Tillämpa principer för villkorsstyrd åtkomst på privata åtkomstappar

Att tillämpa principer för villkorlig åtkomst på dina Microsoft Entra privatåtkomst-appar är ett kraftfullt sätt att tillämpa säkerhetsprinciper för dina interna, privata resurser. Du kan använda principer för villkorsstyrd åtkomst för dina snabbåtkomst- och privata åtkomstappar från Global säker åtkomst.

I den här artikeln beskrivs hur du tillämpar principer för villkorsstyrd åtkomst på dina appar för snabbåtkomst och privat åtkomst.

Förutsättningar

• Administratörer som interagerar med funktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.
  • Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
  • Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
• Du måste ha konfigurerat snabbåtkomst eller privat åtkomst.
• Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Kända begränsningar

• För närvarande krävs anslutning via den globala klienten för säker åtkomst för att hämta privat åtkomsttrafik.

Villkorlig åtkomst och global säker åtkomst

Du kan skapa en princip för villkorlig åtkomst för dina snabbåtkomstappar eller privata åtkomstappar från Global säker åtkomst. När processen startas från Global säker åtkomst läggs den valda appen automatiskt till som målresurs för principen. Allt du behöver göra är att konfigurera principinställningarna.

1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.

2. Bläddra till Globala företagsprogram för>säker åtkomst.>

3. Välj ett program i listan.

   

4. Välj Villkorlig åtkomst på sidomenyn. Alla befintliga principer för villkorsstyrd åtkomst visas i en lista.

5. Välj Ny princip. Den valda appen visas i information om målresurser .

6. Konfigurera villkor, åtkomstkontroller och tilldela användare och grupper efter behov.

Du kan också använda principer för villkorsstyrd åtkomst för en grupp program baserat på anpassade attribut. Mer information finns i Filtrera för program i principen för villkorsstyrd åtkomst.

Exempel på tilldelningar och åtkomstkontroller

Justera följande principinformation för att skapa en princip för villkorsstyrd åtkomst som kräver multifaktorautentisering, enhetsefterlevnad eller en Microsoft Entra-hybridkopplad enhet för ditt Snabbåtkomst-program. Användartilldelningarna ser till att organisationens konton för nödåtkomst eller brytglas undantas från principen.

1. Under Tilldelningar väljer du Användare:
   1. Under Inkludera väljer du Alla användare.
   2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
2. Under Åtkomstkontroller>Bevilja:
   1. Välj Kräv multifaktorautentisering, Kräv att enheten markeras som kompatibel och Kräv Microsoft Entra-hybridanslutning
3. Bekräfta inställningarna och ange Aktivera princip till Endast rapport.

När administratörerna har bekräftat principinställningarna med endast rapportläge kan en administratör flytta växlingsknappen Aktivera princip från Endast rapport till På.

Användarundantag

Principer för villkorlig åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från dina principer:

• Nödåtkomst eller break-glass-konton för att förhindra utelåsning på grund av felkonfiguration av principer. I det osannolika scenariot är alla administratörer utelåst, kan ditt administratörskonto för nödåtkomst användas för att logga in och vidta åtgärder för att återställa åtkomsten.
  • Mer information finns i artikeln Hantera konton för nödåtkomst i Microsoft Entra-ID.
• Tjänstkonton och tjänstens huvudnamn, till exempel Microsoft Entra Connect Sync-kontot. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon viss användare. De används normalt av serverdelstjänster som tillåter programmatisk åtkomst till program, men används även för att logga in på system i administrativa syften. Anrop som görs av tjänstens huvudnamn blockeras inte av principer för villkorsstyrd åtkomst som begränsas till användare. Använd villkorsstyrd åtkomst för arbetsbelastningsidentiteter för att definiera principer som riktar sig till tjänstens huvudnamn.
  • Om din organisation har dessa konton som används i skript eller kod kan du överväga att ersätta dem med hanterade identiteter.

Nästa steg

• Aktivera profilen för vidarebefordran av privat åtkomsttrafik
• Aktivera käll-IP-återställning