Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Målresurser (tidigare molnappar, åtgärder och autentiseringskontext) är viktiga signaler i en princip för villkorsstyrd åtkomst. Principer för villkorsstyrd åtkomst låter administratörer tilldela kontroller till specifika program, tjänster, åtgärder eller autentiseringskontext.
- Administratörer kan välja från listan över program eller tjänster som innehåller inbyggda Microsoft-program och alla Microsoft Entra-integrerade program, inklusive galleri, icke-galleri och program som publicerats via Programproxy.
- Administratörer kan definiera en princip baserat på en användaråtgärd som Registrera säkerhetsinformation eller Registrera eller ansluta enheter, så att villkorsstyrd åtkomst kan framtvinga kontroller kring dessa åtgärder.
- Administratörer kan rikta trafikvidarebefordringsprofiler från Global Secure Access för ökad funktionalitet.
- Administratörer kan använda autentiseringskontexten för att tillhandahålla ett extra säkerhetslager i program.
Microsoft-molnprogram
Administratörer kan tillämpa en villkorsstyrd åtkomstpolicy till Microsoft-molnappar om service principal visas i deras tenant, med undantag för Microsoft Graph. Microsoft Graph fungerar som en paraplyresurs. Använd Målgruppsrapportering för att se de underliggande tjänsterna och rikta in dig på dessa tjänster i dina principer. Vissa appar som Office 365 och Windows Azure Service Management API innehåller flera relaterade underordnade appar eller tjänster. När nya Microsoft-molnapplikationer skapas visas de i applikationsväljaren så snart tjänstehuvudnamnet har skapats i klientorganisationen.
Office 365
Microsoft 365 erbjuder molnbaserade produktivitets- och samarbetstjänster som Exchange, SharePoint och Microsoft Teams. Microsoft 365-molntjänster är djupt integrerade för att säkerställa smidiga och samarbetsinriktade upplevelser. Den här integreringen kan orsaka förvirring när du skapar principer eftersom vissa appar, till exempel Microsoft Teams, är beroende av andra, till exempel SharePoint eller Exchange.
Office 365-appgruppering gör det möjligt att rikta in sig på dessa tjänster samtidigt. Vi rekommenderar att du använder Office 365-gruppering i stället för att rikta in dig på enskilda molnappar för att undvika problem med tjänstberoenden.
Om du riktar in dig på den här programgruppen kan du undvika problem som kan uppstå på grund av inkonsekventa principer och beroenden. Till exempel: Exchange Online-appen är kopplad till traditionella Exchange Online-data som e-post, kalender och kontaktinformation. Relaterade metadata kan exponeras via olika resurser som sökning. För att säkerställa att alla metadata skyddas av på avsett sätt bör administratörer tilldela principer till Office 365-appen.
Administratörer kan undanta hela Office 365-paketet eller specifika Office 365-molnappar från principer för villkorsstyrd åtkomst.
En fullständig lista över alla tjänster som ingår finns i artikeln Appar som ingår i Office 365-apppaketet för villkorsstyrd åtkomst.
Windows Azure Service Management API
När du riktar in dig på Windows Azure Service Management API-applikationen tillämpas en policy för tokens som utfärdas på ett antal tjänster nära kopplade till portalen. Den här grupperingen innehåller app-ID:t för:
- Azure Resource Manager
- Azure-portalen, som även omfattar administrationscentret för Microsoft Entra och Microsoft Engage Center
- Azure Data Lake
- API för Application Insights
- API för Log Analytics
Eftersom principen tillämpas på Azure-hanteringsportalen och API:et kan alla tjänster eller klienter som är beroende av Azure API påverkas indirekt. Till exempel:
- Azure CLI
- Azure Data Factory-portalen
- Azure Event Hubs
- Azure PowerShell
- Azure Service Bus (Azure-tjänstbuss)
- Azure SQL Database
- Azure Synapse
- API:er för klassisk distributionsmodell
- Microsoft 365 administrationcenter
- Microsoft IoT Central
- SQL-hanterad instans
- Administratörsportal för Visual Studio-prenumerationer
Försiktighet
Principer för villkorsstyrd åtkomst som är associerade med Windows Azure Service Management API omfattar inte längre Azure DevOps.
Note
Api-programmet för Windows Azure Service Management gäller för Azure PowerShell, som anropar Azure Resource Manager-API:et. Den gäller inte för Microsoft Graph PowerShell, som anropar Microsoft Graph API.
Tip
För Azure Government bör du rikta in dig på Azure Government Cloud Management API-programmet.
Microsoft Administratörsportaler
När en princip för villkorsstyrd åtkomst riktar sig mot Microsoft Admin Portals-molnappen tillämpas principen för token som utfärdats till app-ID:t för följande administrationsportaler i Microsoft:
- Azure portal
- Exchange-administrationscenter
- Microsoft 365 administrationcenter
- Microsoft 365 Defender-portalen
- Microsoft Entra admincenter
- administrationscenter för Microsoft Intune
- Efterlevnadsportal i Microsoft Purview
- Administrationscenter för Microsoft Teams
Vi lägger kontinuerligt till fler administrativa portaler i listan.
Andra applikationer
Administratörer kan lägga till alla Microsoft Entra-registrerade program i principer för villkorsstyrd åtkomst. Dessa applikationer kan omfatta:
- Program som publiceras via Microsoft Entra-programproxy
- Program som lagts till från galleriet
- Anpassade program som inte finns i galleriet
- Legacy-applikationer publicerade genom applikationsleveranskontroller och nätverk
- Program som använder lösenordsbaserad enkel inloggning
Note
Eftersom principen för villkorsstyrd åtkomst anger kraven för åtkomst till en tjänst kan du inte tillämpa den på ett klientprogram (offentligt/internt). Med andra ord anges principen inte direkt i ett klientprogram (offentligt/internt), utan tillämpas när en klient anropar en tjänst. En principuppsättning för SharePoint-tjänsten gäller till exempel för alla klienter som anropar SharePoint. Och en policy som angetts för Exchange gäller vid försök att få åtkomst till e-post med Outlook-klienten. Därför är klientprogram (offentliga/interna) inte tillgängliga för val i appväljaren och alternativet Villkorlig åtkomst är inte tillgängligt i programinställningarna för klientprogrammet (offentligt/internt) som registrerats i klientorganisationen.
Vissa program visas inte i väljaren alls. Det enda sättet att inkludera dessa program i en princip för villkorsstyrd åtkomst är att inkludera Alla resurser (tidigare "Alla molnappar") eller lägga till tjänstens huvudnamn som saknas med hjälp av Cmdleten New-MgServicePrincipal PowerShell eller med hjälp av Microsoft Graph API.
Förstå villkorsstyrd åtkomst för olika klienttyper
Villkorsstyrd åtkomst gäller för resurser som inte är klienter, förutom när klienten är en konfidentiell klient som begär en ID-token.
- Offentlig klient
- Offentliga klienter är de som körs lokalt på enheter som Microsoft Outlook på skrivbordet eller mobilappar som Microsoft Teams.
- Principer för villkorsstyrd åtkomst gäller inte för offentliga klienter själva, men baseras på de resurser som de begär.
- Konfidentiell klient
- Villkorsstyrd åtkomst gäller för de resurser som begärs av klienten och själva den konfidentiella klienten om den begär en ID-token.
- Exempel: Om Outlook Web begär en token för omfång
Mail.ReadochFiles.Readtillämpar villkorsstyrd åtkomst principer för Exchange och SharePoint. Om Outlook Web begär en ID-token tillämpar villkorsstyrd åtkomst även principerna för Outlook Web.
Så här visar du inloggningsloggar för dessa klienttyper från administrationscentret för Microsoft Entra:
- Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
- Bläddra till Entra ID>Övervakning & hälsa>Inloggningsloggar.
- Lägg till ett filter för klientens autentiseringstyp.
- Justera filtret för att visa en specifik uppsättning loggar baserat på klientautentiseringsuppgifterna som användes vid inloggningen.
Mer information finns i artikeln Offentliga klientprogram och konfidentiella klientprogram.
Alla resurser
Om du tillämpar en princip för villkorsstyrd åtkomst på Alla resurser (tidigare "Alla molnappar") utan några appundantag tillämpas principen för alla tokenbegäranden från webbplatser och tjänster, inklusive profiler för vidarebefordran av global säker åtkomsttrafik. Det här alternativet innehåller program som inte är individuellt målbara i principen för villkorsstyrd åtkomst, till exempel Windows Azure Active Directory (00000002-0000-0000-c0000-000000000000000).
Important
Microsoft rekommenderar att du skapar en baslinjeprincip för multifaktorautentisering som riktar sig till alla användare och alla resurser (utan några appundantag), som den som beskrivs i Kräv multifaktorautentisering för alla användare.
Beteende för villkorsstyrd åtkomst när en princip för alla resurser har ett appundantag
Om någon app undantas från principen utesluts vissa omfång med låg behörighet från principtillämpning för att inte oavsiktligt blockera användaråtkomst. Dessa omfång tillåter anrop till underliggande Graph API:er, till exempel Windows Azure Active Directory (00000002-0000-0000-c000-00000000000) och Microsoft Graph (00000003-0000-0000-c00000000000000000) för att få åtkomst till information om användarprofil och gruppmedlemskap som ofta används av program som en del av autentiseringen. Till exempel: när Outlook begär en token för Exchange ber den också om User.Read omfång för att kunna visa den aktuella användarens grundläggande kontoinformation.
De flesta appar har ett liknande beroende, vilket är anledningen till att områden med låg behörighet automatiskt utesluts när det finns ett appundantag i en policy för alla resurser. Dessa undantag med låg behörighet tillåter inte dataåtkomst utöver grundläggande användarprofil- och gruppinformation. De undantagna omfången visas på följande sätt. Medgivande krävs fortfarande för att appar ska kunna använda dessa behörigheter.
- Interna klienter och ensidesprogram (SPA) har åtkomst till följande omfång med låg behörighet:
- Azure AD Graph:
email,offline_access,openid, ,profileUser.Read - Microsoft Graph:
email,offline_access,openid,profile, ,User.ReadPeople.Read
- Azure AD Graph:
- Konfidentiella klienter har åtkomst till följande omfång med låg behörighet, om de är undantagna från principen Alla resurser :
- Azure AD Graph:
email,offline_access,openid,profile,User.Read, ,User.Read.AllUser.ReadBasic.All - Microsoft Graph:
email,offline_access,openid,profile,User.Read,User.Read.All,User.ReadBasic.All,People.Read,People.Read.All, ,GroupMember.Read.All,Member.Read.Hidden
- Azure AD Graph:
Mer information om de omfång som nämns finns i Microsoft Graphs behörighetsreferens och Omfång och behörigheter i Microsofts Identitetsplattform .
Skydda kataloginformation
Om den rekommenderade MFA-baslinjeprincipen utan appundantag inte kan konfigureras på grund av affärsskäl, och organisationens säkerhetsprincip måste innehålla katalogrelaterade omfång med låg behörighet (User.Read, , User.Read.AllUser.ReadBasic.AllPeople.Read, People.Read.All, GroupMember.Read.All, ), Member.Read.Hiddenskapar du en separat princip för Windows Azure Active Directory villkorlig åtkomst (00000002-0000-0000-c0000-00000000000000). Windows Azure Active Directory (kallas även Azure AD Graph) är en resurs som representerar data som lagras i katalogen, till exempel användare, grupper och program. Windows Azure Active Directory-resursen ingår i Alla resurser men kan riktas individuellt i principer för villkorsstyrd åtkomst med hjälp av följande steg:
- Logga in på administrationscentret för Microsoft Entra som administratör för attributdefinition och attributtilldelningsadministratör.
- Bläddra tillAnpassade säkerhetsattribut för >.
- Skapa en ny attributuppsättning och attributdefinition. Mer information finns i Lägga till eller inaktivera anpassade definitioner av säkerhetsattribut i Microsoft Entra-ID.
- Bläddra till Entra ID>Enterprise-appar.
- Ta bort filtret Programtyp och sök efter program-ID som börjar med 00000002-0000-0000-c000-000000000000.
- VäljAnpassade säkerhetsattribut> för Windows Azure Active Directory>Lägg till tilldelning.
- Välj attributuppsättningen och attributvärdet som du planerar att använda i principen.
- Bläddra till Entra-ID>Villkorsstyrd åtkomst>Principer.
- Skapa eller ändra en befintlig princip.
- Under Målresurser>Resurser (tidigare molnappar)>Inkludera väljer du >Välj resurser>Redigera filter.
- Justera filtret så att det inkluderar din attributuppsättning och definition från tidigare.
- Spara principen
Note
Konfigurera den här principen enligt beskrivningen i vägledningen ovan. Eventuella avvikelser i skapandet av principen enligt beskrivningen (till exempel att definiera appundantag) kan leda till att omfång med låg behörighet undantas och att principen inte tillämpas som avsett.
Alla Internetresurser med global säker åtkomst
Med alternativet Alla Internetresurser med global säker åtkomst kan administratörer rikta in sig på vidarebefordransprofilen för internetåtkomsttrafik från Microsoft Entra Internet Access.
Dessa profiler i Global säker åtkomst gör det möjligt för administratörer att definiera och styra hur trafik dirigeras via Microsoft Entra Internet Access och Microsoft Entra Private Access. Profiler för vidarebefordran av trafik kan tilldelas till enheter och fjärrnätverk. Ett exempel på hur du tillämpar en princip för villkorsstyrd åtkomst på dessa trafikprofiler finns i artikeln Så här tillämpar du principer för villkorsstyrd åtkomst på Microsoft 365-trafikprofilen.
Mer information om dessa profiler finns i artikeln Global Secure Access traffic forwarding profiles.
Användaråtgärder
Användaråtgärder är uppgifter som en användare utför. Villkorlig åtkomst stöder två användaråtgärder:
- Registrera säkerhetsinformation: Med den här användaråtgärden kan principer för villkorsstyrd åtkomst tillämpa regler när användare försöker registrera sin säkerhetsinformation. Mer information finns i Kombinerad registrering av säkerhetsinformation.
Note
Om administratörer tillämpar en regel för användaråtgärder för att registrera säkerhetsinformation och användarkontot är en gäst från ett Personligt Microsoft-konto (MSA), kräver kontrollen Kräv multifaktorautentisering att MSA-användaren registrerar säkerhetsinformation med organisationen. Om gästanvändaren kommer från en annan leverantör, till exempel Google, blockeras åtkomsten.
-
Registrera eller ansluta enheter: Med den här användaråtgärden kan administratörer tillämpa principen för villkorsstyrd åtkomst när användare registrerar eller ansluter enheter till Microsoft Entra-ID. Det gör att administratörer kan konfigurera multifaktorautentisering för registrering eller anslutning av enheter med mer kornighet än en princip för hela klientorganisationen. Det finns tre viktiga överväganden med den här användaråtgärden:
-
Require multifactor authenticationochRequire auth strengthär de enda åtkomstkontroller som är tillgängliga med den här användaråtgärden och alla andra är inaktiverade. Den här begränsningen förhindrar konflikter med åtkomstkontroller som antingen är beroende av Registrering av Microsoft Entra-enheter eller som inte är tillämpliga för Registrering av Microsoft Entra-enheter.- Windows Hello för företag och enhetsbundna nycklar stöds inte eftersom dessa scenarier kräver att enheten redan är registrerad.
-
Client apps,Filters for devicesochDevice statevillkor är inte tillgängliga med den här användaråtgärden eftersom de är beroende av Microsoft Entra-enhetsregistrering för att tillämpa principer för villkorsstyrd åtkomst.
-
Warning
Om en princip för villkorsstyrd åtkomst har konfigurerats med användaråtgärden Registrera eller ansluta enheter ställer du in Entra ID-enheter>>Översikt enhetsinställningar> - Require Multifactor Authentication to register or join devices with Microsoft Entra på Nej. Annars tillämpas inte principer för villkorsstyrd åtkomst med den här användaråtgärden korrekt. Läs mer om den här enhetsinställningen i Konfigurera enhetsinställningar.
Autentiseringskontext
Autentiseringskontexten skyddar data och åtgärder i program, inklusive anpassade program, verksamhetsspecifika program, SharePoint och program som skyddas av Microsoft Defender för Cloud Apps.
En organisation kan till exempel lagra filer på SharePoint-webbplatser, till exempel en lunchmeny eller ett hemligt bbq-såsrecept. Alla kan komma åt lunchmenyn, men användare som kommer åt den hemliga BBQ-sås receptwebbplatsen kan behöva använda en hanterad enhet och godkänna specifika användningsvillkor.
Autentiseringskontexten fungerar med användare eller workload identities, men inte i samma villkorliga åtkomstprincip.
Konfigurera autentiseringskontexter
Hantera autentiseringskontexter genom att gå till entra-ID-kontext för villkorsstyrd>åtkomstautentisering>.
Välj Ny autentiseringskontext för att skapa en definition för autentiseringskontext. Organisationer kan skapa upp till 99 autentiseringskontextdefinitioner (c1-c99). Konfigurera följande attribut:
- Visningsnamn är det namn som används för att identifiera autentiseringskontexten i Microsoft Entra-ID och för program som använder autentiseringskontexter. Vi rekommenderar namn som kan användas mellan resurser, till exempel betrodda enheter, för att minska antalet autentiseringskontexter som behövs. Att ha en reducerad uppsättning begränsar antalet omdirigeringar och ger en bättre slutanvändarupplevelse.
- Beskrivningen innehåller mer information om principerna. Den här informationen används av administratörer och de som tillämpar autentiseringskontexter på resurser.
- Kryssrutan Publicera till appar , när den är markerad, annonserar autentiseringskontexten till appar och gör den tillgänglig för tilldelning. Om den inte är markerad är autentiseringskontexten inte tillgänglig för underordnade resurser.
- ID är skrivskyddat och används i token och appar för kontextdefinitioner för begärandespecifik autentisering. Här visas felsöknings- och utvecklingsanvändningsfall.
Lägg till i princip för villkorsstyrd åtkomst
Administratörer kan välja publicerade autentiseringskontexter i principer för villkorsstyrdåtkomst genom att gå till Tilldelningar >Molnappar eller åtgärder och välja Autentiseringskontext på menyn Välj vad den här principen gäller för.
Ta bort en autentiseringskontext
Innan du tar bort en autentiseringskontext kontrollerar du att inga program använder den. Annars skyddas inte åtkomsten till appdata. Bekräfta detta genom att kontrollera inloggningsloggarna för fall där principer för villkorsstyrd åtkomst för autentiseringskontext tillämpas.
Om du vill ta bort en autentiseringskontext kontrollerar du att den inte har några tilldelade principer för villkorlig åtkomst och inte publiceras till appar. Detta förhindrar oavsiktlig borttagning av en autentiseringskontext som fortfarande används.
Tagga resurser med autentiseringskontexter
Läs mer om hur du använder autentiseringskontexter i program i dessa artiklar.
- Använda känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser
- Microsoft Defender för Cloud Apps
- Anpassade program
Relaterat innehåll
- Villkorlig åtkomst: Villkor – Lär dig hur du konfigurerar villkor för att förfina dina principer.
- Vanliga principer för villkorlig åtkomst – Utforska vanliga principmallar för att komma igång snabbt.
- Beroenden för klientprogram – Förstå hur beroenden påverkar principer för villkorsstyrd åtkomst.