Vad är villkorsstyrd åtkomst?

  • Artikel

Den moderna säkerhetsperimetern sträcker sig utanför organisationens nätverksperimeter och omfattar användar- och enhetsidentitet. Organisationer använder nu identitetsdrivna signaler som en del av sina beslut om åtkomstkontroll. Villkorsstyrd åtkomst i Microsoft Entra samlar signaler, fattar beslut och tillämpar organisationsprinciper. Villkorsstyrd åtkomst är Microsofts Nolltillit principmotor som tar hänsyn till signaler från olika källor när principbeslut verkställs.

Diagram som visar begreppet signaler för villkorsstyrd åtkomst samt beslut om att tillämpa organisationsprincip.

Principer för villkorsstyrd åtkomst är som enklast if-then-instruktioner. Om en användare vill komma åt en resurs måste de slutföra en åtgärd. Exempel: Om en användare vill komma åt ett program eller en tjänst som Microsoft 365 måste de utföra multifaktorautentisering för att få åtkomst.

Administratörer har två primära mål:

  • Underlätta för användarna att vara produktiva oavsett tid och plats
  • Skydda organisationens tillgångar

Använd principer för villkorlig åtkomst för att tillämpa rätt åtkomstkontroller när det behövs för att skydda din organisation.

Viktigt!

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Vanliga signaler

Villkorlig åtkomst tar hänsyn till signaler från olika källor när du fattar åtkomstbeslut.

Diagram som visar villkorsstyrd åtkomst som Nolltillit principmotor som aggregerar signaler från olika källor.

Dessa signaler omfattar:

  • Användar- eller gruppmedlemskap
    • Principer kan riktas mot specifika användare och grupper som ger administratörer detaljerad kontroll över åtkomsten.
  • Information om IP-plats
    • Organisationer kan skapa betrodda IP-adressintervall som kan användas när de fattar principbeslut.
    • Administratörer kan ange hela länder/regioners IP-intervall för att blockera eller tillåta trafik från.
  • Enhet
    • Användare med enheter på specifika plattformar eller markerade med ett visst tillstånd kan användas när principer för villkorsstyrd åtkomst tillämpas.
    • Använd filter för enheter för att rikta principer till specifika enheter, till exempel arbetsstationer för privilegierad åtkomst.
  • Program
    • Användare som försöker komma åt specifika program kan utlösa olika principer för villkorsstyrd åtkomst.
  • Realtid och beräknad riskidentifiering
    • Med signalintegrering med Microsoft Entra ID Protection kan principer för villkorsstyrd åtkomst identifiera och åtgärda riskfyllda användare och inloggningsbeteende.
  • Microsoft Defender för molnet-appar
    • Gör att åtkomst och sessioner för användarprogram kan övervakas och kontrolleras i realtid. Den här integreringen ökar synligheten och kontrollen över åtkomsten till och aktiviteter som utförs i din molnmiljö.

Vanliga beslut

  • Blockera åtkomst
    • Mest restriktiva beslut
  • Bevilja åtkomst
    • Mindre restriktivt beslut, kan kräva ett eller flera av följande alternativ:
      • Kräv multifaktorautentisering
      • Kräv autentiseringsstyrka
      • Kräv att enheten är markerad som kompatibel
      • Kräv microsoft entra-hybridanslutningsenhet
      • Kräv godkänd klientapp
      • Kräva appskyddsprincip
      • Kräv lösenordsändring
      • Kräva användningsvillkor

Principer som tillämpas ofta

Många organisationer har vanliga problem med åtkomst som principer för villkorsstyrd åtkomst kan hjälpa till med , till exempel:

  • Kräva multifaktorautentisering för användare med administrativa roller
  • Kräva multifaktorautentisering för Azure-hanteringsuppgifter
  • Blockera inloggningar för användare som försöker använda protokoll med äldre autentisering
  • Kräva betrodda platser för registrering av säkerhetsinformation
  • Blockera eller bevilja åtkomst från specifika platser
  • Blockera riskfyllda inloggningsbeteenden
  • Kräva organisationshanterade enheter för specifika program

Administratörer kan skapa principer från grunden eller börja från en mallprincip i portalen eller med hjälp av Microsoft Graph API.

Administratörsupplevelse

Administratörer med rollen Administratör för villkorlig åtkomst kan hantera principer.

Villkorlig åtkomst finns i administrationscentret för Microsoft Entra under Villkorlig åtkomst för skydd>.

Skärmbild av översiktssidan för villkorsstyrd åtkomst.

  • Sidan Översikt innehåller en sammanfattning av principtillstånd, användare, enheter och program samt allmänna aviseringar och säkerhetsaviseringar med förslag.
  • Sidan Täckning innehåller en sammanfattning av program med och utan principtäckning för villkorsstyrd åtkomst under de senaste sju dagarna.
  • sidan Övervakning kan administratörer se ett diagram över inloggningar som kan filtreras för att se potentiella luckor i principtäckningen.

Principer för villkorsstyrd åtkomst på sidan Principer kan filtreras av administratörer baserat på objekt som aktör, målresurs, villkor, kontroll tillämpad, tillstånd eller datum. Med den här filtreringsförmågan kan administratörer snabbt hitta specifika principer baserat på deras konfiguration.

Licenskrav

För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.

Kunder med Microsoft 365 Business Premium-licenser har också tillgång till funktioner för villkorsstyrd åtkomst.

Riskbaserade principer kräver åtkomst till Microsoft Entra ID Protection, som kräver P2-licenser.

Andra produkter och funktioner som interagerar med principer för villkorsstyrd åtkomst kräver lämplig licensiering för dessa produkter och funktioner.

När licenser som krävs för villkorsstyrd åtkomst upphör att gälla inaktiveras eller tas inte principer bort automatiskt. Detta ger kunderna möjlighet att migrera bort från principer för villkorsstyrd åtkomst utan att plötsligt ändra sin säkerhetsstatus. Återstående principer kan visas och tas bort, men uppdateras inte längre.

Säkerhetsstandarder hjälper till att skydda mot identitetsrelaterade attacker och är tillgängliga för alla kunder.

Nolltillit

Den här funktionen hjälper organisationer att anpassa sina identiteter till de tre vägledande principerna i en Nolltillit arkitektur:

  • Verifiera explicit
  • Använd minst behörighet
  • Anta intrång

Mer information om Nolltillit och andra sätt att anpassa din organisation till de vägledande principerna finns i Nolltillit Guidance Center.

Nästa steg