Dela via


Villkorsstyrd åtkomst: Filter för program

För närvarande kan principer för villkorsstyrd åtkomst tillämpas på alla appar eller enskilda appar. Organisationer med ett stort antal appar kan ha svårt att hantera den här processen i flera principer för villkorsstyrd åtkomst.

Programfilter för villkorsstyrd åtkomst gör det möjligt för organisationer att tagga tjänstens huvudnamn med anpassade attribut. Dessa anpassade attribut läggs sedan till i deras principer för villkorsstyrd åtkomst. Filter för program utvärderas vid tokenutfärdningskörning, en vanlig fråga är om appar tilldelas vid körning eller konfiguration.

I det här dokumentet skapar du en anpassad attributuppsättning, tilldelar ett anpassat säkerhetsattribut till ditt program och skapar en princip för villkorsstyrd åtkomst för att skydda programmet.

Tilldela roller

Anpassade säkerhetsattribut är säkerhetskänsliga och kan endast hanteras av delegerade användare. En eller flera av följande roller bör tilldelas till de användare som hanterar eller rapporterar om dessa attribut.

Rollnamn beskrivning
Attributtilldelningsadministratör Tilldela anpassade säkerhetsattributnycklar och -värden till Microsoft Entra-objekt som stöds.
Attributtilldelningsläsare Läs anpassade nycklar och värden för säkerhetsattribut för Microsoft Entra-objekt som stöds.
Attributdefinitionsadministratör Definiera och hantera definitionen av anpassade säkerhetsattribut.
Attributdefinitionsläsare Läs definitionen av anpassade säkerhetsattribut.

Tilldela lämplig roll till de användare som hanterar eller rapporterar om dessa attribut i katalogomfånget. Detaljerade steg finns i Tilldela en roll.

Viktigt!

Som standard har global administratör och andra administratörsroller inte behörighet att läsa, definiera eller tilldela anpassade säkerhetsattribut.

Skapa anpassade säkerhetsattribut

Följ anvisningarna i artikeln Lägg till eller inaktivera anpassade säkerhetsattribut i Microsoft Entra-ID för att lägga till följande attributuppsättning och Nya attribut.

  • Skapa en attributuppsättning med namnet ConditionalAccessTest.
  • Skapa nya attribut med namnet policyKrav som Tillåter att flera värden tilldelas och Tillåt endast fördefinierade värden att tilldelas. Vi lägger till följande fördefinierade värden:
    • legacyAuthAllowed
    • blockGuestUsers
    • requireMFA
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

En skärmbild som visar anpassat säkerhetsattribut och fördefinierade värden i Microsoft Entra-ID.

Kommentar

Filter för villkorsstyrd åtkomst för program fungerar endast med anpassade säkerhetsattribut av typen "sträng". Anpassade säkerhetsattribut stöder skapande av boolesk datatyp, men principen för villkorsstyrd åtkomst stöder endast "sträng".

Skapa en princip för villkorsstyrd åtkomst

En skärmbild som visar en princip för villkorsstyrd åtkomst med redigeringsfilterfönstret som visar ett attribut för Kräv MFA.

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorlig åtkomst och attributdefinitionsläsare.
  2. Bläddra till Villkorlig åtkomst för skydd>.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
    3. Välj Klar.
  6. Under Målresurser väljer du följande alternativ:
    1. Välj vad den här principen gäller för molnappar.
    2. Inkludera Välj resurser.
    3. Välj Redigera filter.
    4. Ställ in KonfigureraJa.
    5. Välj attributet som vi skapade tidigare med namnet policyRequirement.
    6. Ange Operator till Contains.
    7. Ange Värde för att krävaMFA.
    8. Välj Klar.
  7. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst, Kräv multifaktorautentisering och väljer Välj.
  8. Bekräfta inställningarna och ange Aktivera princip till Endast rapport.
  9. Välj Skapa för att skapa för att aktivera principen.

När administratörerna har bekräftat inställningarna med läget endast rapport kan de flytta växlingsknappen Aktivera princip från Endast rapport till .

Konfigurera anpassade attribut

Steg 1: Konfigurera ett exempelprogram

Om du redan har ett testprogram som använder tjänstens huvudnamn kan du hoppa över det här steget.

Konfigurera ett exempelprogram som visar hur ett jobb eller en Windows-tjänst kan köras med en programidentitet i stället för en användares identitet. Följ anvisningarna i artikeln Snabbstart: Hämta en token och anropa Microsoft Graph API med hjälp av en konsolapps identitet för att skapa det här programmet.

Steg 2: Tilldela ett anpassat säkerhetsattribut till ett program

När du inte har ett huvudnamn för tjänsten i din klientorganisation kan det inte vara riktat. Office 365-paketet är ett exempel på ett sådant huvudnamn för tjänsten.

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst~/identitet/rollbaserad åtkomstkontroll/behörighetsreferens.md#villkorlig åtkomstadministratör) och attributtilldelningsadministratör.
  2. Bläddra till Identity>Applications Enterprise-program.>
  3. Välj tjänstens huvudnamn som du vill använda ett anpassat säkerhetsattribut för.
  4. Under Hantera>anpassade säkerhetsattribut väljer du Lägg till tilldelning.
  5. Under Attributuppsättning väljer du ConditionalAccessTest.
  6. Under Attributnamn väljer du principBegäran.
  7. Under Tilldelade värden väljer du Lägg till värden, väljer KrävMFA i listan och väljer sedan Klar.
  8. Välj Spara.

Steg 3: Testa principen

Logga in som en användare som principen gäller för och testa för att se att MFA krävs vid åtkomst till programmet.

Andra scenarier

  • Blockera äldre autentisering
  • Blockera extern åtkomst till program
  • Kräva kompatibla enhets- eller Intune-appskyddsprinciper
  • Framtvinga kontroller för inloggningsfrekvens för specifika program
  • Kräva en arbetsstation för privilegierad åtkomst för specifika program
  • Kräv sessionskontroller för högriskanvändare och specifika program

Mallar för villkorsstyrd åtkomst

Fastställa effekten med hjälp av rapportläge för villkorsstyrd åtkomst

Använd rapportläge för villkorsstyrd åtkomst för att fastställa resultatet av nya principbeslut.