Planowanie wdrażania dostępu warunkowego
Planowanie wdrożenia dostępu warunkowego ma kluczowe znaczenie dla osiągnięcia strategii dostępu organizacji dla aplikacji i zasobów. Zasady dostępu warunkowego zapewniają dużą elastyczność konfiguracji. Jednak ta elastyczność oznacza również, że należy uważnie zaplanować, aby uniknąć niepożądanych wyników.
Microsoft Entra Conditional Access łączy sygnały, takie jak użytkownik, urządzenie i lokalizacja, aby zautomatyzować decyzje i wymusić zasady dostępu organizacyjnego dla zasobów. Te zasady dostępu warunkowego pomagają zrównoważyć bezpieczeństwo i produktywność, wymuszając mechanizmy kontroli zabezpieczeń w razie potrzeby i pozostając poza sposobem użytkownika, gdy nie.
Dostęp warunkowy jest podstawą aparatu zasad zabezpieczeń Zero Trust firmy Microsoft.
Firma Microsoft udostępnia wartości domyślne zabezpieczeń, które zapewniają podstawowy poziom zabezpieczeń włączony w dzierżawach, które nie mają identyfikatora Microsoft Entra ID P1 ani P2. Za pomocą dostępu warunkowego można tworzyć zasady, które zapewniają taką samą ochronę jak domyślne ustawienia zabezpieczeń, ale z dokładnością. Wartości domyślne dostępu warunkowego i zabezpieczeń nie mają być łączone, ponieważ tworzenie zasad dostępu warunkowego uniemożliwia włączenie domyślnych ustawień zabezpieczeń.
Wymagania wstępne
- Działająca dzierżawa firmy Microsoft Entra z włączoną licencją microsoft Entra ID P1, P2 lub wersji próbnej. W razie potrzeby utwórz je bezpłatnie.
- Microsoft Entra ID P2 jest wymagany do uwzględnienia Ochrona tożsamości Microsoft Entra ryzyka w zasadach dostępu warunkowego.
- Administracja istratory, którzy wchodzą w interakcję z dostępem warunkowym, muszą mieć jedno z następujących przypisań ról w zależności od wykonywanych zadań. Aby postępować zgodnie z zasadą zero zaufania najniższych uprawnień, rozważ użycie usługi Privileged Identity Management (PIM) do aktywowania uprzywilejowanych przypisań ról just in time.
- Odczyt zasad i konfiguracji dostępu warunkowego
- Tworzenie lub modyfikowanie zasad dostępu warunkowego
- Użytkownik testowy (nie administrator), który umożliwia sprawdzenie, czy zasady działają zgodnie z oczekiwaniami przed wdrożeniem dla rzeczywistych użytkowników. Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
- Grupa, do którego należy użytkownik testowy. Jeśli musisz utworzyć grupę, zobacz Tworzenie grupy i dodawanie członków w identyfikatorze Entra firmy Microsoft.
Komunikacja ze zmianami
Komunikacja ma kluczowe znaczenie dla sukcesu wszelkich nowych funkcji. Należy aktywnie komunikować się z użytkownikami, jak zmienia się ich środowisko, kiedy zmienia się i jak uzyskać pomoc techniczną, jeśli wystąpią problemy.
Składniki zasad dostępu warunkowego
Zasady dostępu warunkowego odpowiadają na pytania dotyczące tego, kto może uzyskiwać dostęp do zasobów, do jakich zasobów mogą uzyskiwać dostęp i w jakich warunkach. Zasady można zaprojektować tak, aby udzielać dostępu, ograniczać dostęp za pomocą kontrolek sesji lub blokować dostęp. Zasady dostępu warunkowego można utworzyć, definiując instrukcje if-then, takie jak:
| Jeśli przypisanie zostanie spełnione | Stosowanie kontroli dostępu |
|---|---|
| Jeśli jesteś użytkownikiem aplikacji Finance accessing the Payroll application (Finanse) | Wymaganie uwierzytelniania wieloskładnikowego i zgodnego urządzenia |
| Jeśli nie jesteś członkiem aplikacji Finance accessing the Payroll application (Finanse) | Zablokuj dostęp |
| Jeśli ryzyko użytkownika jest wysokie | Wymaganie uwierzytelniania wieloskładnikowego i bezpiecznej zmiany hasła |
Wykluczenia użytkowników
Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:
- Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
- Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
- Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług tego typu powinny zostać wykluczone, ponieważ nie da się programowo ukończyć asystenta folderów zarządzanych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
- Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.
Zadaj odpowiednie pytania
Poniżej przedstawiono kilka typowych pytań dotyczących przypisań i kontroli dostępu. Przed utworzeniem zasad udokumentuj odpowiedzi na pytania dla każdej zasady.
Tożsamości użytkowników lub obciążeń
- Którzy użytkownicy, grupy, role katalogów lub tożsamości obciążenia są dołączani do zasad lub wykluczani z nich?
- Jakie konta lub grupy dostępu awaryjnego powinny być wykluczone z zasad?
Aplikacje w chmurze lub akcje
Czy te zasady będą stosowane do dowolnej aplikacji, akcji użytkownika lub kontekstu uwierzytelniania? Jeśli tak:
- Do jakich aplikacji lub usług będą stosowane zasady?
- Jakie akcje użytkownika podlegają tym zasadom?
- Do jakich kontekstów uwierzytelniania zostaną zastosowane te zasady?
Filtruj dla aplikacji
Używanie filtru dla aplikacji do dołączania lub wykluczania aplikacji zamiast ich indywidualnego określania pomaga organizacjom:
- Łatwe skalowanie i określanie dowolnej liczby aplikacji.
- Łatwe zarządzanie aplikacjami przy użyciu podobnych wymagań dotyczących zasad.
- Zmniejsz liczbę poszczególnych zasad.
- Zmniejszanie błędów podczas edytowania zasad: nie trzeba dodawać/usuwać aplikacji ręcznie z zasad. Wystarczy zarządzać atrybutami.
- Przezwyciężenie ograniczeń rozmiaru zasad.
Warunki
- Które platformy urządzeń są uwzględnione w zasadach lub wykluczone z nich?
- Jakie są znane lokalizacje sieciowe organizacji?
- Jakie lokalizacje są zawarte w zasadach lub wykluczone z nich?
- Jakie typy aplikacji klienckich są uwzględniane w zasadach lub wykluczone z nich?
- Czy chcesz kierować określone atrybuty urządzenia?
- Jeśli korzystasz z Ochrona tożsamości Microsoft Entra, czy chcesz uwzględnić ryzyko związane z logowaniem lub użytkownikiem?
Ryzyko związane z użytkownikiem i logowaniem
W przypadku organizacji z licencjami microsoft Entra ID P2 mogą uwzględniać ryzyko użytkownika i logowania w zasadach dostępu warunkowego. Te dodatki mogą pomóc zmniejszyć tarcie środków zabezpieczeń, wymagając uwierzytelniania wieloskładnikowego lub bezpiecznej zmiany hasła tylko wtedy, gdy użytkownik lub logowanie jest uznawane za ryzykowne.
Aby uzyskać więcej informacji na temat ryzyka i jego użycia w zasadach, zobacz artykuł Co to jest ryzyko.
Blokowanie lub przyznawanie kontrolek
Czy chcesz udzielić dostępu do zasobów, wymagając co najmniej jednego z następujących elementów?
- Uwierzytelnianie wieloskładnikowe
- Urządzenie oznaczone jako zgodne
- Korzystanie z urządzenia przyłączonego hybrydowego firmy Microsoft Entra
- Używanie zatwierdzonej aplikacji klienckiej
- Ochrona aplikacji zastosowane zasady
- Zmiana hasła
- Zaakceptowane warunki użytkowania
Blokowanie dostępu to zaawansowany mechanizm kontroli, który należy stosować z odpowiednią wiedzą. Zasady z instrukcjami blokującymi mogą mieć niezamierzone skutki uboczne. Prawidłowe testowanie i walidacja są niezbędne przed włączeniem kontrolki na dużą skalę. Administracja istratorzy powinni używać takich narzędzi jak Tryb tylko do dostępu warunkowego i narzędzie What If w dostępie warunkowym podczas wprowadzania zmian.
Kontrolki sesji
Czy chcesz wymusić dowolną z następujących kontroli dostępu w aplikacjach w chmurze?
- Korzystanie z ograniczeń wymuszonych przez aplikację
- Korzystanie z kontroli dostępu warunkowego aplikacji
- Wymuszanie częstotliwości logowania
- Używanie trwałych sesji przeglądarki
- Dostosowywanie ciągłej weryfikacji dostępu
Łączenie zasad
Podczas tworzenia i przypisywania zasad należy wziąć pod uwagę sposób działania tokenów dostępu. Tokeny dostępu udzielają dostępu lub odmawiają dostępu na podstawie tego, czy użytkownicy wysyłający żądanie zostali autoryzowani i uwierzytelnieni. Jeśli osoba żądający może udowodnić, że jest tym, kim jest, może uzyskać dostęp do chronionych zasobów lub funkcji.
Tokeny dostępu są wystawiane domyślnie, jeśli warunek zasad dostępu warunkowego nie wyzwoli kontroli dostępu.
Te zasady nie uniemożliwiają aplikacji posiadania własnej możliwości blokowania dostępu.
Rozważmy na przykład uproszczony przykład zasad, w którym:
Użytkownicy: GRUPA FINANSÓW
Uzyskiwanie dostępu: APLIKACJA PŁACOWA
Kontrola dostępu: uwierzytelnianie wieloskładnikowe
- Użytkownik A znajduje się w GRUPIE FINANSÓW. Są one wymagane do przeprowadzenia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do aplikacji PŁAC.
- Użytkownik B nie należy do GRUPY FINANSÓW, wystawia token dostępu i może uzyskać dostęp do aplikacji PŁAC bez przeprowadzania uwierzytelniania wieloskładnikowego.
Aby zapewnić, że użytkownicy spoza grupy finansowej nie mogą uzyskać dostępu do aplikacji płacowej, można utworzyć oddzielne zasady, aby zablokować wszystkich innych użytkowników, takich jak następujące uproszczone zasady:
Użytkownicy: uwzględnij wszystkich użytkowników / wyklucz grupę FINANSE
Uzyskiwanie dostępu: APLIKACJA PŁACOWA
Kontrola dostępu: Blokuj dostęp
Teraz, gdy użytkownik B próbuje uzyskać dostęp do aplikacji PŁAC, która jest blokowana.
Zalecenia
Biorąc pod uwagę nasze wnioski dotyczące korzystania z dostępu warunkowego i obsługi innych klientów, poniżej przedstawiono kilka zaleceń opartych na naszych naukach.
Stosowanie zasad dostępu warunkowego do każdej aplikacji
Upewnij się, że każda aplikacja ma co najmniej jedną zasadę dostępu warunkowego. Z perspektywy zabezpieczeń lepiej jest utworzyć zasady obejmujące wszystkie aplikacje w chmurze, a następnie wykluczyć aplikacje, do których nie mają być stosowane zasady. Dzięki temu nie trzeba aktualizować zasad dostępu warunkowego za każdym razem, gdy dołączasz nową aplikację.
Napiwek
Należy zachować ostrożność podczas używania bloków i wszystkich aplikacji w ramach jednej zasady. Może to zablokować administratorów i nie można skonfigurować wykluczeń dla ważnych punktów końcowych, takich jak program Microsoft Graph.
Minimalizowanie liczby zasad dostępu warunkowego
Tworzenie zasad dla każdej aplikacji nie jest wydajne i prowadzi do trudnej administracji. Dostęp warunkowy ma limit 195 zasad na dzierżawę. Ten limit zasad 195 obejmuje zasady dostępu warunkowego w dowolnym stanie, w tym tryb tylko do raportu, włączony lub wyłączony.
Zalecamy analizowanie aplikacji i grupowanie ich w aplikacje, które mają te same wymagania dotyczące zasobów dla tych samych użytkowników. Jeśli na przykład wszystkie aplikacje platformy Microsoft 365 lub wszystkie aplikacje hr mają te same wymagania dla tych samych użytkowników, utwórz pojedyncze zasady i uwzględnij wszystkie aplikacje, do których ma zastosowanie.
Zasady dostępu warunkowego są zawarte w pliku JSON i ten plik jest powiązany z limitem rozmiaru, którego nie spodziewamy się, że jedna zasada przekroczy. Jeśli używasz długiej listy identyfikatorów GUID w zasadach, możesz osiągnąć ten limit. Jeśli napotkasz te limity, zalecamy alternatywy, takie jak:
- Używaj grup lub ról do dołączania lub wykluczania użytkowników zamiast wyświetlania poszczególnych użytkowników indywidualnie.
- Użyj filtru dla aplikacji, aby uwzględnić lub wykluczyć aplikacje zamiast indywidualnie je określić.
Konfigurowanie trybu samego raportu
Domyślnie każda zasada utworzona na podstawie szablonu jest tworzona w trybie tylko do raportu. Zalecamy organizacjom testowanie i monitorowanie użycia, aby zapewnić zamierzony wynik przed włączeniem poszczególnych zasad.
Włącz zasady w trybie tylko do raportowania. Po zapisaniu zasad w trybie tylko do raportu możesz zobaczyć wpływ na logowania w czasie rzeczywistym w dziennikach logowania. W dziennikach logowania wybierz zdarzenie i przejdź do karty Tylko raport, aby wyświetlić wynik poszczególnych zasad tylko raportów.
Zagregowany wpływ zasad dostępu warunkowego można wyświetlić w skoroszycie Szczegółowe informacje i raportowania. Aby uzyskać dostęp do skoroszytu, potrzebujesz subskrypcji usługi Azure Monitor i musisz przesłać strumieniowo dzienniki logowania do obszaru roboczego usługi Log Analytics.
Planowanie zakłóceń
Aby zmniejszyć ryzyko blokady podczas nieprzewidzianych zakłóceń, zaplanuj strategie odporności dla organizacji.
Ustawianie standardów nazewnictwa dla zasad
Standard nazewnictwa pomaga znaleźć zasady i zrozumieć ich przeznaczenie bez otwierania ich w portalu administracyjnym platformy Azure. Zalecamy nadenie zasadom nazwy:
- Numer sekwencji
- Aplikacje w chmurze, których dotyczy
- Odpowiedź
- KtoTo ma zastosowanie do
- Gdy ma zastosowanie
Przykład: zasady wymagające uwierzytelniania wieloskładnikowego dla użytkowników marketingowych, którzy uzyskują dostęp do aplikacji Dynamics CRP z sieci zewnętrznych, mogą być następujące:
Opisowa nazwa ułatwia zachowanie przeglądu implementacji dostępu warunkowego. Numer sekwencji jest przydatny, jeśli musisz odwołać się do zasad w konwersacji. Na przykład podczas rozmowy z administratorem na telefonie możesz poprosić go o otwarcie zasad CA01 w celu rozwiązania problemu.
Standardy nazewnictwa kontroli dostępu awaryjnego
Oprócz aktywnych zasad zaimplementuj wyłączone zasady, które działają jako pomocnicze odporne mechanizmy kontroli dostępu w scenariuszach awarii lub awarii. Standard nazewnictwa zasad awaryjnych powinien obejmować:
- WŁĄCZ W NAGŁYCH WYPADKACH na początku, aby nazwa była wyróżniana wśród innych zasad.
- Nazwa zakłóceń, do których należy zastosować.
- Numer sekwencji kolejności, który pomoże administratorowi znać, w jakich zasadach kolejności należy włączyć.
Przykład: Następująca nazwa wskazuje, że te zasady są pierwszymi z czterech zasad, które należy włączyć, jeśli występują zakłócenia uwierzytelniania wieloskładnikowego:
- EM01 — WŁĄCZ W NAGŁYCH WYPADKACH: zakłócenia uwierzytelniania wieloskładnikowego [1/4] — Exchange SharePoint: Wymagaj dołączenia hybrydowego firmy Microsoft Entra dla użytkowników vip.
Blokuj kraje/regiony, z których nigdy nie oczekujesz logowania
Identyfikator Entra firmy Microsoft umożliwia tworzenie nazwanych lokalizacji. Utwórz listę krajów/regionów, które są dozwolone, a następnie utwórz zasady bloku sieciowego z tymi "dozwolonymi krajami/regionami" jako wykluczeniem. Ta opcja powoduje mniejsze obciążenie dla klientów, którzy znajdują się w mniejszych lokalizacjach geograficznych. Pamiętaj, aby wykluczyć konta dostępu awaryjnego z tych zasad.
Wdrażanie zasad dostępu warunkowego
Gdy wszystko będzie gotowe, wdróż zasady dostępu warunkowego w fazach.
Tworzenie zasad dostępu warunkowego
Zapoznaj się z szablonami zasad dostępu warunkowego i typowymi zasadami zabezpieczeń dla organizacji platformy Microsoft 365, aby rozpocząć pracę. Te szablony są wygodnym sposobem wdrażania zaleceń firmy Microsoft. Upewnij się, że wykluczysz konta dostępu awaryjnego.
Ocena wpływu zasad
Zalecamy użycie następujących narzędzi do oceny wpływu zasad zarówno przed wprowadzeniem zmian, jak i po ich wprowadzeniu. Przebieg symulowany daje dobry pomysł na efekt, jaki ma zasada dostępu warunkowego, nie zastępuje rzeczywistego przebiegu testu w prawidłowo skonfigurowanym środowisku projektowym.
- Tryb tylko raportów oraz szczegółowe informacje o dostępie warunkowym i skoroszyt raportowania.
- Narzędzie What If
Testowanie zasad
Upewnij się, że testujesz kryteria wykluczania zasad. Możesz na przykład wykluczyć użytkownika lub grupę z zasad, które wymagają uwierzytelniania wieloskładnikowego. Przetestuj, czy wykluczeni użytkownicy są monitowani o uwierzytelnianie wieloskładnikowe, ponieważ połączenie innych zasad może wymagać uwierzytelniania wieloskładnikowego dla tych użytkowników.
Przeprowadź każdy test w planie testowania za pomocą użytkowników testowych. Plan testowania jest ważny, ponieważ pozwala uzyskać porównanie między wynikami oczekiwanymi a rzeczywistymi. W poniższej tabeli przedstawiono przykładowe przypadki testowe. Dostosuj scenariusze i oczekiwane wyniki w zależności od konfiguracji zasad dostępu warunkowego.
| Zasady | Scenariusz | Oczekiwany wynik |
|---|---|---|
| Ryzykowne logowania | Użytkownik loguje się do aplikacji przy użyciu niezatwierdzonej przeglądarki | Oblicza ocenę ryzyka na podstawie prawdopodobieństwa, że logowanie nie zostało wykonane przez użytkownika. Wymaga od użytkownika samodzielnego korygowania przy użyciu uwierzytelniania wieloskładnikowego |
| Zarządzanie urządzeniami | Autoryzowany użytkownik próbuje zalogować się z autoryzowanego urządzenia | Udzielony dostęp |
| Zarządzanie urządzeniami | Autoryzowany użytkownik próbuje zalogować się z nieautoryzowanego urządzenia | Zablokowany dostęp |
| Zmiana hasła dla ryzykownych użytkowników | Autoryzowany użytkownik próbuje zalogować się przy użyciu poświadczeń naruszonych (logowanie o wysokim ryzyku) | Użytkownik jest monitowany o zmianę hasła lub dostępu jest blokowany na podstawie zasad |
Wdrażanie w środowisku produkcyjnym
Po potwierdzeniu wpływu przy użyciu trybu tylko do raportu administrator może przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.
Wycofywanie zasad
W przypadku konieczności wycofania nowo wdrożonych zasad użyj jednej lub kilku z następujących opcji:
Wyłącz zasady. Wyłączenie zasad gwarantuje, że nie ma zastosowania, gdy użytkownik spróbuje się zalogować. Zawsze możesz wrócić i włączyć zasady, gdy chcesz go użyć.
Wyklucz użytkownika lub grupę z zasad. Jeśli użytkownik nie może uzyskać dostępu do aplikacji, możesz wykluczyć użytkownika z zasad.
Uwaga
Wykluczenia powinny być używane oszczędnie, tylko w sytuacjach, gdy użytkownik jest zaufany. Użytkownicy powinni zostać dodani z powrotem do zasad lub grupy tak szybko, jak to możliwe.
Jeśli zasady są wyłączone i nie są już wymagane, usuń je.
Rozwiązywanie problemów z zasadami dostępu warunkowego
Jeśli użytkownik ma problem z zasadami dostępu warunkowego, zbierz następujące informacje, aby ułatwić rozwiązywanie problemów.
- Główna nazwa użytkownika
- Nazwa wyświetlana użytkownika
- Nazwa systemu operacyjnego
- Sygnatura czasowa (przybliżona wartość jest ok)
- Aplikacja docelowa
- Typ aplikacji klienckiej (przeglądarka a klient)
- Identyfikator korelacji (ten identyfikator jest unikatowy dla logowania)
Jeśli użytkownik otrzymał komunikat z linkiem Więcej szczegółów, może uzyskać większość potrzebnych Ci informacji.
Po zebraniu informacji zobacz następujące zasoby:
- Problemy z logowaniem przy użyciu dostępu warunkowego — poznaj nieoczekiwane wyniki logowania związane z dostępem warunkowym przy użyciu komunikatów o błędach i dziennika logowania firmy Microsoft Entra.
- Za pomocą narzędzia What-If — dowiedz się, dlaczego zasady były lub nie zostały zastosowane do użytkownika w określonych okolicznościach lub jeśli zasady będą stosowane w znanym stanie.