Skapa en princip för villkorsstyrd åtkomst

Som beskrivs i artikeln Vad är villkorsstyrd åtkomst är en princip för villkorsstyrd åtkomst en if-then-instruktion för tilldelningar och åtkomstkontroller. En princip för villkorsstyrd åtkomst samlar signaler, fattar beslut och tillämpar organisationsprinciper.

Hur skapar en organisation dessa principer? Vad krävs? Hur tillämpas de?

Flera principer för villkorsstyrd åtkomst kan när som helst gälla för en enskild användare. I det här fallet måste alla principer som gäller vara uppfyllda. Om en princip till exempel kräver multifaktorautentisering och en annan kräver en kompatibel enhet måste du slutföra MFA och använda en kompatibel enhet. Alla tilldelningar är logiskt ANDed. Om du har konfigurerat fler än en tilldelning måste alla tilldelningar vara uppfyllda för att utlösa en princip.

Om en princip där "Kräv en av de valda kontrollerna" har valts uppmanar vi i den angivna ordningen att åtkomst beviljas så snart principkraven är uppfyllda.

Alla principer tillämpas i två faser:

• Fas 1: Samla in sessionsinformation
  • Samla in sessionsinformation, till exempel nätverksplats och enhetsidentitet som krävs för principutvärdering.
  • Fas 1 av principutvärderingen sker för aktiverade principer och principer i rapportläge.
• Fas 2: Tillämpning
  • Använd sessionsinformationen som samlats in i fas 1 för att identifiera eventuella krav som inte uppfylls.
  • Om det finns en princip som har konfigurerats med blockeringskontroll stoppas verkställigheten här och användaren blockeras.
  • Användaren uppmanas att slutföra fler krav för beviljandekontroll som inte uppfylldes under fas 1 i följande ordning tills principen är uppfylld:
    1. Multifaktorautentisering
    2. Enhet som ska markeras som kompatibel
    3. Microsoft Entra Hybrid-ansluten enhet
    4. Godkänd klientapp
    5. Appskydd princip
    6. Lösenordsändring
    7. Användningsvillkor
    8. Anpassade kontroller
  • När alla beviljandekontroller är uppfyllda tillämpar du sessionskontroller (App Enforced, Microsoft Defender för molnet Apps och token Lifetime)
  • Fas 2 av principutvärderingen sker för alla aktiverade principer.

Tilldelningar

Tilldelningsdelen styr vem, vad och var i principen för villkorsstyrd åtkomst.

Användare och grupper

Användare och grupper tilldelar vem principen inkluderar eller exkluderar när den tillämpas. Den här tilldelningen kan omfatta alla användare, specifika grupper av användare, katalogroller eller externa gästanvändare.

Målresurser

Målresurser kan inkludera eller exkludera molnprogram, användaråtgärder eller autentiseringskontexter som omfattas av principen.

Nätverk

Nätverket innehåller IP-adresser, geografiska områden och global säker åtkomsts kompatibla nätverk till principbeslut för villkorsstyrd åtkomst. Administratörer kan välja att definiera platser och markera vissa som betrodda som de för organisationens primära nätverksplatser.

Villkor

En princip kan innehålla flera villkor.

Inloggningsrisk

För organisationer med Microsoft Entra ID Protection kan de riskidentifieringar som genereras där påverka dina principer för villkorsstyrd åtkomst.

Enhetsplattformar

Organisationer med flera enhetsoperativsystemplattformar kan framtvinga specifika principer på olika plattformar.

Den information som används för att beräkna enhetsplattformen kommer från overifierade källor, till exempel användaragentsträngar som kan ändras.

Klientappar

Programvaran som användaren använder för att komma åt molnappen. Till exempel "Webbläsare" och "Mobilappar och skrivbordsklienter". Som standard gäller alla nyligen skapade principer för villkorsstyrd åtkomst för alla klientapptyper även om klientappens villkor inte har konfigurerats.

Filter för enheter

Med den här kontrollen kan du rikta in dig på specifika enheter baserat på deras attribut i en princip.

Åtkomstkontroller

Åtkomstkontrolldelen av principen för villkorsstyrd åtkomst styr hur en princip tillämpas.

Bevilja

Grant ger administratörer ett sätt att tillämpa principer där de kan blockera eller bevilja åtkomst.

Blockera åtkomst

Blockera åtkomst gör just det, det blockerar åtkomsten under de angivna tilldelningarna. Blockkontrollen är kraftfull och bör utövas med lämplig kunskap.

Bevilja åtkomst

Beviljandekontrollen kan utlösa tillämpning av en eller flera kontroller.

• Kräv multifaktorautentisering
• Kräv att enheten markeras som kompatibel (Intune)
• Kräv microsoft entra-hybridanslutningsenhet
• Kräv godkänd klientapp
• Kräva appskyddsprincip
• Kräv lösenordsändring
• Kräva användningsvillkor

Administratörer kan välja att kräva någon av de tidigare kontrollerna eller alla valda kontroller med hjälp av följande alternativ. Standardvärdet för flera kontroller är att kräva alla.

• Kräv alla valda kontroller (kontroll och kontroll)
• Kräv någon av de valda kontrollerna (kontroll eller kontroll)

Session

Sessionskontroller kan begränsa användarnas upplevelse.

• Använd apptvingande begränsningar:
  • Fungerar för närvarande endast med Exchange Online och SharePoint Online.
  • Skickar enhetsinformation för att tillåta kontroll över funktioner som ger fullständig eller begränsad åtkomst.
• Använd appkontroll för villkorsstyrd åtkomst:
  • Använder signaler från Microsoft Defender för molnet Apps för att göra saker som:
    • Blockera nedladdning, klipp ut, kopiera och skriv ut känsliga dokument.
    • Övervaka riskfyllda sessionsbeteenden.
    • Kräv etikettering av känsliga filer.
• Inloggningsfrekvens:
  • Möjlighet att ändra standardinloggningsfrekvensen för modern autentisering.
• Beständiga webbläsarsessioner:
  • Tillåter att användare förblir inloggade när de har stängt och öppnat webbläsarfönstret igen.
• Anpassa utvärdering av kontinuerlig åtkomst
• Inaktivera standardvärden för motståndskraft

Enkla principer

En princip för villkorsstyrd åtkomst måste innehålla minst följande som ska tillämpas:

• Namnet på principen.
• Tilldelningar
  • Användare och/eller grupper som principen ska tillämpas på.
  • Molnappar eller åtgärder som principen ska tillämpas på.
• Åtkomstkontroller
  • Bevilja eller blockera kontroller

Artikeln Vanliga principer för villkorsstyrd åtkomst innehåller vissa principer som vi tror skulle vara användbara för de flesta organisationer.

Relaterat innehåll

• Skapa en princip för villkorsstyrd åtkomst

• Hantera enhetsefterlevnad med Intune

• Microsoft Defender för molnet-appar och villkorlig åtkomst