Vad är villkorsstyrd åtkomst?

Den moderna säkerhetsperimetern sträcker sig nu utanför organisationens nätverk och omfattar användar- och enhetsidentitet. Organisationer kan använda identitetsdrivna signaler som en del av sina beslut om åtkomstkontroll.

Villkorsstyrd åtkomst samlar signaler som styr beslut och tillämpningen av organisationsprinciper. Azure AD villkorlig åtkomst är kärnan i det nya identitetsdrivna kontrollplanet.

Konceptuell villkorsstyrd signal plus beslut att få framtvingande

De enklaste principerna för villkorsstyrd åtkomst är if-then-instruktioner. Om en användare vill komma åt en resurs måste de slutföra en åtgärd. Exempel: En löneansvarig vill ha åtkomst till löneprogrammet och måste utföra multifaktorautentisering för att få åtkomst till det.

Administratörerna har två huvudsakliga mål:

  • Underlätta för användarna att vara produktiva oavsett tid och plats
  • Skydda organisationens tillgångar

Använd principer för villkorsstyrd åtkomst för att tillämpa rätt åtkomstkontroller när det behövs för att skydda din organisation.

Konceptuellt processflöde för villkorsstyrd åtkomst

Viktigt

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsett att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Vanliga signaler

Vanliga signaler som villkorsstyrd åtkomst kan ta hänsyn till när du fattar ett principbeslut är bland annat följande signaler:

  • Användar- eller gruppmedlemskap
    • Principer kan riktas mot specifika användare och grupper som ger administratörer detaljerad kontroll över åtkomsten.
  • Information om IP-plats
    • Organisationer kan skapa betrodda IP-adressintervall som kan användas när de fattar principbeslut.
    • Administratörer kan ange hela länder/regioners IP-intervall att blockera eller tillåta trafik från.
  • Enhet
    • Användare med enheter på specifika plattformar eller markerade med ett visst tillstånd kan användas när principer för villkorsstyrd åtkomst tillämpas.
    • Använd filter för enheter för att rikta principer till specifika enheter som arbetsstationer med privilegierad åtkomst.
  • Program
    • Användare som försöker komma åt specifika program kan utlösa olika principer för villkorsstyrd åtkomst.
  • Realtid och beräknad riskidentifiering
    • Med signalintegrering med Azure AD Identity Protection kan principer för villkorsstyrd åtkomst identifiera riskfyllda inloggningsbeteenden. Principer kan sedan tvinga användare att ändra sina lösenord, utföra multifaktorautentisering för att minska risknivån eller blockera åtkomst tills en administratör vidtar manuella åtgärder.
  • Microsoft Defender för Cloud Apps
    • Gör att åtkomst och sessioner för användarprogram kan övervakas och kontrolleras i realtid, vilket ökar synligheten och kontrollen över åtkomsten till och aktiviteter som utförs i din molnmiljö.

Vanliga beslut

  • Blockera åtkomst
    • Det mest restriktiva beslutet
  • Bevilja åtkomst
    • Minst restriktivt beslut kan fortfarande kräva ett eller flera av följande alternativ:
      • Kräv multifaktorautentisering
      • Kräv att enheten är markerad som kompatibel
      • Kräv hybrid Azure AD ansluten enhet
      • Kräv godkänd klientapp
      • Kräv appskyddsprincip (förhandsversion)

Principer som tillämpas ofta

Många organisationer har vanliga åtkomstproblem som principer för villkorsstyrd åtkomst kan hjälpa till med , till exempel:

  • Kräva multifaktorautentisering för användare med administrativa roller
  • Kräva multifaktorautentisering för Azure-hanteringsuppgifter
  • Blockera inloggningar för användare som försöker använda äldre autentiseringsprotokoll
  • Kräva betrodda platser för Azure AD Multi-Factor Authentication-registrering
  • Blockera eller bevilja åtkomst från specifika platser
  • Blockera riskfyllda inloggningsbeteenden
  • Kräva organisationshanterade enheter för specifika program

Licenskrav

Användning av den här funktionen kräver Azure AD Premium P1 licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Azure AD.

Kunder med Microsoft 365 Business Premium-licenser har också tillgång till funktioner för villkorsstyrd åtkomst.

Riskbaserade principer kräver åtkomst till Identity Protection, som är en Azure AD P2-funktion.

För andra produkter och funktioner som kan interagera med principer för villkorsstyrd åtkomst krävs rätt licensiering för dessa produkter och funktioner.

När licenser som krävs för villkorsstyrd åtkomst upphör att gälla inaktiveras eller tas inte principer bort automatiskt så att kunderna kan migrera bort från principer för villkorsstyrd åtkomst utan en plötslig ändring av deras säkerhetsstatus. Återstående principer kan visas och tas bort, men uppdateras inte längre.

Standardinställningar för säkerhet skyddar mot identitetsrelaterade attacker och är tillgängliga för alla kunder.

Nästa steg