Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
För organisationer med en konservativ molnmigreringsmetod är blockeringsprincipen ett alternativ som kan användas.
Varning
Felkonfiguration av en blockeringsprincip kan leda till att organisationer blir utelåst.
Principer som dessa kan ha oavsiktliga biverkningar. Korrekt testning och validering är viktiga innan du aktiverar. Administratörer bör använda verktyg som rapportläge för villkorsstyrd åtkomst och verktyget What If i villkorlig åtkomst när de gör ändringar.
Användarundantag
Principer för villkorlig åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från dina principer:
-
Nödåtkomst eller nödkonton för att förhindra utelåsning på grund av felkonfiguration av policy. I det osannolika scenariot där alla administratörer är utelåst kan ditt administratörskonto för akut åtkomst användas för att logga in och återställa åtkomst.
- Mer information finns i artikeln Hantera konton för nödåtkomst i Microsoft Entra-ID.
-
Tjänstkonton och tjänstens huvudnamn, till exempel Microsoft Entra Connect Sync-kontot. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon specifik användare. De används vanligtvis av serverdelstjänster för att tillåta programmatisk åtkomst till program, men de används också för att logga in på system för administrativa ändamål. Anrop som görs av tjänstens huvudnamn blockeras inte av principer för villkorsstyrd åtkomst som är begränsade till användare. Använd villkorlig åtkomst för arbetsbelastningsidentiteter för att definiera principer som är avsedda för tjänstens huvudnamn.
- Om din organisation använder dessa konton i skript eller kod ersätter du dem med hanterade identiteter.
Skapa en princip för villkorsstyrd åtkomst
Följande steg hjälper dig att skapa principer för villkorlig åtkomst för att blockera åtkomst till alla appar förutom Office 365 om användarna inte är i ett betrott nätverk. De här principerna sätts i läget Endast rapport för att starta så att administratörer kan fastställa effekten på befintliga användare. När administratörerna är bekväma med att principerna tillämpas som de vill kan de växla dem till På.
Den första principen blockerar åtkomst till alla appar förutom Microsoft 365-program om den inte finns på en betrodd plats.
- Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
- Bläddra till Entra-ID>Villkorsstyrd åtkomst>principer.
- Välj Ny princip.
- Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
- Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
- Under Inkludera väljer du Alla användare.
- Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
- Under Målresurser>(tidigare molnappar) väljer du följande alternativ:
- Under Inkludera väljer du Alla resurser (tidigare "Alla molnappar").
- Under Exkludera väljer du Office 365 och väljer Välj.
- Under förhållanden:
- Under villkor>plats.
- Ställ in Konfigurera på Ja
- Under Inkludera väljer du Valfri plats.
- Under Exkludera väljer du Alla betrodda platser.
- Under Klientappar anger du Konfigurera till Ja och väljer Klar.
- Under villkor>plats.
- Under Åtkomstkontroller>Bevilja väljer du Blockera åtkomst och sedan Välj.
- Bekräfta inställningarna och ange Aktivera policy till Endast rapport.
- Välj Skapa för att aktivera din policy.
När du har bekräftat dina inställningar med hjälp av princippåverkan eller rapportläge flyttar du växlingsknappen Aktivera princip från Endast rapport till På.
Följande princip skapas för att kräva multifaktorautentisering eller en kompatibel enhet för användare av Microsoft 365.
- Välj Skapa ny princip.
- Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
- Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
- Under Inkludera väljer du Alla användare.
- Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
- Under Målresurser>Resurser (tidigare molnappar)>Inkludera>Välj resurser väljer du Office 365 och väljer Välj.
- Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst.
- Välj Kräv multifaktorautentisering och Kräv att enheten ska markeras som förenlig och Välj.
- Se till att Kräv att en av de valda kontrollerna är markerad.
- Välj Välj.
- Bekräfta inställningarna och ange Aktivera policy till Endast rapport.
- Välj Skapa för att aktivera din policy.
När du har bekräftat dina inställningar med hjälp av princippåverkan eller rapportläge flyttar du växlingsknappen Aktivera princip från Endast rapport till På.
Kommentar
Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.
Nästa steg
Mallar för villkorsstyrd åtkomst
Fastställa effekten med hjälp av rapportläge för villkorsstyrd åtkomst
Använd rapportläge för villkorsstyrd åtkomst för att fastställa resultatet av nya principbeslut.