Villkorlig åtkomst: Målresurser

Målresurser (tidigare molnappar, åtgärder och autentiseringskontext) är nyckelsignaler i en princip för villkorsstyrd åtkomst. Med principer för villkorsstyrd åtkomst kan administratörer tilldela kontroller till specifika program, tjänster, åtgärder eller autentiseringskontext.

• Administratörer kan välja från listan över program eller tjänster som innehåller inbyggda Microsoft-program och alla Microsoft Entra integrerade program, inklusive galleri, icke-galleri och program som publiceras via Programproxy.
• Administratörer kan välja att definiera principer som inte baseras på ett molnprogram utan på en användaråtgärd som Registrera säkerhetsinformation eller Registrera eller ansluta enheter, vilket gör att villkorlig åtkomst kan tillämpa kontroller kring dessa åtgärder.
• Administratörer kan rikta trafikvidarebefordringsprofiler från Global säker åtkomst för förbättrade funktioner.
• Administratörer kan använda autentiseringskontext för att tillhandahålla ett extra säkerhetslager i program.

Microsoft-molnprogram

Många av de befintliga Microsoft-molnprogrammen finns med i listan över program som du kan välja bland.

Administratörer kan tilldela en princip för villkorlig åtkomst till följande molnappar från Microsoft. Vissa appar som Office 365 och Microsoft Azure Management innehåller flera relaterade underordnade appar eller tjänster. Vi lägger kontinuerligt till fler appar, så följande lista är inte fullständig och kan komma att ändras.

• Office 365
• Azure Analysis Services
• Azure DevOps
• Azure-datautforskaren
• Azure Event Hubs
• Azure Service Bus
• Azure SQL Database och Azure Synapse Analytics
• Common Data Service
• Microsoft Application Insights Analytics
• Microsoft Azure Information Protection
• Microsoft Azure Management
• Microsoft Defender för Cloud Apps
• Microsoft Commerce Tools Access Control Portal
• Microsoft Commerce Tools Authentication Service
• Microsoft Forms
• Microsoft Intune
• Microsoft Intune registrering
• Microsoft Planner
• Microsoft Power Apps
• Microsoft Power Automate
• Microsoft Search i Bing
• Microsoft StaffHub
• Microsoft Stream
• Microsoft Teams
• Exchange Online
• SharePoint
• Yammer
• Office Delve
• Office Sway
• Outlook Groups
• Power BI-tjänst
• Project Online
• Skype för företag – Online
• Virtuellt privat nätverk (VPN)
• Windows Defender ATP

Viktigt

Program som är tillgängliga för villkorsstyrd åtkomst har genomgått en registrering och valideringsprocess. Den här listan innehåller inte alla Microsoft-appar, eftersom många är serverdelstjänster och inte är avsedda att tillämpa principer direkt på dem. Om du letar efter ett program som saknas kan du kontakta det specifika programteamet eller göra en begäran på UserVoice.

Office 365

Microsoft 365 tillhandahåller molnbaserade produktivitets- och samarbetstjänster som Exchange, SharePoint och Microsoft Teams. Microsoft 365-molntjänster är djupt integrerade för att säkerställa smidiga och samarbetsinriktade upplevelser. Den här integreringen kan orsaka förvirring när du skapar principer som vissa appar, till exempel Microsoft Teams, har beroenden på andra, till exempel SharePoint eller Exchange.

Den Office 365 sviten gör det möjligt att rikta dessa tjänster på en gång. Vi rekommenderar att du använder den nya Office 365-sviten i stället för att rikta in dig på enskilda molnappar för att undvika problem med tjänstberoenden.

Om du riktar in dig på den här programgruppen kan du undvika problem som kan uppstå på grund av inkonsekventa principer och beroenden. Exempel: Appen Exchange Online är kopplad till traditionella Exchange Online data som e-post, kalender och kontaktinformation. Relaterade metadata kan exponeras via olika resurser som sökning. För att säkerställa att alla metadata skyddas av som avsett bör administratörer tilldela principer till Office 365 appen.

Administratörer kan undanta hela Office 365 sviten eller specifika Office 365 molnappar från principen för villkorsstyrd åtkomst.

En fullständig lista över alla tjänster som kan inkluderas finns i artikeln Appar i Office 365-appsviten som ingår i villkorsstyrd åtkomst.

Microsoft Azure Management

När programmet Microsoft Azure Management väljs som mål för principen för villkorsstyrd åtkomst (i appväljaren för principen för villkorsstyrd åtkomst) tillämpas principen för token som utfärdats till program-ID:n för en uppsättning tjänster som är nära knutna till portalen.

• Azure Resource Manager
• Azure-portalen, som även omfattar Microsoft Entra administrationscenter
• Azure Data Lake
• API för Application Insights
• API för Log Analytics

Eftersom principen tillämpas på Azure-hanteringsportalen och API:et kan tjänster eller klienter med ett Azure API-tjänstberoende indirekt påverkas. Exempel:

• API:er för klassisk distributionsmodell
• Azure PowerShell
• Azure CLI
• Azure DevOps
• Azure Data Factory-portalen
• Azure Event Hubs
• Azure Service Bus
• Azure SQL Database
• SQL-hanterad instans
• Azure Synapse
• Administratörsportal för Visual Studio-prenumerationer
• Microsoft IoT Central

Anteckning

Microsoft Azure Management-programmet gäller för Azure PowerShell, som anropar Azure Resource Manager API. Den gäller inte för Azure AD PowerShell, som anropar Microsoft Graph API.

Mer information om hur du konfigurerar en exempelprincip för Microsoft Azure Management finns i Villkorsstyrd åtkomst: Kräv MFA för Azure-hantering.

Tips

För Azure Government bör du rikta Azure Government Cloud Management API-programmet.

Microsoft Admin-portaler (förhandsversion)

När en princip för villkorsstyrd åtkomst riktar sig mot molnappen Microsoft Admin Portals tillämpas principen för token som utfärdats till program-ID:t för följande administrationsportaler i Microsoft:

• Azure Portal
• Administrationscenter för Exchange
• Administrationscenter för Microsoft 365
• Microsoft 365 Defender portalen
• Microsoft Entra administrationscenter
• Microsoft Intune administrationscenter
• efterlevnadsportal i Microsoft Purview

Vi lägger kontinuerligt till fler administrativa portaler i listan.

Viktigt

Microsoft Admin-portaler (förhandsversion) stöds för närvarande inte i myndighetsmoln.

Anteckning

Microsoft Admin Portals-appen gäller endast för interaktiva inloggningar till de angivna administratörsportalerna. Inloggningar till underliggande resurser eller tjänster som Microsoft Graph eller Azure Resource Manager API:er omfattas inte av det här programmet. Dessa resurser skyddas av Microsoft Azure Management-appen . Detta gör det möjligt för kunder att gå vidare med MFA-implementeringsresan för administratörer utan att påverka automatisering som förlitar sig på API:er och PowerShell. När du är klar rekommenderar Microsoft att du använder en princip som kräver att administratörer alltid utför MFA för omfattande skydd.

Andra program

Administratörer kan lägga till valfritt Microsoft Entra registrerat program i principer för villkorsstyrd åtkomst. Dessa program kan omfatta:

• Program som publiceras via Microsoft Entra programproxy
• Program som lagts till från galleriet
• Anpassade program som inte finns i galleriet
• Äldre program som publicerats via programleveranskontroller (ADC) och nätverk
• Program som använder lösenordsbaserad enkel inloggning

Anteckning

Eftersom en princip för villkorsstyrd åtkomst anger kraven för åtkomst till en tjänst kan du inte tillämpa den på ett klientprogram (offentligt/internt). Med andra ord anges principen inte direkt för ett klientprogram (offentligt/internt). Den tillämpas i stället när en klient anropar en tjänst. En princip som har angetts för en SharePoint-tjänst gäller till exempel för klienter som anropar SharePoint. Och en princip som angetts för Exchange gäller vid försök att få åtkomst till e-post med Outlook-klienten. Det är därför klientprogram (offentliga/interna) inte anges som alternativ i väljaren för molnappar och alternativet för villkorsstyrd åtkomst inte är tillgängligt i programinställningarna för klientprogrammet (offentligt/internt) som är registrerat i din klientorganisation.

Vissa program visas inte alls i väljaren. Det enda sättet att ta med dessa program i en princip för villkorsstyrd åtkomst är att inkludera alla molnappar.

Alla molnappar

Om du tillämpar en princip för villkorsstyrd åtkomst på Alla molnappar tillämpas principen för alla token som utfärdas till webbplatser och tjänster. Det här alternativet omfattar program som inte kan riktas individuellt i principen för villkorsstyrd åtkomst, till exempel Microsoft Entra-ID.

I vissa fall kan en princip för alla molnappar oavsiktligt blockera användaråtkomst. Dessa fall är undantagna från principtillämpning och omfattar:

• Tjänster som krävs för att uppnå önskad säkerhetsstatus. Till exempel undantas anrop för enhetsregistrering från kompatibla enhetsprinciper som är riktade till Alla molnappar.

• Anropar Azure AD Graph och MS Graph för att få åtkomst till användarprofil, gruppmedlemskap och relationsinformation som ofta används av program som undantas från principen. De undantagna omfången visas nedan. Medgivande krävs fortfarande för att appar ska kunna använda dessa behörigheter.

  • För interna klienter:
    • Azure AD Graph: email, offline_access, openid, profile, User.read
    • MS Graph: User.read, Personer.read och UserProfile.read
  • För konfidentiella/autentiserade klienter:
    • Azure AD Graph: email, offline_access, openid, profile, User.read, User.read.all och User.readbasic.all
    • MS Graph: User.read,User.read.all, User.read.All Personer.read, Personer.read.all, GroupMember.Read.All, Member.Read.Hidden och UserProfile.read

Användaråtgärder

Användaråtgärder är uppgifter som kan utföras av en användare. För närvarande stöder villkorsstyrd åtkomst två användaråtgärder:

• Registrera säkerhetsinformation: Med den här användaråtgärden kan principen för villkorsstyrd åtkomst tillämpas när användare som är aktiverade för kombinerad registrering försöker registrera sin säkerhetsinformation. Mer information finns i artikeln Kombinerad registrering av säkerhetsinformation.

Anteckning

När du tillämpar en princip för användaråtgärder för att registrera säkerhetsinformation, om användarkontot är en gäst från Microsofts personliga konto (MSA), med hjälp av kontrollen "Kräv multifaktorautentisering", kräver MSA-användaren att registrera säkerhetsinformation med organisationen. Om gästanvändaren kommer från en annan leverantör, till exempel Google, blockeras åtkomsten.

• Registrera eller ansluta enheter: Med den här användaråtgärden kan administratörer tillämpa principer för villkorsstyrd åtkomst när användare registrerar eller ansluter enheter till Microsoft Entra-ID. Den ger kornighet vid konfiguration av multifaktorautentisering för registrering eller anslutning av enheter i stället för en princip för hela klientorganisationen som för närvarande finns. Det finns tre viktiga överväganden med den här användaråtgärden:
  • Require multifactor authentication är den enda åtkomstkontroll som är tillgänglig med den här användaråtgärden och alla andra är inaktiverade. Den här begränsningen förhindrar konflikter med åtkomstkontroller som antingen är beroende av Microsoft Entra enhetsregistrering eller som inte är tillämpliga för Microsoft Entra enhetsregistrering.
  • Client appsDevice state och Filters for devices villkor är inte tillgängliga med den här användaråtgärden eftersom de är beroende av Microsoft Entra enhetsregistrering för att framtvinga principer för villkorsstyrd åtkomst.
  • När en princip för villkorsstyrd åtkomst är aktiverad med den här användaråtgärden måste du angeEnhetsinställningar - Devices to be Azure AD joined or Azure AD registered require Multifactor Authentication föridentitetsenheter>>– Översikt till>Nej. Annars tillämpas inte principen för villkorsstyrd åtkomst med den här användaråtgärden korrekt. Mer information om den här enhetsinställningen finns i Konfigurera enhetsinställningar.

Profiler för trafikvidarebefordring

Profiler för vidarebefordran av trafik i Global säker åtkomst gör det möjligt för administratörer att definiera och styra hur trafik dirigeras via Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst. Profiler för vidarebefordran av trafik kan tilldelas till enheter och fjärrnätverk. Ett exempel på hur du tillämpar en princip för villkorsstyrd åtkomst på dessa trafikprofiler finns i artikeln Så här tillämpar du principer för villkorsstyrd åtkomst på Microsoft 365-trafikprofilen.

Mer information om dessa profiler finns i artikeln Profiler för vidarebefordran av global säker åtkomsttrafik.

Autentiseringskontext

Autentiseringskontext kan användas för att ytterligare skydda data och åtgärder i program. Dessa program kan vara dina egna anpassade program, verksamhetsspecifika program, program som SharePoint eller program som skyddas av Microsoft Defender for Cloud Apps.

En organisation kan till exempel behålla filer på SharePoint-webbplatser som lunchmenyn eller deras hemliga BBQ-såsrecept. Alla kan ha åtkomst till lunchmenywebbplatsen, men de användare som vill ha åtkomst till webbplatsen för den hemliga barbequesåsen kanske behöver använda en hanterad enhet och godkänna specifika användningsvillkor.

Konfigurera autentiseringskontexter

Autentiseringskontexter hanteras underautentiseringskontexten förvillkorsstyrd åtkomst>för skydd>.

Skapa nya definitioner för autentiseringskontext genom att välja Ny autentiseringskontext. Organisationer är begränsade till totalt 25 definitioner av autentiseringskontexter. Konfigurera följande attribut:

• Visningsnamn är det namn som används för att identifiera autentiseringskontexten i Microsoft Entra-ID och mellan program som använder autentiseringskontexter. Vi rekommenderar namn som kan användas mellan resurser, till exempel "betrodda enheter", för att minska antalet autentiseringskontexter som behövs. Om du har en reducerad uppsättning begränsas antalet omdirigeringar och ger en bättre slutanvändarupplevelse.
• Beskrivningen innehåller mer information om de principer som används av Microsoft Entra administratörer och de som tillämpar autentiseringskontexter på resurser.
• Kryssrutan Publicera till appar när den är markerad, annonserar autentiseringskontexten till appar och gör dem tillgängliga för tilldelning. Om den inte kontrolleras är autentiseringskontexten inte tillgänglig för underordnade resurser.
• ID :t är skrivskyddat och används i token och appar för definitioner av begärandespecifika autentiseringskontexter. Här visas information om användningsfall för felsökning och utveckling.

Lägg till i princip för villkorsstyrd åtkomst

Administratörer kan välja publicerade autentiseringskontexter i sina principer för villkorsstyrd åtkomst under Tilldelningar>Molnappar eller åtgärder och välja Autentiseringskontext på menyn Välj vad den här principen gäller för .

Ta bort en autentiseringskontext

När du tar bort en autentiseringskontext kontrollerar du att inga program fortfarande använder den. Annars skyddas inte längre åtkomsten till appdata. Du kan bekräfta detta krav genom att kontrollera inloggningsloggarna för fall när principer för villkorsstyrd åtkomst för autentiseringskontext tillämpas.

Om du vill ta bort en autentiseringskontext får den inte ha några tilldelade principer för villkorsstyrd åtkomst och får inte publiceras till appar. Det här kravet förhindrar oavsiktlig borttagning av en autentiseringskontext som fortfarande används.

Tagga resurser med autentiseringskontexter

Mer information om användning av autentiseringskontext i program finns i följande artiklar.

• Använda känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser
• Microsoft Defender för Cloud Apps
• Anpassade program

Nästa steg

• Villkor för villkorsstyrd åtkomst
• Vanliga principer för villkorsstyrd åtkomst
• Klientprogramberoenden