Villkorlig åtkomst: Molnappar, åtgärder och autentiseringskontext

Molnappar, åtgärder och autentiseringskontext är viktiga signaler i en princip för villkorsstyrd åtkomst. Med principer för villkorsstyrd åtkomst kan administratörer tilldela kontroller till specifika program, åtgärder eller autentiseringskontexter.

  • Administratörer kan välja från listan över program som innehåller inbyggda Microsoft-program och alla Azure AD integrerade program, inklusive galleri, icke-galleri och program som publiceras via Programproxy.
  • Administratörer kan välja att definiera principer som inte baseras på ett molnprogram utan på en användaråtgärd som Registrera säkerhetsinformation eller Registrera eller ansluta enheter, vilket gör att villkorlig åtkomst kan framtvinga kontroller kring dessa åtgärder.
  • Administratörer kan använda autentiseringskontext för att tillhandahålla ett extra säkerhetslager i program.

Definiera en princip för villkorsstyrd åtkomst och ange molnappar

Microsoft-molnprogram

Många av de befintliga Microsoft-molnprogrammen ingår i listan över program som du kan välja mellan.

Administratörer kan tilldela en princip för villkorlig åtkomst till följande molnappar från Microsoft. Vissa appar som Office 365 och Microsoft Azure Management innehåller flera relaterade underordnade appar eller tjänster. Vi lägger kontinuerligt till fler appar, så följande lista är inte fullständig och kan komma att ändras.

Viktigt

Program som är tillgängliga för villkorlig åtkomst har genomgått en registrering och valideringsprocess. Den här listan innehåller inte alla Microsoft-appar, eftersom många är serverdelstjänster och inte är avsedda att tillämpas direkt på dem. Om du letar efter ett program som saknas kan du kontakta det specifika programteamet eller göra en begäran på UserVoice.

Office 365

Microsoft 365 tillhandahåller molnbaserade produktivitets- och samarbetstjänster som Exchange, SharePoint och Microsoft Teams. Microsoft 365-molntjänster är djupt integrerade för att säkerställa smidiga och samarbetsinriktade upplevelser. Den här integreringen kan orsaka förvirring när du skapar principer som vissa appar, till exempel Microsoft Teams, har beroenden för andra, till exempel SharePoint eller Exchange.

Den Office 365 sviten gör det möjligt att rikta in sig på dessa tjänster på en gång. Vi rekommenderar att du använder den nya Office 365-sviten i stället för att rikta in dig på enskilda molnappar för att undvika problem med tjänstberoenden.

Om du riktar in dig på den här programgruppen kan du undvika problem som kan uppstå på grund av inkonsekventa principer och beroenden. Exempel: Appen Exchange Online är kopplad till traditionella Exchange Online data som e-post, kalender och kontaktinformation. Relaterade metadata kan exponeras via olika resurser som sökning. För att säkerställa att alla metadata skyddas av som avsett bör administratörer tilldela principer till den Office 365 appen.

Administratörer kan undanta hela Office 365 sviten eller specifika Office 365 klientappar från principen för villkorsstyrd åtkomst.

Följande viktiga program ingår i Office 365-klientappen:

  • Exchange Online
  • Microsoft 365 Search Service
  • Microsoft Forms
  • Microsoft Planner (ProjectWorkManagement)
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Flow
  • Microsoft Office 365-portalen
  • Microsoft Office-klientprogram
  • Microsoft Stream
  • Microsoft To-Do WebApp
  • Microsoft Whiteboard Services
  • Office Delve
  • Office Online
  • OneDrive
  • Power Apps
  • Power Automate
  • Portalen för säkerhetsefterlevnad &
  • sharepoint online
  • Skype för företag – Online
  • Api för Skype och Teams-klientorganisation Admin
  • Sway
  • Yammer

En fullständig lista över alla tjänster som ingår finns i artikeln Appar som ingår i villkorlig åtkomst Office 365 apppaket.

Microsoft Azure Management

När principen för villkorsstyrd åtkomst är riktad till Microsoft Azure Management-programmet tillämpas principen i appväljaren för villkorlig åtkomst för token som utfärdats till program-ID:t för en uppsättning tjänster som är nära knutna till portalen.

  • Azure Resource Manager
  • Azure Portal, som även omfattar administrationscentret för Microsoft Entra
  • Azure Data Lake
  • Application Insights API
  • Log Analytics API

Eftersom principen tillämpas på Azure-hanteringsportalen och API:et kan tjänster eller klienter med ett Azure API-tjänstberoende indirekt påverkas. Ett exempel:

  • API:er för klassisk distributionsmodell
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • Azure Data Factory portalen
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database
  • SQL-hanterad instans
  • Azure Synapse
  • Administratörsportal för Visual Studio-prenumerationer
  • Microsoft IoT Central

Anteckning

Microsoft Azure Management-programmet gäller för Azure PowerShell, som anropar Azure Resource Manager API. Den gäller inte för Azure AD PowerShell, som anropar Microsoft Graph API.

Mer information om hur du konfigurerar en exempelprincip för Microsoft Azure Management finns i Villkorsstyrd åtkomst: Kräv MFA för Azure-hantering.

Tips

För Azure Government bör du rikta in dig på Azure Government Cloud Management API-programmet.

Andra program

Administratörer kan lägga till alla Azure AD registrerade programmet i principer för villkorsstyrd åtkomst. Dessa program kan innehålla:

Anteckning

Eftersom principen för villkorsstyrd åtkomst anger kraven för åtkomst till en tjänst kan du inte tillämpa den på ett klientprogram (offentligt/internt). Med andra ord anges principen inte direkt i ett klientprogram (offentligt/internt), utan tillämpas när en klient anropar en tjänst. En principuppsättning i SharePoint-tjänsten gäller till exempel för klienter som anropar SharePoint. En principuppsättning på Exchange gäller för försöket att komma åt e-postmeddelandet med Outlook-klienten. Därför är klientprogram (offentliga/interna) inte tillgängliga för val i cloud apps-väljaren och alternativet Villkorsstyrd åtkomst är inte tillgängligt i programinställningarna för klientprogrammet (offentligt/internt) som är registrerat i din klientorganisation.

Vissa program visas inte alls i väljaren. Det enda sättet att inkludera dessa program i en princip för villkorsstyrd åtkomst är att inkludera Alla molnappar.

Alla molnappar

Om du tillämpar en princip för villkorsstyrd åtkomst på Alla molnappar tillämpas principen för alla token som utfärdas till webbplatser och tjänster. Det här alternativet innehåller program som inte är individuellt målbara i principen för villkorsstyrd åtkomst, till exempel Azure Active Directory.

I vissa fall kan en princip för alla molnappar oavsiktligt blockera användaråtkomst. Dessa fall undantas från principtillämpning och omfattar:

  • Tjänster som krävs för att uppnå önskad säkerhetsstatus. Till exempel undantas enhetsregistreringsanrop från kompatibel enhetsprincip som är riktad till Alla molnappar.

  • Anropar Azure AD Graph och MS Graph för att få åtkomst till användarprofil, gruppmedlemskap och relationsinformation som ofta används av program som undantas från principen. De undantagna omfången visas nedan. Medgivande krävs fortfarande för att appar ska kunna använda dessa behörigheter.

    • För interna klienter:
      • Azure AD Graph: email, offline_access, openid, profile, User.read
      • MS Graph: User.read, Personer.read och UserProfile.read
    • För konfidentiella/autentiserade klienter:
      • Azure AD Graph: email, offline_access, openid, profile, User.read, User.read.all och User.readbasic.all
      • MS Graph: User.read,User.read.all, User.read.All Personer.read, Personer.read.all, GroupMember.Read.All, Member.Read.Hidden och UserProfile.read

Användaråtgärder

Användaråtgärder är uppgifter som kan utföras av en användare. För närvarande stöder villkorsstyrd åtkomst två användaråtgärder:

  • Registrera säkerhetsinformation: Den här användaråtgärden gör att principen för villkorsstyrd åtkomst kan tillämpas när användare som är aktiverade för kombinerad registrering försöker registrera sin säkerhetsinformation. Mer information finns i artikeln Kombinerad registrering av säkerhetsinformation.

  • Registrera eller ansluta enheter: Med den här användaråtgärden kan administratörer framtvinga principer för villkorsstyrd åtkomst när användare registrerar eller ansluter enheter till Azure AD. Det ger kornighet när du konfigurerar multifaktorautentisering för registrering eller anslutning av enheter i stället för en princip för hela klientorganisationen som för närvarande finns. Det finns tre viktiga överväganden med den här användaråtgärden:

    • Require multi-factor authentication är den enda åtkomstkontroll som är tillgänglig med den här användaråtgärden och alla andra är inaktiverade. Den här begränsningen förhindrar konflikter med åtkomstkontroller som antingen är beroende av Azure AD enhetsregistrering eller inte gäller för Azure AD enhetsregistrering.
    • Client appsoch Filters for devicesDevice state villkor är inte tillgängliga med den här användaråtgärden eftersom de är beroende av Azure AD enhetsregistrering för att framtvinga principer för villkorsstyrd åtkomst.
    • När en princip för villkorlig åtkomst är aktiverad med den här användaråtgärden måste du angeEnhetsinställningar - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication för Azure Active Directory-enheter>> till Nej. Annars tillämpas inte principen för villkorsstyrd åtkomst med den här användaråtgärden korrekt. Mer information om den här enhetsinställningen finns i Konfigurera enhetsinställningar.

Autentiseringskontext (förhandsversion)

Autentiseringskontext kan användas för att ytterligare skydda data och åtgärder i program. Dessa program kan vara dina egna anpassade program, anpassade verksamhetsprogram (LOB), program som SharePoint eller program som skyddas av Microsoft Defender for Cloud Apps.

En organisation kan till exempel behålla filer på SharePoint-webbplatser som lunchmenyn eller deras hemliga BBQ-såsrecept. Alla kan ha tillgång till lunchmenywebbplatsen, men användare som har tillgång till den hemliga BBQ-sås receptwebbplatsen kan behöva komma åt från en hanterad enhet och godkänna specifika användningsvillkor.

Konfigurera autentiseringskontexter

Autentiseringskontexter hanteras i Azure Portal under Azure Active DirectorySecurity-kontexten>>för villkorsstyrd åtkomstautentisering>.

Hantera autentiseringskontext i Azure Portal

Varning

  • Det går inte att ta bort definitioner för autentiseringskontexter under förhandsversionen.
  • Förhandsversionen är begränsad till totalt 25 definitioner för autentiseringskontexter i Azure Portal.

Skapa nya definitioner för autentiseringskontext genom att välja Ny autentiseringskontext i Azure Portal. Konfigurera följande attribut:

  • Visningsnamn är det namn som används för att identifiera autentiseringskontexten i Azure AD och för program som använder autentiseringskontexter. Vi rekommenderar namn som kan användas mellan resurser, till exempel "betrodda enheter", för att minska antalet autentiseringskontexter som behövs. Att ha en reducerad uppsättning begränsar antalet omdirigeringar och ger ett bättre slut på slutanvändarupplevelsen.
  • Beskrivningen innehåller mer information om de principer som används av Azure AD administratörer och de som tillämpar autentiseringskontexter på resurser.
  • Kryssrutan Publicera till appar när den är markerad annonserar autentiseringskontexten till appar och gör dem tillgängliga för tilldelning. Om den inte kontrolleras är autentiseringskontexten inte tillgänglig för underordnade resurser.
  • ID:t är skrivskyddat och används i token och appar för kontextdefinitioner för begärandespecifik autentisering. Den visas här för felsöknings- och utvecklingsanvändningsfall.

Lägg till i princip för villkorsstyrd åtkomst

Administratörer kan välja publicerade autentiseringskontexter i sina principer för villkorsstyrd åtkomst under TilldelningarMolnappar eller åtgärder och välja Autentiseringskontext> på menyn Välj vad den här principen gäller för.

Lägga till en kontext för autentisering med villkorsstyrd åtkomst i en princip

Tagga resurser med autentiseringskontexter

Mer information om autentiseringskontextanvändning i program finns i följande artiklar.

Nästa steg