Skapa en princip för villkorsstyrd åtkomst

Som beskrivs i artikeln Vad är villkorsstyrd åtkomst är en princip för villkorsstyrd åtkomst en if-then-instruktion för tilldelningar och åtkomstkontroller. En princip för villkorsstyrd åtkomst samlar signaler, fattar beslut och tillämpar organisationsprinciper.

Hur skapar en organisation dessa principer? Vad krävs? Hur tillämpas de?

Flera principer för villkorsstyrd åtkomst kan gälla för en enskild användare när som helst. I det här fallet måste alla principer som gäller vara uppfyllda. Om en princip till exempel kräver multifaktorautentisering och en annan kräver en kompatibel enhet måste du slutföra MFA och använda en kompatibel enhet. Alla tilldelningar är logiskt ANDed. Om du har konfigurerat fler än en tilldelning måste alla tilldelningar vara uppfyllda för att utlösa en princip.

Om en princip där "Kräv en av de valda kontrollerna" har valts uppmanar vi i den angivna ordningen att åtkomst beviljas så snart principkraven är uppfyllda.

Alla principer tillämpas i två faser:

• Fas 1: Samla in sessionsinformation
  • Samla in sessionsinformation, till exempel nätverksplats och enhetsidentitet som krävs för principutvärdering.
  • Fas 1 av principutvärderingen sker för aktiverade principer och principer i rapportläge.
• Fas 2: Tillämpning
  • Använd sessionsinformationen som samlats in i fas 1 för att identifiera eventuella krav som inte har uppfyllts.
  • Om det finns en princip som har konfigurerats för att blockera åtkomst, med kontrollen för blockbidrag, stoppas tillämpningen här och användaren blockeras.
  • Användaren uppmanas att slutföra fler krav på beviljandekontroll som inte uppfylldes under fas 1 i följande ordning tills principen är uppfylld:
    1. Multifaktorautentisering
    2. Enhet som ska markeras som kompatibel
    3. Microsoft Entra Hybrid-ansluten enhet
    4. Godkänd klientapp
    5. Appskydd princip
    6. Lösenordsändring
    7. Användningsvillkor
    8. Anpassade kontroller
  • När alla beviljandekontroller har uppfyllts tillämpar du sessionskontroller (App enforced, Microsoft Defender för molnet Apps och token Lifetime)
  • Fas 2 av principutvärderingen sker för alla aktiverade principer.

Tilldelningar

Tilldelningsdelen styr vem, vad och var i principen för villkorsstyrd åtkomst.

Användare och grupper

Användare och grupper tilldelar vem principen ska inkludera eller exkludera. Den här tilldelningen kan omfatta alla användare, specifika grupper av användare, katalogroller eller externa gästanvändare.

Molnappar eller åtgärder

Molnappar eller åtgärder kan inkludera eller exkludera molnprogram, användaråtgärder eller autentiseringskontexter som ska omfattas av principen.

Villkor

En princip kan innehålla flera villkor.

Inloggningsrisk

För organisationer med Microsoft Entra ID Protection kan de riskidentifieringar som genereras där påverka dina principer för villkorsstyrd åtkomst.

Enhetsplattformar

Organisationer med flera enhetsoperativsystemplattformar kanske vill tillämpa specifika principer på olika plattformar.

Den information som används för att beräkna enhetsplattformen kommer från overifierade källor, till exempel användaragentsträngar som kan ändras.

Platser

Platser ansluter IP-adresser, geografiska områden och global säker åtkomsts kompatibla nätverk till principbeslut för villkorsstyrd åtkomst. Administratörer kan välja att definiera platser och markera vissa som betrodda som de för organisationens primära nätverksplatser.

Klientappar

Programvaran som användaren använder för att komma åt molnappen. Till exempel "Webbläsare" och "Mobilappar och skrivbordsklienter". Som standard gäller alla nyligen skapade principer för villkorsstyrd åtkomst för alla klientapptyper även om klientappens villkor inte har konfigurerats.

Beteendet för klientappsvillkoret uppdaterades i augusti 2020. Om du har befintliga principer för villkorlig åtkomst förblir de oförändrade. Men om du väljer en befintlig princip har växlingsknappen konfigurerats och de klientappar som principen gäller för har valts.

Filter för enheter

Med den här kontrollen kan du rikta in dig på specifika enheter baserat på deras attribut i en princip.

Åtkomstkontroller

Åtkomstkontrolldelen av principen för villkorsstyrd åtkomst styr hur en princip tillämpas.

Bevilja

Grant ger administratörer ett sätt att tillämpa principer där de kan blockera eller bevilja åtkomst.

Blockera åtkomst

Blockera åtkomst gör just det, det blockerar åtkomsten under de angivna tilldelningarna. Blockkontrollen är kraftfull och bör utövas med lämplig kunskap.

Bevilja åtkomst

Beviljandekontrollen kan utlösa tillämpning av en eller flera kontroller.

• Kräv multifaktorautentisering
• Kräv att enheten markeras som kompatibel (Intune)
• Kräv microsoft entra-hybridanslutningsenhet
• Kräv godkänd klientapp
• Kräva appskyddsprincip
• Kräv lösenordsändring
• Kräva användningsvillkor

Administratörer kan välja att kräva någon av de tidigare kontrollerna eller alla valda kontroller med hjälp av följande alternativ. Standardvärdet för flera kontroller är att kräva alla.

• Kräv alla valda kontroller (kontroll och kontroll)
• Kräv någon av de valda kontrollerna (kontroll eller kontroll)

Session

Sessionskontroller kan begränsa upplevelsen

• Använda apptvingande begränsningar
  • Fungerar för närvarande endast med Exchange Online och SharePoint Online.
  • Skickar enhetsinformation för att tillåta kontroll över funktioner som ger fullständig eller begränsad åtkomst.
• Använda appkontroll för villkorsstyrd åtkomst
  • Använder signaler från Microsoft Defender för molnet Apps för att göra saker som:
    • Blockera nedladdning, klipp ut, kopiera och skriv ut känsliga dokument.
    • Övervaka riskfyllda sessionsbeteenden.
    • Kräv etikettering av känsliga filer.
• Inloggningsfrekvens
  • Möjlighet att ändra standardinloggningsfrekvensen för modern autentisering.
• Beständiga webbläsarsessioner
  • Tillåter att användare förblir inloggade när de har stängt och öppnat webbläsarfönstret igen.
• Anpassa utvärdering av kontinuerlig åtkomst
• Inaktivera standardvärden för motståndskraft

Enkla principer

En princip för villkorsstyrd åtkomst måste innehålla minst följande som ska tillämpas:

• Namnet på principen.
• Tilldelningar
  • Användare och/eller grupper som principen ska tillämpas på.
  • Molnappar eller åtgärder som principen ska tillämpas på.
• Åtkomstkontroller
  • Bevilja eller blockera kontroller

Artikeln Vanliga principer för villkorsstyrd åtkomst innehåller vissa principer som vi tror skulle vara användbara för de flesta organisationer.

Nästa steg

Skapa en princip för villkorsstyrd åtkomst

Använd rapportläge för villkorsstyrd åtkomst för att fastställa resultatet av nya principbeslut.

Planera en molnbaserad distribution av multifaktorautentisering i Microsoft Entra

Hantera enhetsefterlevnad med Intune

Microsoft Defender för molnet-appar och villkorlig åtkomst