Skapa en princip för villkorsstyrd åtkomst

Som förklaras i artikeln Vad är villkorlig åtkomst är en princip för villkorsstyrd åtkomst en if-then-instruktion för tilldelningar och åtkomstkontroller. En princip för villkorsstyrd åtkomst kombinerar signaler för att fatta beslut och framtvinga organisationsprinciper.

Hur skapar en organisation dessa principer? Vad krävs? Hur tillämpas de?

Flera principer för villkorsstyrd åtkomst kan när som helst gälla för en enskild användare. I det här fallet måste alla tillämpliga principer vara uppfyllda. Om en princip till exempel kräver multifaktorautentisering och en annan kräver en kompatibel enhet måste du slutföra MFA och använda en kompatibel enhet. Alla tilldelningar kombineras logiskt med AND. Om du har ställt in fler än en tilldelning måste alla tilldelningar vara uppfyllda för att utlösa en policy.

Om en princip med "Kräv en av de valda kontrollerna" är markerad visas uppmaningar i den definierade ordningen. När principkraven är uppfyllda beviljas åtkomst.

Alla principer tillämpas i två faser:

• Fas 1: Samla in sessiondetaljer
  • Samla in sessionsinformation, till exempel nätverksplats och enhetsidentitet som krävs för principutvärdering.
  • Fas 1 av policyutvärderingen sker för aktiverade policyer och policyer i enbart rapportläge.
• fas 2: Tillämpning
  • Använd sessionsinformationen som samlats in i fas 1 för att identifiera eventuella krav som inte uppfylls.
  • Om det finns en princip som har konfigurerats med blockera bevilja kontroll stoppas verkställigheten här och användaren blockeras.
  • Användaren uppmanas att slutföra fler krav för beviljandekontroll som inte uppfylldes under fas 1 i följande ordning tills principen är uppfylld:
    1. multifaktorautentisering
    2. Enhet som ska markeras som kompatibel
    3. Microsoft Entra Hybrid-ansluten enhet
    4. Godkänd klientapp
    5. appskyddsprincip
    6. Lösenordsändring
    7. användningsvillkor
    8. Anpassade kontroller
  • När alla beviljandekontroller är uppfyllda tillämpas sessionskontroller (App Enforced, Microsoft Defender för Molnappar och livslängd för token).
  • Fas 2 av principutvärderingen sker för alla aktiverade principer.

Uppdrag

Avsnittet tilldelningar definierar vem, vad och var för principen för villkorsstyrd åtkomst.

Användare och grupper

Användare och grupper anger vilka policyn inkluderar eller exkluderar när den tillämpas. Den här tilldelningen kan omfatta alla användare, specifika grupper av användare, katalogroller eller externa gästanvändare. Organisationer med Microsoft Entra-arbetsbelastnings-ID-licenser kan även rikta in sig på arbetsbelastningsidentiteter .

Principer som riktar sig till roller eller grupper utvärderas endast när en token utfärdas. Detta innebär att:

• Nyligen tillagda användare i en roll eller grupp omfattas inte av principen förrän de får en ny token.
• Om en användare redan har en giltig token innan den läggs till i rollen eller gruppen tillämpas principen inte retroaktivt.

Det bästa sättet är att utlösa utvärdering av villkorlig åtkomst under aktivering av rollaktivering eller gruppmedlemskap med hjälp av Microsoft Entra Privileged Identity Management.

Målresurser

Målresurser kan inkludera eller exkludera molnprogram, användaråtgärder eller autentiseringskontexter som omfattas av principen.

Nätverk

Network innehåller IP-adresser, geografiska områden och Globala säkra åtkomstens kompatibla nätverk beslut om principer för villkorsstyrd åtkomst. Administratörer kan definiera platser och markera vissa som betrodda, till exempel organisationens primära nätverksplatser.

Villkor

En policy kan innehålla flera villkor.

Inloggningsrisk

För organisationer med Microsoft Entra ID Protectionkan riskidentifieringarna som genereras där påverka dina principer för villkorsstyrd åtkomst.

Enhetsplattformar

Organisationer med flera enhetsoperativsystemplattformar kan framtvinga specifika principer på olika plattformar.

Den information som används för att avgöra enhetsplattformen kommer från obekräftade källor, till exempel användaragentsträngar som kan ändras.

Klientappar

Programvaran som användaren använder för att komma åt molnappen. Till exempel "Webbläsare" och "Mobilappar och skrivbordsklienter". Som standard gäller alla nyligen skapade principer för villkorsstyrd åtkomst för alla klientapptyper även om klientappens villkor inte har konfigurerats.

Filtrera efter enheter

Med den här kontrollen kan du rikta in dig på specifika enheter baserat på deras attribut i en princip.

Åtkomstkontroller

Åtkomstkontrolldelen av principen för villkorsstyrd åtkomst styr hur en princip tillämpas.

Bevilja

Grant ger administratörer ett sätt att genomföra policyer där de kan blockera eller bevilja åtkomst.

Blockera åtkomst

Blockera åtkomst blockerar åtkomst under de angivna tilldelningarna. Den här kontrollen är kraftfull och kräver lämplig kunskap för att kunna användas effektivt.

Bevilja åtkomst

Beviljandekontrollen utlöser tillämpning av en eller flera kontroller.

• Kräv multifaktorautentisering
• Kräv autentiseringsstyrka
• Kräv att enheten markeras som kompatibel (Intune)
• Kräv enheter som är anslutna till Microsoft Entra hybridmiljön
• Kräv godkänd klientapp
• Kräv appskyddsprincip
• Kräv lösenordsändring
• Kräv användningsvillkor

Administratörer väljer att kräva någon av de tidigare kontrollerna eller alla valda kontroller med hjälp av följande alternativ. Som standardinställning kräver flera kontroller alla.

• Kräv alla valda kontroller (kontroll och kontroll)
• Kräv en av de valda kontrollerna (kontroll eller kontroll)

Sittning

Sessionskontroller kan begränsa användarnas upplevelse.

• Använd apptvingande begränsningar:
  • Fungerar endast med Exchange Online och SharePoint Online.
  • Skickar enhetsinformation för att styra upplevelsen och bevilja fullständig eller begränsad åtkomst.
• Använd appkontroll för villkorsstyrd åtkomst:
  • Använder signaler från Microsoft Defender för Cloud Apps för att göra saker som:
    • Blockera nedladdning, klipp ut, kopiera och skriv ut känsliga dokument.
    • Övervaka riskfyllda sessionsbeteenden.
    • Kräv etikettering av känsliga filer.
• Inloggningsfrekvens:
  • Möjlighet att ändra standardinloggningsfrekvensen för modern autentisering.
• Beständiga webbläsarsessioner:
  • Tillåter att användare förblir inloggade när de har stängt och öppnat webbläsarfönstret igen.
• Anpassa utvärdering av kontinuerlig åtkomst.
• Inaktivera standardvärden för motståndskraft.

Enkla principer

En princip för villkorsstyrd åtkomst måste innehålla minst följande som ska tillämpas:

• Namnet på policyn
• Tilldelningar
  • Användare och/eller grupper som ska tillämpa principen på
  • Målresurser som principen ska tillämpas på
• Åtkomstkontroller
  • Bevilja- eller Blockera-kontroller

Artikeln Vanliga principer för villkorsstyrd åtkomst innehåller principer som kan vara användbara för de flesta organisationer.

Relaterat innehåll

• Vanliga principer för villkorlig åtkomst

• Hantera enhetsefterlevnad med Intune

• Microsoft Defender för Molnappar och villkorlig åtkomst