Ustawianie zasad dostępu warunkowego
Dostęp warunkowy to ochrona zawartości regulowanej w systemie przez wymaganie spełnienia pewnych kryteriów przed udzieleniem dostępu do zawartości. Najprostszymi zasadami dostępu warunkowego są instrukcje if-then. Jeśli użytkownik chce uzyskać dostęp do zasobu, musi wykonać akcję. Na przykład menedżer listy płac chce uzyskać dostęp do aplikacji listy płac i jest wymagany do przeprowadzenia uwierzytelniania wieloskładnikowego (MFA).
Przy użyciu dostępu warunkowego można osiągnąć dwa główne cele:
- Zwiększanie produktywności użytkowników w dowolnym miejscu i czasie.
- Ochrona zasobów organizacji.
Korzystając z zasad dostępu warunkowego, możesz zastosować odpowiednie mechanizmy kontroli dostępu w razie potrzeby, aby zapewnić bezpieczeństwo organizacji i trzymać się z dala od użytkownika, gdy nie jest to potrzebne.
Częstotliwość monitowania użytkownika o ponowne uwierzytelnienie zależy od ustawień konfiguracji okresu istnienia sesji usługi Microsoft Entra. Zapamiętywanie poświadczeń jest wygodne, ale może również sprawić, że wdrożenia w scenariuszach dla przedsiębiorstw przy użyciu urządzeń osobistych będą mniej bezpieczne. Aby chronić użytkowników, możesz upewnić się, że klient częściej prosi o podanie poświadczeń uwierzytelniania wieloskładnikowego w usłudze Microsoft Entra. Aby skonfigurować to zachowanie, można użyć częstotliwości logowania dostępu warunkowego.
Przypisywanie zasad dostępu warunkowego dla komputerów w chmurze
Zasady dostępu warunkowego nie są domyślnie ustawiane dla dzierżawy. Zasady urzędu certyfikacji można kierować do aplikacji pierwszej firmy na komputerze w chmurze przy użyciu jednej z następujących platform:
- Błękit. Aby uzyskać więcej informacji, zobacz Microsoft Entra Conditional Access (Dostęp warunkowy w usłudze Microsoft Entra).
- Microsoft Intune. Poniższe kroki wyjaśniają ten proces. Aby uzyskać więcej informacji, zobacz Informacje o dostępie warunkowym i usłudze Intune.
Niezależnie od używanej metody zasady zostaną wymuszone w portalu użytkowników końcowych komputera w chmurze i połączeniu z komputerem w chmurze.
Zaloguj się do centrum administracyjnego usługi Microsoft Intune, wybierz pozycję Zabezpieczenia punktu końcowego>Dostęp> warunkowyUtwórz nowe zasady.
Podaj nazwę dla określonych zasad dostępu warunkowego.
W obszarze Użytkownicy wybierz 0 wybranych użytkowników i grup.
Na karcie Dołączanie wybierz pozycję Wybierz użytkowników i grupy> , zaznacz opcję Użytkownicy i grupy> w obszarze Wybierz, wybierz 0 wybranych użytkowników i grup.
W nowym okienku, które zostanie otwarte, wyszukaj i wybierz określonego użytkownika lub grupę, do których chcesz zastosować zasady urzędu certyfikacji, a następnie wybierz pozycję Wybierz.
W obszarze Zasoby docelowe wybierz pozycję Nie wybrano żadnych zasobów docelowych.
Na karcie Dołączanie wybierz pozycję Wybierz aplikacje> w obszarze Wybierz, wybierz pozycję Brak.
W okienku Wybierz wyszukaj i wybierz następujące aplikacje na podstawie zasobów, które chcesz chronić:
- Windows 365 (identyfikator aplikacji 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Możesz również wyszukać frazę "cloud", aby znaleźć tę aplikację. Ta aplikacja jest używana podczas pobierania listy zasobów dla użytkownika i gdy użytkownicy inicjują akcje na komputerze w chmurze, takie jak Ponowne uruchamianie.
- Azure Virtual Desktop (identyfikator aplikacji 9cdead84-a844-4324-93f2-b2e6bb768d07). Ta aplikacja może również być wyświetlana jako Windows Virtual Desktop. Ta aplikacja służy do uwierzytelniania w bramie usługi Azure Virtual Desktop Gateway podczas połączenia i gdy klient wysyła informacje diagnostyczne do usługi.
- Pulpit zdalny firmy Microsoft (identyfikator aplikacji a4a365df-50f1-4397-bc59-1a1564b8bb9c) i logowanie do chmury systemu Windows (identyfikator aplikacji 270efc09-cd0d-444b-a71f-39af4910ec45). Te aplikacje są potrzebne tylko podczas konfigurowania logowania jednokrotnego w zasadach aprowizacji. Te aplikacje służą do uwierzytelniania użytkowników na komputerze w chmurze.
Zaleca się dopasowanie zasad dostępu warunkowego między tymi aplikacjami. Dzięki temu zasady mają zastosowanie do portalu użytkowników końcowych komputera w chmurze, połączenia z bramą i komputerem w chmurze w celu zapewnienia spójnego środowiska. Jeśli chcesz wykluczyć aplikacje, musisz również wybrać wszystkie te aplikacje.
Ważna
Po włączeniu logowania jednokrotnego uwierzytelnianie na komputerze w chmurze korzysta obecnie z aplikacji Microsoft Remote Desktop Entra ID. Nadchodząca zmiana spowoduje przeniesienie uwierzytelniania do aplikacji Identyfikator entra logowania do chmury systemu Windows . Aby zapewnić płynne przejście, musisz dodać obie aplikacje Entra ID do zasad urzędu certyfikacji.
Uwaga
Jeśli nie widzisz aplikacji Logowania do chmury systemu Windows podczas konfigurowania zasad dostępu warunkowego, wykonaj poniższe kroki, aby utworzyć aplikację. Aby wprowadzić następujące zmiany, musisz mieć uprawnienia właściciela lub współautora w subskrypcji:
- Zaloguj się do witryny Azure Portal.
- Wybierz pozycję Subskrypcje z listy usług platformy Azure.
- Wybierz nazwę subskrypcji.
- Wybierz pozycję Dostawcy zasobów, a następnie wybierz pozycję Microsoft.DesktopWirtualizacja.
- Wybierz pozycję Zarejestruj u góry.
Po zarejestrowaniu dostawcy zasobów aplikacja Logowania do chmury systemu Windows jest wyświetlana w konfiguracji zasad dostępu warunkowego podczas wybierania aplikacji do zastosowania zasad. Jeśli nie używasz usługi Azure Virtual Desktop, możesz wyrejestrować dostawcę zasobów Microsoft.DesktopVirtualization po udostępnieniu aplikacji Logowania do chmury systemu Windows.
Jeśli chcesz dostosować zasady, w obszarze Udziel wybierz 0 wybranych kontrolek.
W okienku Udzielanie wybierz opcje udzielania lub blokowania dostępu, które chcesz zastosować do wszystkich obiektów przypisanych do tych zasad >Wybierz.
Jeśli chcesz najpierw przetestować zasady, w obszarze Włącz zasady wybierz pozycję Tylko raport. Jeśli ustawisz ją na wartość Włączone, zasady zostaną zastosowane natychmiast po jej utworzeniu.
Wybierz pozycję Utwórz , aby utworzyć zasady.
Listę aktywnych i nieaktywnych zasad można wyświetlić w widoku Zasady w interfejsie użytkownika dostępu warunkowego.
Konfigurowanie częstotliwości logowania
Zasady częstotliwości logowania umożliwiają skonfigurowanie częstotliwości logowania użytkowników podczas uzyskiwania dostępu do zasobów opartych na usłudze Microsoft Entra. Może to pomóc w zabezpieczeniu środowiska i jest szczególnie ważne w przypadku urządzeń osobistych, gdzie lokalny system operacyjny może nie wymagać uwierzytelniania wieloskładnikowego lub nie może zostać automatycznie zablokowany po braku aktywności. Użytkownicy są monitowane o uwierzytelnienie tylko wtedy, gdy podczas uzyskiwania dostępu do zasobu jest wymagany nowy token dostępu z identyfikatora Entra firmy Microsoft.
Zasady częstotliwości logowania powodują różne zachowanie w zależności od wybranej aplikacji Microsoft Entra:
Nazwa aplikacji | Identyfikator aplikacji | Zachowanie |
---|---|---|
Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Wymusza ponowne uwierzytelnianie, gdy użytkownik pobiera listę komputerów w chmurze i gdy użytkownicy inicjują akcje na komputerze w chmurze, takie jak Ponowne uruchamianie. |
Usługa Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Wymusza ponowne uwierzytelnianie, gdy użytkownik uwierzytelnia się w bramie usługi Azure Virtual Desktop Gateway podczas połączenia. |
Pulpit zdalny Microsoft Logowanie do chmury systemu Windows |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Wymusza ponowne uwierzytelnianie, gdy użytkownik loguje się na komputerze w chmurze po włączeniu logowania jednokrotnego . Obie aplikacje powinny być skonfigurowane razem, ponieważ klienci wkrótce przełączą się z korzystania z aplikacji pulpitu zdalnego firmy Microsoft do aplikacji Logowania do chmury systemu Windows w celu uwierzytelnienia na komputerze z chmurą. |
Aby skonfigurować okres, po którym użytkownik zostanie poproszony o ponowne zalogowanie się:
- Otwórz utworzone wcześniej zasady.
- W obszarze Sesja wybierz 0 wybranych kontrolek.
- W okienku Sesja wybierz pozycję Częstotliwość logowania.
- Wybierz pozycję Okresowe ponowne uwierzytelnianie lub Za każdym razem.
- Jeśli wybierzesz opcję Okresowe ponowne uwierzytelnianie, ustaw wartość okresu, po którym użytkownik zostanie poproszony o ponowne zalogowanie się podczas wykonywania akcji wymagającej nowego tokenu dostępu, a następnie wybierz pozycję Wybierz. Na przykład ustawienie wartości na 1 i godziny wymaga uwierzytelniania wieloskładnikowego, jeśli połączenie zostanie uruchomione ponad godzinę po ostatnim uwierzytelnieniu użytkownika.
- Opcja Za każdym razem jest obecnie dostępna w wersji zapoznawczej i jest obsługiwana tylko wtedy, gdy jest stosowana do aplikacji Microsoft Remote Desktop i Windows Cloud Login , gdy logowanie jednokrotne jest włączone dla komputerów w chmurze. Jeśli wybierzesz opcję Za każdym razem, użytkownicy będą monitować o ponowne uwierzytelnienie podczas uruchamiania nowego połączenia po upływie od 5 do 10 minut od ostatniego uwierzytelniania.
- W dolnej części strony wybierz pozycję Zapisz.
Uwaga
- Ponowne uwierzytelnianie odbywa się tylko wtedy, gdy użytkownik musi uwierzytelnić się w zasobie i potrzebny jest nowy token dostępu. Po nawiązaniu połączenia użytkownicy nie będą monitować, nawet jeśli połączenie trwa dłużej niż skonfigurowana częstotliwość logowania.
- Użytkownicy muszą ponownie uwierzytelnić się, jeśli wystąpi zakłócenie sieci, które wymusza ponowne ustanowienie sesji po skonfigurowaniu częstotliwości logowania. Może to prowadzić do częstszych żądań uwierzytelniania w niestabilnych sieciach.