Exempelprincip för blockera åtkomst

Översikt

För organisationer med en konservativ molnmigreringsmetod är blockeringsprincipen ett alternativ som kan användas.

Varning

Felkonfiguration av en blockeringsprincip kan leda till att organisationer blir utelåst.

Principer som dessa kan ha oavsiktliga biverkningar. Korrekt testning och validering är viktiga innan du aktiverar. Administratörer bör använda verktyg som rapportläge för villkorsstyrd åtkomst och verktyget What If i villkorlig åtkomst när de gör ändringar.

Användarundantag

Principer för villkorlig åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från dina principer:

  • Nödåtkomst eller break-glass-konton för att förhindra utelåsning på grund av felkonfiguration av policyer. I det osannolika scenariot där alla administratörer är utelåst kan ditt administratörskonto för akut åtkomst användas för att logga in och återställa åtkomst.
  • Service-konton och tjänsthuvudprinciper, till exempel Microsoft Entra Connect Synkroniseringskonto. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon specifik användare. De används vanligtvis av serverdelstjänster för att tillåta programmatisk åtkomst till program, men de används också för att logga in på system för administrativa ändamål. Anrop som görs av tjänstens huvudnamn blockeras inte av principer för villkorsstyrd åtkomst som är begränsade till användare. Använd villkorlig åtkomst för identiteter för arbetsbelastning för att definiera principer som riktar sig mot tjänstehuvuden.
    • Om din organisation använder dessa konton i skript eller kod ersätter du dem med hanterade identiteter.

Skapa en princip för villkorsstyrd åtkomst

Följande steg hjälper dig att skapa principer för villkorlig åtkomst för att blockera åtkomst till alla appar förutom Office 365 (Microsoft 365) om användarna inte är i ett betrott nätverk. De här principerna sätts i läget Endast rapport för att starta så att administratörer kan fastställa effekten på befintliga användare. När administratörerna är bekväma med att principerna tillämpas som de vill kan de växla dem till .

Den första principen blockerar åtkomst till alla appar utom för Microsoft 365 program om de inte finns på en betrodd plats.

  1. Logga in på Microsoft Entra administrationscenter som minst en Konditionell åtkomstadministratör.
  2. Bläddra till Entra ID>Villkorlig åtkomst>Principer.
  3. Välj Ny princip.
  4. Ge principen ett namn. Skapa en meningsfull standard för namnen på dina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under rubriken Exkludera väljer du Användare och grupper och välj organisationens konton för nödåtkomst eller break-glass-konton.
  6. Under Målresurser>(tidigare molnappar) väljer du följande alternativ:
    1. Under Inkludera väljer du Alla resurser (tidigare "Alla molnappar").
    2. Under Exclude väljer du Office 365, väljer Select.
  7. Under villkor:
    1. Under villkor>plats.
      1. Ställ in KonfigureraJa
      2. Under Inkludera väljer du Valfri plats.
      3. Under Exkludera väljer du Alla betrodda platser.
    2. Under Klientappar anger du Konfigurera till Ja och väljer Klar.
  8. Under Åtkomstkontroller>Bevilja väljer du Blockera åtkomst och sedan Välj.
  9. Bekräfta dina inställningar och ändra Aktivera policyn till Endast rapportläge.
  10. Välj Skapa för att aktivera policyn.

När du har bekräftat inställningarna med policypåverkan eller endast rapportläge, växlar du Aktivera policy från Endast rapport till .

Följande princip skapas för att kräva multifaktorautentisering eller en kompatibel enhet för användare av Microsoft 365.

  1. Välj Skapa ny princip.
  2. Ge principen ett namn. Skapa en meningsfull standard för namnen på dina principer.
  3. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare.
    2. Under rubriken Exkludera väljer du Användare och grupper och välj organisationens konton för nödåtkomst eller break-glass-konton.
  4. Under Target-resurser>Resurser (tidigare molnappar)>Include>Välj resurser, välj Office 365, och välj Select.
  5. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst.
    1. Välj Kräv multifaktorautentisering och Kräv att enheten ska markeras som förenlig och Välj.
    2. Se till att Kräv att en av de valda kontrollerna är markerad.
    3. Välj Välj.
  6. Bekräfta dina inställningar och ändra Aktivera policyn till Endast rapportläge.
  7. Välj Skapa för att aktivera policyn.

När du har bekräftat inställningarna med policypåverkan eller endast rapportläge, växlar du Aktivera policy från Endast rapport till .

Kommentar

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Relaterat innehåll

Mallar för villkorsstyrd åtkomst

Använd endast rapportläge för villkorsstyrd åtkomst för att fastställa effekten

Använd rapportläge för villkorsstyrd åtkomst för att fastställa resultatet av nya principbeslut.

  • Last updated on