Villkorsstyrd åtkomst för arbetsbelastningsidentiteter

  • Artikel

Principer för villkorsstyrd åtkomst har tidigare endast tillämpats på användare när de får åtkomst till appar och tjänster som SharePoint Online. Vi utökar nu stödet för principer för villkorsstyrd åtkomst så att de kan tillämpas på tjänstens huvudnamn som ägs av organisationen. Vi kallar den här funktionen villkorsstyrd åtkomst för arbetsbelastningsidentiteter.

En arbetsbelastningsidentitet är en identitet som ger ett program eller tjänstens huvudnamn åtkomst till resurser, ibland i kontexten för en användare. Dessa arbetsbelastningsidentiteter skiljer sig från traditionella användarkonton eftersom de:

  • inte kan utföra multifaktorautentisering
  • ofta saknar en formell livscykelprocess
  • behöver lagra sina uppgifter eller hemligheter någonstans.

Dessa skillnader gör arbetsbelastningsidentiteter svårare att hantera och utsätter dem för högre risk för kompromisser.

Viktigt!

Premium-licenser för arbetsbelastningsidentiteter krävs för att skapa eller ändra principer för villkorsstyrd åtkomst som är begränsade till tjänstens huvudnamn. I kataloger utan lämpliga licenser fortsätter befintliga principer för villkorsstyrd åtkomst för arbetsbelastningsidentiteter att fungera, men kan inte ändras. Mer information finns i Microsoft Entra Workload ID.  

Kommentar

Principen kan tillämpas på huvudnamn för en enskild klientorganisationstjänst som har registrerats i din klientorganisation. SaaS från tredje part och appar med flera klientorganisationer ligger utanför omfånget. Hanterade identiteter omfattas inte av principen.

Villkorsstyrd åtkomst för arbetsbelastningsidentiteter möjliggör blockering av tjänstens huvudnamn utanför betrodda offentliga IP-intervall, baserat på risker som identifierats av Microsoft Entra ID Protection eller i kombination med autentiseringskontexter.

Implementering

Skapa en platsbaserad princip för villkorsstyrd åtkomst

Skapa en platsbaserad princip för villkorsstyrd åtkomst som gäller för tjänstens huvudnamn.

  1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.
  2. Bläddra till Villkorlig åtkomst för skydd>.
  3. Välj Skapa ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Vad gäller den här principen? väljer du Arbetsbelastningsidentiteter.
    2. Under Inkludera väljer du Välj tjänstens huvudnamn och väljer lämpliga tjänsthuvudnamn i listan.
  6. Under Målresurser>Molnappar>Inkludera väljer du Alla molnappar. Principen gäller endast när ett huvudnamn för tjänsten begär en token.
  7. Under Villkorsplatser> inkluderar du Valfri plats och exkluderar valda platser där du vill tillåta åtkomst.
  8. Under Bevilja är Blockera åtkomst det enda tillgängliga alternativet. Åtkomst blockeras när en tokenbegäran görs utanför det tillåtna intervallet.
  9. Din princip kan sparas i läget Endast rapport, så att administratörer kan uppskatta effekterna, eller så tillämpas principen genom att aktivera principen.
  10. Välj Skapa för att slutföra principen.

Skapa en riskbaserad princip för villkorsstyrd åtkomst

Skapa en riskbaserad princip för villkorsstyrd åtkomst som gäller för tjänstens huvudnamn.

Skapa en princip för villkorsstyrd åtkomst med en arbetsbelastningsidentitet och risk som ett villkor.

  1. Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.
  2. Bläddra till Villkorlig åtkomst för skydd>.
  3. Välj Skapa ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Vad gäller den här principen? väljer du Arbetsbelastningsidentiteter.
    2. Under Inkludera väljer du Välj tjänstens huvudnamn och väljer lämpliga tjänsthuvudnamn i listan.
  6. Under Målresurser>Molnappar>Inkludera väljer du Alla molnappar. Principen gäller endast när ett huvudnamn för tjänsten begär en token.
  7. Under villkor>tjänstens huvudrisk
    1. Ange växlingsknappen Konfigurera till Ja.
    2. Välj de risknivåer där du vill att den här principen ska utlösas.
    3. Välj Klar.
  8. Under Bevilja är Blockera åtkomst det enda tillgängliga alternativet. Åtkomst blockeras när de angivna risknivåerna visas.
  9. Din princip kan sparas i läget Endast rapport, så att administratörer kan uppskatta effekterna, eller så tillämpas principen genom att aktivera principen.
  10. Välj Skapa för att slutföra principen.

Ångra

Om du vill återställa den här funktionen kan du ta bort eller inaktivera alla skapade principer.

Inloggningsloggar

Inloggningsloggarna används för att granska hur principen tillämpas för tjänstens huvudnamn eller de förväntade effekterna av principen när du använder läget endast för rapporter.

  1. Bläddra till Inloggningsloggar inloggningar för identitetsövervakning>och>inloggningsloggar För tjänstens> huvudnamn.
  2. Välj en loggpost och välj fliken Villkorsstyrd åtkomst för att visa utvärderingsinformation.

Felorsak när villkorsstyrd åtkomst blockerar tjänstens huvudnamn: "Åtkomsten har blockerats på grund av principer för villkorsstyrd åtkomst."

Läget Endast rapport

Om du vill visa resultatet av en platsbaserad princip läser du fliken Endast rapport för händelser i inloggningsrapporten eller använder arbetsboken För villkorlig åtkomstinsikter och rapportering .

Om du vill visa resultatet av en riskbaserad princip läser du fliken Endast rapport för händelser i inloggningsrapporten.

Referens

Hitta objekt-ID

Du kan hämta objectID för tjänstens huvudnamn från Microsoft Entra Enterprise Applications. Objekt-ID:t i Microsoft Entra Appregistreringar kan inte användas. Den här identifieraren är objekt-ID för appregistreringen, inte för tjänstens huvudnamn.

  1. Bläddra till Identity>Applications>Enterprise-program och leta reda på det program som du har registrerat.
  2. På fliken Översikt kopierar du programmets objekt-ID . Den här identifieraren är unik för tjänstens huvudnamn, som används av principen för villkorsstyrd åtkomst för att hitta den anropande appen.

Microsoft Graph

Exempel på JSON för platsbaserad konfiguration med hjälp av Betaslutpunkten för Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Nästa steg