Vad är villkorsstyrd åtkomst?

Den moderna säkerhetsperimetern sträcker sig nu utanför organisationens nätverk till att omfatta användar- och enhetsidentitet. Organisationer kan använda identitetsdrivna signaler som en del av sina beslut om åtkomstkontroll.

Villkorsstyrd åtkomst samlar signaler som styr beslut och tillämpningen av organisationsprinciper. Azure AD villkorlig åtkomst är kärnan i det nya identitetsdrivna kontrollplanet.

De enklaste principerna för villkorsstyrd åtkomst är if-then-instruktioner, om en användare vill komma åt en resurs måste de slutföra en åtgärd. Exempel: En löneansvarig vill komma åt löneprogrammet och måste utföra multifaktorautentisering för att få åtkomst till det.

Administratörer har två huvudsakliga mål:

• Underlätta för användarna att vara produktiva oavsett tid och plats
• Skydda organisationens tillgångar

Använd principer för villkorsstyrd åtkomst för att tillämpa rätt åtkomstkontroller när det behövs för att skydda din organisation.

Viktigt

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsett att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Vanliga signaler

Vanliga signaler som villkorlig åtkomst kan ta hänsyn till när du fattar ett principbeslut innehåller följande signaler:

• Användar- eller gruppmedlemskap
  • Principer kan riktas mot specifika användare och grupper som ger administratörer detaljerad kontroll över åtkomsten.
• IP-platsinformation
  • Organisationer kan skapa betrodda IP-adressintervall som kan användas när de fattar principbeslut.
  • Administratörer kan ange hela länder/regioners IP-intervall för att blockera eller tillåta trafik från.
• Enhet
  • Användare med enheter på specifika plattformar eller markerade med ett visst tillstånd kan användas när principer för villkorsstyrd åtkomst tillämpas.
  • Använd filter för enheter för att rikta principer till specifika enheter, till exempel arbetsstationer för privilegierad åtkomst.
• Program
  • Användare som försöker komma åt specifika program kan utlösa olika principer för villkorlig åtkomst.
• Realtid och beräknad riskidentifiering
  • Med signalintegrering med Azure AD Identity Protection kan principer för villkorsstyrd åtkomst identifiera riskfyllda inloggningsbeteenden. Principer kan sedan tvinga användare att ändra sina lösenord, utföra multifaktorautentisering för att minska risknivån eller blockera åtkomst tills en administratör vidtar manuella åtgärder.
• Microsoft Defender för Cloud Apps
  • Gör att åtkomst och sessioner för användarprogram kan övervakas och kontrolleras i realtid, vilket ökar synligheten och kontrollen över åtkomst till och aktiviteter som utförs i din molnmiljö.

Vanliga beslut

• Blockera åtkomst
  • Mest restriktiva beslut
• Bevilja åtkomst
  • Minst restriktivt beslut, kan fortfarande kräva ett eller flera av följande alternativ:
    • Kräv multifaktorautentisering
    • Kräv att enheten är markerad som kompatibel
    • Kräv hybrid Azure AD ansluten enhet
    • Kräv godkänd klientapp
    • Kräv appskyddsprincip (förhandsversion)

Principer som tillämpas ofta

Många organisationer har vanliga åtkomstproblem som principer för villkorsstyrd åtkomst kan hjälpa till med , till exempel:

• Kräver multifaktorautentisering för användare med administrativa roller
• Kräver multifaktorautentisering för Azure-hanteringsuppgifter
• Blockera inloggningar för användare som försöker använda äldre autentiseringsprotokoll
• Kräver betrodda platser för Azure AD multifaktorautentiseringsregistrering
• Blockera eller bevilja åtkomst från specifika platser
• Blockera riskfyllda inloggningsbeteenden
• Kräva organisationshanterade enheter för specifika program

Licenskrav

Användning av den här funktionen kräver Azure AD Premium P1 licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Azure AD.

Kunder med Microsoft 365 Business Premium-licenser har också tillgång till funktioner för villkorsstyrd åtkomst.

Riskbaserade principer kräver åtkomst till Identity Protection, vilket är en Azure AD P2-funktion.

För andra produkter och funktioner som kan interagera med principer för villkorsstyrd åtkomst krävs rätt licensiering för dessa produkter och funktioner.

När licenser som krävs för villkorsstyrd åtkomst upphör att gälla inaktiveras eller tas inte principer bort automatiskt så att kunderna kan migrera bort från principer för villkorsstyrd åtkomst utan en plötslig ändring i deras säkerhetsstatus. Återstående principer kan visas och tas bort, men uppdateras inte längre.

Standardinställningar för säkerhet skyddar mot identitetsrelaterade attacker och är tillgängliga för alla kunder.

Nolltillit

Den här funktionen hjälper organisationer att anpassa sina identiteter till de tre vägledande principerna i en Nolltillit arkitektur:

• Verifiera explicit
• Använd lägsta behörighet
• Anta intrång

Mer information om Nolltillit och andra sätt att anpassa din organisation till de vägledande principerna finns i Nolltillit Guidance Center.

Nästa steg

• Skapa en princip för villkorsstyrd åtkomst bit för bit
• Planera distributionen av villkorsstyrd åtkomst
• Lär dig mer om Identity Protection
• Läs mer om Microsoft Defender for Cloud Apps
• Läs mer om Microsoft Intune