Akses Bersyarat untuk pratinjau identitas beban kerja

  • Artikel

Kebijakan Akses Bersyarat secara historis hanya diterapkan kepada pengguna saat mereka mengakses aplikasi dan layanan seperti SharePoint Online. Kini kami memperluas dukungan terhadap kebijakan Akses Bersyarat agar diterapkan pada prinsipal layanan yang dimiliki oleh organisasi. Kami menyebut kemampuan ini Akses Bersyarat untuk identitas beban kerja.

Identitas beban kerja adalah identitas yang memungkinkan aplikasi atau perwakilan layanan mengakses sumber daya, terkadang dalam konteks pengguna. Identitas beban kerja ini berbeda dari akun pengguna tradisional karena:

  • Tidak dapat melakukan autentikasi multifaktor.
  • Sering kali tidak memiliki proses siklus hidup formal.
  • Perlu menyimpan info masuk atau rahasia mereka di suatu tempat.

Perbedaan-perbedaan ini membuat identitas beban kerja lebih sulit untuk dikelola dan menempatkan mereka pada risiko kompromi yang lebih tinggi.

Penting

Lisensi Premium Identitas Beban Kerja diperlukan untuk membuat atau mengubah kebijakan Akses Bersyarat yang mencakup prinsipal layanan. Di direktori tanpa lisensi yang sesuai, kebijakan Akses Bersyarat yang ada untuk identitas beban kerja akan terus berfungsi, tetapi tidak dapat diubah. Untuk informasi selengkapnya, lihat Microsoft Entra Workload ID.  

Catatan

Kebijakan dapat diterapkan pada perwakilan layanan penyewa tunggal yang telah terdaftar di penyewa Anda. SaaS pihak ketiga dan aplikasi multi-penyewa berada di luar cakupan. Identitas terkelola tidak tercakup dalam kebijakan.

Akses Bersyarat untuk identitas beban kerja memungkinkan pemblokiran prinsipal layanan dari luar rentang IP publik tepercaya, berdasarkan risiko yang terdeteksi oleh Microsoft Entra ID Protection, atau berdasarkan kombinasi dengan konteks autentikasi.

implementasi

Membuat kebijakan Akses Bersyarat berbasis lokasi

Buat kebijakan Akses Bersyarat berbasis lokasi yang berlaku untuk perwakilan layanan.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Ke Akses Bersyar perlindungan>.
  3. Pilih Buat kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
    1. Di bawah Apa kebijakan ini berlaku untuk?, pilih Identitas beban kerja.
    2. Di bawah Sertakan, pilih Pilih perwakilan layanan, dan pilih perwakilan layanan yang sesuai dari daftar.
  6. Di bawah Sumber daya>target Yang disertakan aplikasi>Cloud, pilih Semua aplikasi cloud. Kebijakan hanya berlaku ketika perwakilan layanan meminta token.
  7. Di bawah Ketentuan>Lokasi, sertakan Lokasi mana pun dan kecualikan Lokasi yang dipilih tempat Anda ingin mengizinkan akses.
  8. Di bawah Berikan, Blokir akses adalah satu-satunya opsi yang tersedia. Akses diblokir ketika permintaan token dibuat dari luar rentang yang diizinkan.
  9. Kebijakan Anda dapat disimpan dalam mode Hanya laporan, mengizinkan administrator memperkirakan efeknya, atau kebijakan diterapkan dengan mengaktifkan kebijakan.
  10. Pilih Buat untuk melengkapi kebijakan Anda.

Membuat kebijakan Akses Bersyarat berbasis risiko

Buat kebijakan Akses Bersyarah berbasis risiko yang berlaku untuk perwakilan layanan.

Membuat kebijakan Akses Bersyarat dengan identitas beban kerja dan risiko sebagai syarat.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Ke Akses Bersyar perlindungan>.
  3. Pilih Buat kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
    1. Di bawah Apa kebijakan ini berlaku untuk?, pilih Identitas beban kerja.
    2. Di bawah Sertakan, pilih Pilih perwakilan layanan, dan pilih perwakilan layanan yang sesuai dari daftar.
  6. Di bawah Sumber daya>target Yang disertakan aplikasi>Cloud, pilih Semua aplikasi cloud. Kebijakan hanya berlaku ketika perwakilan layanan meminta token.
  7. Dalam Kondisi>Risiko perwakilan layanan
    1. Atur tombol Konfigurasi ke Ya.
    2. Pilih tingkat risiko yang diinginkan yang memicu kebijakan ini.
    3. Pilih Selesai.
  8. Di bawah Berikan, Blokir akses adalah satu-satunya opsi yang tersedia. Akses diblokir ketika tingkat risiko yang ditentukan terlihat.
  9. Kebijakan Anda dapat disimpan dalam mode Hanya laporan, mengizinkan administrator memperkirakan efeknya, atau kebijakan diterapkan dengan mengaktifkan kebijakan.
  10. Pilih Buat untuk melengkapi kebijakan Anda.

Gulung balik

Jika Anda ingin mengembalikan fitur ini, Anda dapat menghapus atau menonaktifkan semua kebijakan yang dibuat.

Log rincian masuk

Log masuk digunakan untuk meninjau bagaimana kebijakan diterapkan untuk perwakilan layanan atau pengaruh kebijakan yang diharapkan saat menggunakan mode hanya laporan.

  1. Telusuri ke Pemantauan Identitas>& rincian masuk kesehatan>>Rincian masuk perwakilan layanan.
  2. Pilih entri log dan pilih tab Akses Bersyarat untuk melihat informasi evaluasi.

Alasan kegagalan ketika Akses Bersyar memblokir Perwakilan Layanan: "Akses telah diblokir karena kebijakan Akses Bersyar."

Mode khusus laporan

Untuk menampilkan hasil kebijakan berbasis lokasi, lihat tab kejadian Hanya laporan dalam Laporan kredensial masuk, atau gunakan buku kerja Insights dan Pelaporan Akses Bersyarat.

Untuk melihat hasil kebijakan berbasis risiko, lihat tab kejadian Hanya laporan di Laporan kredensial masuk.

Referensi

Menemukan objectID

Anda bisa mendapatkan objectID dari perwakilan layanan dari Aplikasi Microsoft Entra Enterprise. ID Objek di Microsoft Entra Pendaftaran aplikasi tidak dapat digunakan. Pengidentifikasi ini adalah ID Objek pendaftaran aplikasi, bukan perwakilan layanan.

  1. Telusuri Aplikasi Perusahaan Aplikasi>Identitas>, temukan aplikasi yang Anda daftarkan.
  2. Dari tab Ringkasan, salin ID Objek aplikasi. Pengidentifikasi ini unik untuk perwakilan layanan, yang digunakan oleh kebijakan Akses Bersyarat untuk menemukan aplikasi panggilan.

Microsoft Graph

Contoh JSON untuk konfigurasi berbasis lokasi menggunakan titik akhir beta Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Langkah berikutnya