróż je w fazach w środowisku produkcyjnym:

  • Udostępnianie komunikacji wewnętrznej dla użytkowników końcowych.
  • Zacznij od małego zestawu użytkowników i sprawdź, czy zasady działają zgodnie z oczekiwaniami.
  • Po rozwinięciu zasad w celu uwzględnienia większej liczby użytkowników kontynuuj wykluczanie wszystkich administratorów. Wykluczenie administratorów gwarantuje, że ktoś nadal ma dostęp do zasad, jeśli jest wymagana zmiana.
  • Zastosuj zasady do wszystkich użytkowników dopiero po jego dokładnym przetestowaniu. Upewnij się, że masz co najmniej jedno konto administratora, do którego zasady nie mają zastosowania.

Tworzenie użytkowników testowych

Utwórz zestaw użytkowników testowych, którzy odzwierciedlają użytkowników w środowisku produkcyjnym. Tworzenie użytkowników testowych umożliwia sprawdzenie, czy zasady działają zgodnie z oczekiwaniami przed zastosowaniem do rzeczywistych użytkowników i potencjalnie zakłócają dostęp do aplikacji i zasobów.

Niektóre organizacje mają w tym celu dzierżawy testowe. Jednak ponowne utworzenie wszystkich warunków i aplikacji w dzierżawie testowej może być trudne, aby w pełni przetestować wynik zasad.

Tworzenie planu testowego

Plan testowania jest ważny, ponieważ pozwala uzyskać porównanie między wynikami oczekiwanymi a rzeczywistymi. Przed rozpoczęciem testowania należy zawsze oczekiwać. W poniższej tabeli przedstawiono przykładowe przypadki testowe. Dostosuj scenariusze i oczekiwane wyniki na podstawie sposobu konfigurowania zasad urzędu certyfikacji.

Nazwa zasad Scenariusz Oczekiwany wynik
Wymagaj uwierzytelniania wieloskładnikowego podczas pracy Autoryzowany użytkownik loguje się do aplikacji w zaufanej lokalizacji/pracy Użytkownik nie jest monitowany o uwierzytelnianie wieloskładnikowe. Użytkownik jest autoryzowany do uzyskiwania dostępu. Użytkownik nawiązuje połączenie z zaufanej lokalizacji. W tym przypadku możesz wymagać uwierzytelniania wieloskładnikowego.
Wymagaj uwierzytelniania wieloskładnikowego podczas pracy Autoryzowany użytkownik loguje się do aplikacji, gdy nie znajduje się w zaufanej lokalizacji/pracy Użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe i może pomyślnie się zalogować
Wymagaj uwierzytelniania wieloskładnikowego (dla administratora) Administrator globalny loguje się do aplikacji Administrator jest monitowany o uwierzytelnianie wieloskładnikowe
Ryzykowne logowania Użytkownik loguje się do aplikacji przy użyciu niezatwierdzonej przeglądarki Użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe
Zarządzanie urządzeniami Autoryzowany użytkownik próbuje zalogować się z autoryzowanego urządzenia Udzielony dostęp
Zarządzanie urządzeniami Autoryzowany użytkownik próbuje zalogować się z nieautoryzowanego urządzenia Zablokowany dostęp
Zmiana hasła dla ryzykownych użytkowników Autoryzowany użytkownik próbuje zalogować się przy użyciu poświadczeń naruszonych (logowanie o wysokim ryzyku) Użytkownik jest monitowany o zmianę hasła lub dostępu jest blokowany na podstawie zasad

Wymagania dotyczące licencji

  • Free Microsoft Entra ID — brak dostępu warunkowego
  • Bezpłatna subskrypcja usługi Office 365 — brak dostępu warunkowego
  • Microsoft Entra ID Premium 1 (lub Microsoft 365 E3 i nowsze) — dostęp warunkowy działa na podstawie standardowych reguł
  • Microsoft Entra ID Premium 2 — dostęp warunkowy oraz możliwość korzystania z ryzykownych logowania, ryzykownych użytkowników i opcji logowania opartego na ryzyku (z usługi Identity Protection)