Ange principer för villkorlig åtkomst
Villkorsstyrd åtkomst är skydd av reglerat innehåll i ett system genom att kräva att vissa kriterier uppfylls innan åtkomst till innehållet beviljas. De enklaste principerna för villkorsstyrd åtkomst är if-then-instruktioner. Om en användare vill komma åt en resurs måste de slutföra en åtgärd. En löneansvarig vill till exempel ha åtkomst till löneprogrammet och måste utföra multifaktorautentisering (MFA) för att göra det.
Med villkorlig åtkomst kan du uppnå två primära mål:
- Ge användarna möjlighet att vara produktiva var som helst när som helst.
- Skydda organisationens tillgångar.
Genom att använda principer för villkorsstyrd åtkomst kan du tillämpa rätt åtkomstkontroller när det behövs för att skydda din organisation och hålla dig borta från användaren när det inte behövs.
Hur ofta en användare uppmanas att autentisera på nytt beror på konfigurationsinställningarna för Microsoft Entra-sessionslivslängd. Det är praktiskt att komma ihåg autentiseringsuppgifter, men det kan också göra distributioner för Enterprise-scenarier med personliga enheter mindre säkra. För att skydda dina användare kan du se till att klienten frågar efter autentiseringsuppgifter för Microsoft Entra-multifaktorautentisering oftare. Du kan använda inloggningsfrekvensen för villkorsstyrd åtkomst för att konfigurera det här beteendet.
Tilldela en princip för villkorlig åtkomst för molndatorer
Principer för villkorsstyrd åtkomst har inte angetts för din klientorganisation som standard. Du kan rikta CA-principer till Cloud PC-appen från första part med någon av följande plattformar:
- Blått. Mer information finns i Villkorsstyrd åtkomst för Microsoft Entra.
- Microsoft Intune. Stegen nedan förklarar den här processen. Mer information finns i Läs mer om villkorlig åtkomst och Intune.
Oavsett vilken metod du använder tillämpas principerna på cloud pc-slutanvändarportalen och anslutningen till molndatorn.
Logga in på administrationscentret för Microsoft Intune och välj Slutpunktssäkerhet>Villkorlig åtkomst>Skapa ny princip.
Ange ett namn för din specifika princip för villkorsstyrd åtkomst.
Under Användare väljer du 0 användare och grupper valda.
Under fliken Inkludera väljer du Välj användare och grupper> och markerar Användare och grupper> under Välj, väljer 0 användare och grupper valda.
I det nya fönstret som öppnas söker du efter och väljer den specifika användare eller grupp som du vill rikta in dig på med CA-principen och väljer sedan Välj.
Under Målresurser väljer du Inga målresurser har valts.
Under fliken Inkludera väljer du Välj appar> under Välj och väljer Ingen.
I fönstret Välj söker du efter och väljer följande appar baserat på de resurser som du försöker skydda:
- Windows 365 (app-ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Du kan också söka efter "moln" för att hitta den här appen. Den här appen används när du hämtar listan över resurser för användaren och när användare initierar åtgärder på sin molndator, till exempel Starta om.
- Azure Virtual Desktop (app-ID 9cdead84-a844-4324-93f2-b2e6bb768d07). Den här appen kan också visas som Windows Virtual Desktop. Den här appen används för att autentisera till Azure Virtual Desktop Gateway under anslutningen och när klienten skickar diagnostikinformation till tjänsten.
- Microsoft Remote Desktop (app-ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) och Windows Cloud Login (app-ID 270efc09-cd0d-444b-a71f-39af4910ec45). Dessa appar behövs bara när du konfigurerar enkel inloggning i en etableringsprincip. Dessa appar används för att autentisera användare till molndatorn.
Vi rekommenderar att du matchar principer för villkorlig åtkomst mellan dessa appar. Detta säkerställer att principen gäller för Cloud PC-slutanvändarportalen, anslutningen till gatewayen och molndatorn för en konsekvent upplevelse. Om du vill exkludera appar måste du också välja alla dessa appar.
Viktigt
När enkel inloggning är aktiverat använder autentisering till Cloud PC Microsoft Remote Desktop Entra ID-appen idag. En kommande ändring kommer att överföra autentiseringen till Windows Cloud Login Entra ID-appen. För att säkerställa en smidig övergång måste du lägga till båda Entra-ID-apparna i dina CA-principer.
Obs!
Om du inte ser Windows Cloud Login-appen när du konfigurerar principen för villkorlig åtkomst använder du stegen nedan för att skapa appen. Du måste ha ägar- eller deltagarbehörighet för prenumerationen för att göra dessa ändringar:
- Logga in på Azure-portalen.
- Välj Prenumerationer i listan över Azure-tjänster.
- Välj ditt prenumerationsnamn.
- Välj Resursprovidrar och välj sedan Microsoft.DesktopVirtualization.
- Välj Registrera längst upp.
När resursprovidern har registrerats visas Windows Cloud Login-appen i principkonfigurationen för villkorsstyrd åtkomst när du väljer appar som principen ska tillämpas på. Om du inte använder Azure Virtual Desktop kan du avregistrera resursprovidern Microsoft.DesktopVirtualization när Windows Cloud Login-appen är tillgänglig.
Om du vill finjustera principen går du till Bevilja och väljer 0 kontroller valda.
I fönstret Bevilja väljer du de alternativ för att bevilja eller blockera åtkomst som du vill använda för alla objekt som har tilldelats den här principen >Välj.
Om du vill testa principen först går du till Aktivera princip och väljer Endast rapport. Om du ställer in den på På tillämpas principen så snart du skapar den.
Välj Skapa för att skapa principen.
Du kan se din lista över aktiva och inaktiva principer i vyn Principer i användargränssnittet för villkorsstyrd åtkomst.
Konfigurera inloggningsfrekvens
Med principer för inloggningsfrekvens kan du konfigurera hur ofta användare måste logga in vid åtkomst till Microsoft Entra-baserade resurser. Detta kan skydda din miljö och är särskilt viktigt för personliga enheter, där det lokala operativsystemet kanske inte kräver MFA eller kanske inte låses automatiskt efter inaktivitet. Användare uppmanas att endast autentisera när en ny åtkomsttoken begärs från Microsoft Entra-ID vid åtkomst till en resurs.
Principer för inloggningsfrekvens resulterar i olika beteenden baserat på vilken Microsoft Entra-app som valts:
Appnamn | App-ID | Beteende |
---|---|---|
Windows 365 | 0af06dc6-e4b5-4f28-818e-e78e62d137a5 | Framtvingar omautentisering när en användare hämtar sin lista över molndatorer och när användare initierar åtgärder på sin molndator som Starta om. |
Azure virtuellt skrivbord | 9cdead84-a844-4324-93f2-b2e6bb768d07 | Framtvingar omautentisering när en användare autentiserar till Azure Virtual Desktop Gateway under en anslutning. |
Microsoft Fjärrskrivbord Windows Cloud-inloggning |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Framtvingar omautentisering när en användare loggar in på molndatorn när enkel inloggning är aktiverat. Båda apparna bör konfigureras tillsammans eftersom klienterna snart kommer att växla från att använda Microsoft Remote Desktop-appen till Windows Cloud Login-appen för att autentisera till molndatorn. |
Så här konfigurerar du den tidsperiod efter vilken en användare uppmanas att logga in igen:
- Öppna principen som du skapade tidigare.
- Under Session väljer du 0 kontroller valda.
- I fönstret Session väljer du Inloggningsfrekvens.
- Välj Periodisk omautentisering eller Varje gång.
- Om du väljer Periodisk omautentisering anger du värdet för den tidsperiod efter vilken en användare uppmanas att logga in igen när de utför en åtgärd som kräver en ny åtkomsttoken och väljer sedan Välj. Om du till exempel anger värdet till 1 och enheten till Timmar, krävs multifaktorautentisering om en anslutning startas mer än en timme efter den senaste användarautentiseringen.
- Alternativet Varje gång är för närvarande tillgängligt som förhandsversion och stöds endast när det tillämpas på Microsoft Remote Desktop - och Windows Cloud Login-appar när enkel inloggning är aktiverat för dina molndatorer. Om du väljer Varje gång uppmanas användarna att autentiseras igen när de startar en ny anslutning efter en period på 5 till 10 minuter sedan den senaste autentiseringen.
- Längst ned på sidan väljer du Spara.
Obs!
- Omautentisering sker endast när en användare måste autentisera till en resurs och en ny åtkomsttoken behövs. När en anslutning har upprättats tillfrågas inte användarna även om anslutningen varar längre än den inloggningsfrekvens som du har konfigurerat.
- Användarna måste autentiseras igen om det uppstår ett nätverksstörningar som tvingar sessionen att återupprättas efter den inloggningsfrekvens som du har konfigurerat. Detta kan leda till mer frekventa autentiseringsbegäranden i instabila nätverk.