Skapa en princip för villkorsstyrd åtkomst
Som beskrivs i artikeln Vad är villkorsstyrd åtkomst är en princip för villkorsstyrd åtkomst en if-then-instruktion för tilldelningar och åtkomstkontroller. En princip för villkorsstyrd åtkomst samlar signaler, fattar beslut och tillämpar organisationsprinciper.
Hur skapar en organisation dessa principer? Vad krävs? Hur tillämpas de?
Flera principer för villkorsstyrd åtkomst kan när som helst gälla för en enskild användare. I det här fallet måste alla principer som gäller vara uppfyllda. Om en princip till exempel kräver multifaktorautentisering och en annan kräver en kompatibel enhet måste du slutföra MFA och använda en kompatibel enhet. Alla tilldelningar är logiskt ANDed. Om du har konfigurerat fler än en tilldelning måste alla tilldelningar vara uppfyllda för att utlösa en princip.
Om en princip där "Kräv en av de valda kontrollerna" har valts uppmanar vi i den angivna ordningen att åtkomst beviljas så snart principkraven är uppfyllda.
Alla principer tillämpas i två faser:
- Fas 1: Samla in sessionsinformation
- Samla in sessionsinformation, till exempel nätverksplats och enhetsidentitet som krävs för principutvärdering.
- Fas 1 av principutvärderingen sker för aktiverade principer och principer i rapportläge.
- Fas 2: Tillämpning
- Använd sessionsinformationen som samlats in i fas 1 för att identifiera eventuella krav som inte uppfylls.
- Om det finns en princip som har konfigurerats med blockeringskontroll stoppas verkställigheten här och användaren blockeras.
- Användaren uppmanas att slutföra fler krav för beviljandekontroll som inte uppfylldes under fas 1 i följande ordning tills principen är uppfylld:
- När alla beviljandekontroller är uppfyllda tillämpar du sessionskontroller (App Enforced, Microsoft Defender för molnet Apps och token Lifetime)
- Fas 2 av principutvärderingen sker för alla aktiverade principer.
Tilldelningar
Tilldelningsdelen styr vem, vad och var i principen för villkorsstyrd åtkomst.
Användare och grupper
Användare och grupper tilldelar vem principen inkluderar eller exkluderar när den tillämpas. Den här tilldelningen kan omfatta alla användare, specifika grupper av användare, katalogroller eller externa gästanvändare.
Målresurser
Målresurser kan inkludera eller exkludera molnprogram, användaråtgärder eller autentiseringskontexter som omfattas av principen.
Nätverk
Nätverket innehåller IP-adresser, geografiska områden och global säker åtkomsts kompatibla nätverk till principbeslut för villkorsstyrd åtkomst. Administratörer kan välja att definiera platser och markera vissa som betrodda som de för organisationens primära nätverksplatser.
Villkor
En princip kan innehålla flera villkor.
Inloggningsrisk
För organisationer med Microsoft Entra ID Protection kan de riskidentifieringar som genereras där påverka dina principer för villkorsstyrd åtkomst.
Enhetsplattformar
Organisationer med flera enhetsoperativsystemplattformar kan framtvinga specifika principer på olika plattformar.
Den information som används för att beräkna enhetsplattformen kommer från overifierade källor, till exempel användaragentsträngar som kan ändras.
Klientappar
Programvaran som användaren använder för att komma åt molnappen. Till exempel "Webbläsare" och "Mobilappar och skrivbordsklienter". Som standard gäller alla nyligen skapade principer för villkorsstyrd åtkomst för alla klientapptyper även om klientappens villkor inte har konfigurerats.
Filter för enheter
Med den här kontrollen kan du rikta in dig på specifika enheter baserat på deras attribut i en princip.
Åtkomstkontroller
Åtkomstkontrolldelen av principen för villkorsstyrd åtkomst styr hur en princip tillämpas.
Bevilja
Grant ger administratörer ett sätt att tillämpa principer där de kan blockera eller bevilja åtkomst.
Blockera åtkomst
Blockera åtkomst gör just det, det blockerar åtkomsten under de angivna tilldelningarna. Blockkontrollen är kraftfull och bör utövas med lämplig kunskap.
Bevilja åtkomst
Beviljandekontrollen kan utlösa tillämpning av en eller flera kontroller.
- Kräv multifaktorautentisering
- Kräv att enheten markeras som kompatibel (Intune)
- Kräv microsoft entra-hybridanslutningsenhet
- Kräv godkänd klientapp
- Kräva appskyddsprincip
- Kräv lösenordsändring
- Kräva användningsvillkor
Administratörer kan välja att kräva någon av de tidigare kontrollerna eller alla valda kontroller med hjälp av följande alternativ. Standardvärdet för flera kontroller är att kräva alla.
- Kräv alla valda kontroller (kontroll och kontroll)
- Kräv någon av de valda kontrollerna (kontroll eller kontroll)
Session
Sessionskontroller kan begränsa användarnas upplevelse.
- Använd apptvingande begränsningar:
- Fungerar för närvarande endast med Exchange Online och SharePoint Online.
- Skickar enhetsinformation för att tillåta kontroll över funktioner som ger fullständig eller begränsad åtkomst.
- Använd appkontroll för villkorsstyrd åtkomst:
- Använder signaler från Microsoft Defender för molnet Apps för att göra saker som:
- Blockera nedladdning, klipp ut, kopiera och skriv ut känsliga dokument.
- Övervaka riskfyllda sessionsbeteenden.
- Kräv etikettering av känsliga filer.
- Använder signaler från Microsoft Defender för molnet Apps för att göra saker som:
- Inloggningsfrekvens:
- Möjlighet att ändra standardinloggningsfrekvensen för modern autentisering.
- Beständiga webbläsarsessioner:
- Tillåter att användare förblir inloggade när de har stängt och öppnat webbläsarfönstret igen.
- Anpassa utvärdering av kontinuerlig åtkomst
- Inaktivera standardvärden för motståndskraft
Enkla principer
En princip för villkorsstyrd åtkomst måste innehålla minst följande som ska tillämpas:
- Namnet på principen.
- Tilldelningar
- Användare och/eller grupper som principen ska tillämpas på.
- Molnappar eller åtgärder som principen ska tillämpas på.
- Åtkomstkontroller
- Bevilja eller blockera kontroller
Artikeln Vanliga principer för villkorsstyrd åtkomst innehåller vissa principer som vi tror skulle vara användbara för de flesta organisationer.