新式安全现已超出组织的网络边界,其中涵盖了用户和设备标识。 在做出访问控制决策的过程中,组织现在会使用标识驱动的信号。 Microsoft Entra 条件访问统合信号,以做出决策并强制实施组织策略。 条件访问是 Microsoft 的零信任策略引擎,在强制执行策略决策时会考虑来自各种源的信号。
最简单地讲,条件访问策略是一些 if-then 语句:如果用户想要访问某个资源,则必须完成某个操作。 例如:如果用户想要访问应用程序或服务(如 Microsoft 365),则必须执行多重身份验证才能获取访问权限。
管理员面临两个主要目标:
- 使用户能够随时随地保持高效的工作
- 保护组织的资产
使用条件访问策略,可以在必要时应用适当的访问控制来确保组织的安全。
重要
完成第一因素身份验证后将强制执行条件访问策略。 条件访问并不是组织针对拒绝服务(DoS)攻击等情境的首要防线,但它可以利用来自这些事件的信号来确定访问。
常见信号
条件访问使用来自各种源的信号做出访问决策。
这些信号包括:
- 用户或组成员身份
- 策略可针对特定用户和组,使管理员能够精细地控制访问权限。
- IP 定位信息
- 组织可以创建在做出策略决策时使用的受信任 IP 地址范围。
- 管理员可以指定整个国家或地区的 IP 范围来阻止或允许来自的流量。
- 设备
- 实施条件访问策略时,用户可以使用的装有特定平台或标有特定状态的设备。
- 使用设备的筛选器将策略目标设定为特定设备,例如特权访问工作站。
- 应用程序
- 当用户尝试访问特定应用程序时触发不同的条件访问策略。
-
Microsoft Defender for Cloud Apps
- 实时监视和控制用户应用程序访问和会话。 此集成可提高对云环境中的访问和活动的可见性和控制。
常见决策
- 阻止访问是最严格的决策。
- 授予访问权限。
- 限制性较低的决策,可能需要以下一个或多个选项:
- 要求进行多重身份验证。
- 需要特定的身份验证强度。
- 要求将设备标记为合规。
- 需要 Microsoft Entra 已混合加入的设备。
- 需要经过批准的客户端应用程序。
- 需要应用保护策略。
- 需要更改密码。
- 需要使用条款。
最常应用的策略
许多组织都有 条件访问策略可以帮助解决的常见访问问题,例如:
- 要求具有管理角色的用户执行多重身份验证
- 要求在运行 Azure 管理任务时执行多重身份验证
- 阻止用户尝试使用旧式身份验证协议登录
- 要求安全信息注册的受信任位置
- 阻止或允许来自特定位置的访问
- 阻止有风险的登录行为
- 要求在组织管理的设备上使用特定的应用程序
管理员可以从头开始或从门户中的模板策略开始或使用 Microsoft 图形 API 创建策略。
管理员体验
具有 条件访问管理员 角色的管理员可以管理策略。
可在 Azure 门户中,通过“Microsoft Entra ID”安全性”>“条件访问”找到条件访问。>
- “ 概述 ”页显示策略状态、用户、设备和应用程序的摘要,以及建议的常规和安全警报。
- “ 覆盖范围 ”页显示过去七天内具有条件访问策略覆盖且没有条件访问策略的应用程序的摘要。
- “ 监控 ”页面允许管理员查看登录的趋势图,并可以通过筛选来识别策略覆盖范围的潜在差距。
策略 页上的条件访问策略可以由管理员根据执行者、目标资源、条件、应用的控制、状态或日期等项进行筛选。 通过此筛选功能,管理员可以根据自己的配置快速查找特定策略。
许可证要求
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
具有 Microsoft 365 商业高级版许可证 的客户也可以使用条件访问功能。
其他与条件访问策略交互的产品和功能需要适用于这些产品和功能的相应许可。 这包括 Microsoft Entra 工作负荷 ID 和 Microsoft Purview。
条件访问所需的许可证过期时,不会自动禁用或删除策略。 这种正常状态使客户无需突然更改安全状况即可从条件访问策略迁移。 可以查看和删除剩余的策略,但无法更新它们。
安全默认值有助于防范与标识相关的攻击,并且适用于所有客户。
零信任
此功能有助于组织将其标识与零信任体系结构的三个指导原则保持一致:
- 显式验证
- 使用最小特权
- 假定数据泄露
要详细了解零信任和其他让组织与指导原则保持一致的方式,请参阅零信任指导中心。