Share via

Tillämpa principer för villkorsstyrd åtkomst på privata åtkomstappar

  • Artikel

Att tillämpa principer för villkorlig åtkomst på dina Microsoft Entra privatåtkomst-appar är ett kraftfullt sätt att tillämpa säkerhetsprinciper för dina interna, privata resurser. Du kan använda principer för villkorlig åtkomst för dina snabbåtkomst- och privata åtkomstappar från Global säker åtkomst (förhandsversion).

I den här artikeln beskrivs hur du tillämpar principer för villkorsstyrd åtkomst på dina appar för snabbåtkomst och privat åtkomst.

Förutsättningar

  • Administratörer som interagerar med förhandsgranskningsfunktioner för global säker åtkomst måste ha en eller flera av följande rolltilldelningar beroende på vilka uppgifter de utför.
    • Rollen Global administratör för säker åtkomst för att hantera förhandsgranskningsfunktionerna för global säker åtkomst.
    • Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
  • Du måste ha konfigurerat snabbåtkomst eller privat åtkomst.
  • Förhandsgranskningen kräver en Microsoft Entra ID P1-licens. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Kända begränsningar

  • För närvarande krävs anslutning via den globala klienten för säker åtkomst för att hämta privat åtkomsttrafik.

Villkorlig åtkomst och global säker åtkomst

Du kan skapa en princip för villkorlig åtkomst för dina snabbåtkomstappar eller privata åtkomstappar från Global säker åtkomst. När processen startas från Global säker åtkomst läggs den valda appen automatiskt till som målresurs för principen. Allt du behöver göra är att konfigurera principinställningarna.

  1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.

  2. Bläddra till Global säker åtkomst (förhandsversion)>Program>Företagsprogram.

  3. Välj ett program i listan.

    Skärmbild av information om Företagsprogram.

  4. Välj Villkorlig åtkomst på sidomenyn. Alla befintliga principer för villkorsstyrd åtkomst visas i en lista.

    Skärmbild av menyalternativet Villkorlig åtkomst.

  5. Välj Skapa ny princip. Den valda appen visas i information om målresurser .

    Skärmbild av principen för villkorsstyrd åtkomst med appen Snabbåtkomst markerad.

  6. Konfigurera villkor, åtkomstkontroller och tilldela användare och grupper efter behov.

Du kan också använda principer för villkorsstyrd åtkomst för en grupp program baserat på anpassade attribut. Mer information finns i Filtrera för program i principen för villkorsstyrd åtkomst (förhandsversion).

Exempel på tilldelningar och åtkomstkontroller

Justera följande principinformation för att skapa en princip för villkorsstyrd åtkomst som kräver multifaktorautentisering, enhetsefterlevnad eller en Microsoft Entra-hybridkopplad enhet för ditt Snabbåtkomst-program. Användartilldelningarna ser till att organisationens konton för nödåtkomst eller brytglas undantas från principen.

  1. Under Tilldelningar väljer du Användare:
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
  2. Under Åtkomstkontroller>Bevilja:
    1. Välj Kräv multifaktorautentisering, Kräv att enheten markeras som kompatibel och Kräv Microsoft Entra-hybridanslutning
  3. Bekräfta inställningarna och ange Aktivera princip till Endast rapport.

När administratörerna har bekräftat principinställningarna med endast rapportläge kan en administratör flytta växlingsknappen Aktivera princip från Endast rapport till .

Användarundantag

Principer för villkorlig åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från dina principer:

  • Nödåtkomst eller break-glass-konton för att förhindra kontoutelåsning i hela klientorganisationen. I det osannolika scenariot är alla administratörer utelåst från din klientorganisation, och ditt administrationskonto för nödåtkomst kan användas för att logga in på klientorganisationen för att vidta åtgärder för att återställa åtkomsten.
  • Tjänstkonton och tjänstens huvudnamn, till exempel Microsoft Entra Anslut Sync-konto. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon viss användare. De används normalt av serverdelstjänster som tillåter programmatisk åtkomst till program, men används även för att logga in på system i administrativa syften. Tjänstkonton som dessa bör undantas eftersom MFA inte kan slutföras programmatiskt. Anrop som görs av tjänstens huvudnamn blockeras inte av principer för villkorsstyrd åtkomst som begränsas till användare. Använd villkorsstyrd åtkomst för arbetsbelastningsidentiteter för att definiera principer som riktar sig till tjänstens huvudnamn.
    • Om din organisation har dessa konton som används i skript eller kod kan du överväga att ersätta dem med hanterade identiteter. Som en tillfällig lösning kan du exkludera dessa specifika konton från baslinjeprincipen.

Nästa steg