Dela via

Vad är villkorlig åtkomst?

Modern säkerhet sträcker sig utanför en organisations nätverksperimeter och omfattar användar- och enhetsidentitet. Organisationer använder nu identitetsdrivna signaler som en del av sina beslut om åtkomstkontroll. Villkorsstyrd åtkomst i Microsoft Entra samlar signaler, fattar beslut och tillämpar organisationsprinciper. Villkorsstyrd åtkomst är Microsofts nollförtroendeprincipmotor som tar hänsyn till signaler från olika källor när principbeslut verkställs.

Diagram som visar begreppet signaler för villkorsstyrd åtkomst samt beslut om att tillämpa organisationsprincip.

Principer för villkorsstyrd åtkomst är som enklast if-then-instruktioner. Om en användare vill komma åt en resurs måste de slutföra en åtgärd. Exempel: Om en användare vill komma åt ett program eller en tjänst som Microsoft 365 måste de utföra multifaktorautentisering för att få åtkomst.

Administratörerna har två primära mål:

  • Underlätta för användarna att vara produktiva oavsett tid och plats
  • Skydda organisationens tillgångar

Använd principer för villkorlig åtkomst för att tillämpa rätt åtkomstkontroller när det behövs för att skydda din organisation.

Viktigt!

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations främsta försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Vanliga signaler

Villkorlig åtkomst använder signaler från olika källor för att fatta åtkomstbeslut.

Diagram som visar villkorsstyrd åtkomst som Zero Trust-policymotorn som aggregerar signaler från olika källor.

Dessa signaler omfattar:

  • Användar- eller gruppmedlemskap
    • Principer kan riktas mot specifika användare och grupper som ger administratörer detaljerad kontroll över åtkomsten.
  • Information om IP-plats
    • Organisationer kan skapa betrodda IP-adressintervall som kan användas när de fattar principbeslut.
    • Administratörer kan ange hela länder eller regioners IP-intervall för att blockera eller tillåta trafik från.
  • Apparat
    • Användare med enheter på specifika plattformar eller markerade med ett visst tillstånd kan användas när principer för villkorsstyrd åtkomst tillämpas.
    • Använd filter för enheter för att rikta principer till specifika enheter, till exempel arbetsstationer för privilegierad åtkomst.
  • Applikation
    • Utlös olika principer för villkorlig åtkomst när användare försöker komma åt specifika program.
  • Realtids- och beräknad riskdetektering
  • Microsoft Defender för Molnappar
    • Övervaka och kontrollera åtkomst och sessioner för användarprogram i realtid. Den här integreringen förbättrar synligheten och kontrollen över åtkomst och aktiviteter i din molnmiljö.

Vanliga beslut

  • Blockera åtkomst är det mest restriktiva beslutet.
  • Bevilja åtkomst.
  • Ett mindre restriktivt beslut som kan kräva ett eller flera av följande alternativ:
    • Kräv multifaktorautentisering.
    • Kräv autentiseringsstyrka.
    • Kräv att enheten markeras som kompatibel.
    • Kräv en hybrid-ansluten Microsoft Entra-enhet.
    • Kräv en godkänd klientapp.
    • Kräv en appskyddspolicy.
    • Kräv en lösenordsändring.
    • Kräv användningsvillkor.

Principer som tillämpas ofta

Många organisationer har vanliga problem med åtkomst som principer för villkorsstyrd åtkomst kan hjälpa dig med, till exempel:

  • Kräva multifaktorautentisering för användare med administrativa roller
  • Kräva multifaktorautentisering för Azure-hanteringsuppgifter
  • Blockera inloggningar för användare som försöker använda protokoll med äldre autentisering
  • Kräva betrodda platser för registrering av säkerhetsinformation
  • Blockera eller bevilja åtkomst från specifika platser
  • Blockera riskfyllda inloggningsbeteenden
  • Kräva organisationshanterade enheter för specifika program

Administratörer kan skapa principer från grunden eller börja med en mallprincip i portalen eller med hjälp av Microsoft Graph API.

Admin upplevelse

Administratörer med rollen Administratör för villkorlig åtkomst kan hantera principer.

Du hittar villkorlig åtkomst i administrationscentret för Microsoft Entra underVillkorsstyrd åtkomst för >.

Skärmbild av översiktssidan för villkorsstyrd åtkomst.

  • Sidan Översikt visar en sammanfattning av principtillstånd, användare, enheter och program, tillsammans med allmänna och säkerhetsaviseringar med förslag.
  • Sidan Täckning visar en sammanfattning av program med och utan principtäckning för villkorsstyrd åtkomst under de senaste sju dagarna.
  • På sidan Övervakning kan administratörer se ett diagram över inloggningar som kan filtreras för att se potentiella luckor i principtäckningen.

Principer för villkorsstyrd åtkomst på sidan Principer kan filtreras av administratörer baserat på objekt som aktör, målresurs, villkor, kontroll som tillämpas, tillstånd eller datum. Med den här filtreringsförmågan kan administratörer snabbt hitta specifika principer baserat på deras konfiguration.

Optimeringsagent för villkorsstyrd åtkomst

Optimeringsagenten för villkorsstyrd åtkomst (förhandsversion) med Microsoft Security Copilot föreslår nya principer och ändringar av befintliga principer baserat på Zero Trust-principer och Microsofts bästa praxis. Använd med ett klick förslaget för att automatiskt uppdatera eller skapa en princip för villkorsstyrd åtkomst. Agenten behöver minst Microsoft Entra ID P1-licensen och SCU (Security Compute Units).

Licenskrav

För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Microsoft Entra-ID.

Kunder med Microsoft 365 Business Premium-licenser kan också använda funktioner för villkorsstyrd åtkomst.

Andra produkter och funktioner som interagerar med principer för villkorsstyrd åtkomst kräver lämplig licensiering för dessa produkter och funktioner. Detta inkluderar Microsoft Entra-arbetsbelastnings-ID, Microsoft Entra ID Protection och Microsoft Purview.

När de licenser som krävs för villkorsstyrd åtkomst upphör att gälla inaktiveras inte principer eller tas bort automatiskt. Med det här graciösa tillståndet kan kunder migrera bort från principer för villkorsstyrd åtkomst utan att plötsligt ändra sin säkerhetsstatus. Du kan visa och ta bort återstående principer, men du kan inte uppdatera dem.

Säkerhetsstandarder hjälper till att skydda mot identitetsrelaterade attacker och är tillgängliga för alla kunder.

Nolltillit

Den här funktionen hjälper organisationer att anpassa sina identiteter till de tre vägledande principerna i en Zero Trust-arkitektur:

  • Verifiera explicitivt
  • Använd minst behörighet
  • Förutsätt intrång

Mer information om Noll förtroende och andra sätt att anpassa din organisation till de vägledande principerna finns i Vägledningscenter för noll förtroende.

Nästa steg