- Entra ID-ov uvjetni pristup primjenjuje MFA i druge kontrole na temelju korisnika, uređaja, mreže, rizika i traženog resursa.
- Globalna politika za sve resurse omogućuje zahtijevanje MFA i jačine autentifikacije za bilo koji pristup iz sustava Windows 11 i drugih klijenata.
- Kontrole poput kompatibilnog uređaja, hibridnog povezivanja, odobrenih aplikacija i ublažavanja rizika jačaju sigurnost izvan jednostavne višefaktorske autentifikacije (MFA).
- Kombinacija uvjetnog pristupa, Intunea i upravljanja identitetima s najmanjim privilegijama stvara mnogo otporniji perimetar temeljen na identitetu.
Zaštiti prijavu Windows 11 za posao s MFA i uvjetnim pristupom To je postao osnovni zahtjev za svaku organizaciju koja koristi Microsoft 365, Power Platform ili usluge u oblaku. Složena lozinka više nije dovoljna: napadači su naučili kako ih zaobići, a prava sigurnost leži u višefaktorskoj autentifikaciji i inteligentnim pravilima pristupa.
Ako surađujete s Microsoft Entra ID (prije Azure AD), Intune i uređaji sa sustavom Windows 11Vjerojatno ste čuli za uvjetni pristup, ali možda niste sasvim sigurni kako se sve to uklapa: MFA, snaga autentifikacije, kompatibilni uređaji, vanjski korisnici, Power Platform i tako dalje. Ovaj vodič će sve dijelove spojiti, detaljno objašnjavajući što svaka kontrola radi, kako se kombiniraju i koja stvarna ograničenja ćete naići prilikom primjene na Windows 11, uključujući jedinstveni slučaj web prijave.
Što je uvjetni pristup i kako je povezan s MFA u sustavu Windows 11?
El ID za prijavu u Microsoftov uvjetni pristup U biti, to je sustav pravila "ako se ovo dogodi, učini to" koji određuje može li korisnik pristupiti resursu: aplikaciji u oblaku, određenoj radnji (kao što je zapisivanje sigurnosnih informacija) ili posebnom kontekstu autentifikacije. Pravila kombiniraju signale poput identiteta korisnika, uređaja, mreže, rizika prijave i vrste klijenta kako bi se primijenile kontrole kao što su MFA, zahtjevi za uređaje koji su u skladu s propisima ili potpuno blokiranje.
Svaka direktiva je izgrađena od dva glavna bloka: zadaci (tko, što i pod kojim uvjetima) y kontrole pristupa (što je obavezno ili blokirano)Više kontrola može se primijeniti odjednom, a ako su ispunjeni uvjeti više od jedne politike, korisnik će morati ispunjavati sve primjenjive zahtjeve (npr. MFA + kompatibilan uređaj + prihvaćanje uvjeta korištenja).
U okruženjima sa sustavom Windows 11 uparenim s Entra ID-om i Intuneom, uvjetni pristup djeluje u trenutku kada se zatraži token za zaštićeni resurs. Ova točka je ključna.Mehanizam uvjetnog pristupa ne aktivira se svaki put kada korisnik unese vjerodajnice, već kada aplikacija (ili sustav) zatraži token za određeni resurs (Exchange, SharePoint, Power BI itd.).
Stoga, čak i ako vam je cilj "uvijek zahtijevati MFA prilikom prijave u Windows 11", u praksi Tehnički izazov je gdje procijeniti te politike i koje aplikacije ili resursi pokreću procjenu uvjetnog pristupa.
MFA i intenzitet autentifikacije: razine i strategije
U Microsoft Entra ID-u, višefaktorska autentifikacija nije samo prekidač "da/ne". Postoji vrlo važan koncept koji se zove snaga autentifikaciješto definira koliko robusna metoda mora biti da bi bila u skladu s pravilima. Microsoft nudi tri ugrađene razine:
Sigurnost višefaktorske autentifikacije (Najmanje restriktivna, ali preporučena osnova u većini scenarija). Prihvaća standardne MFA metode kao što su SMS, glasovni pozivi, push obavijesti u Microsoft Authenticatoru, OATH tokeni itd. To je najčešća početna točka za zahtijevanje dvofaktorske autentifikacije pri pristupu korporativnim resursima iz sustava Windows 11.
Sigurnost MFA bez lozinke, koji je usmjeren na moderne metode poput Windows Helloa za tvrtke, FIDO2 ključevi ili autentifikaciju temeljenu na certifikatu. Ovdje se više ne oslanjate na lozinku + kod, već na vjerodajnice koje su puno otpornije na phishing napade i krađu vjerodajnica.
Snaga MFA-a otporna na phishingNajstroža razina, namijenjena kritičnim računima (administratori, računi s visokim privilegijama, pristup vrlo osjetljivim podacima). Ova razina obično zahtijeva kombinaciju metoda koje se ne mogu lako presresti (na primjer, FIDO2 ili Windows Hello for Business).
Uz ove unaprijed definirane opcije, možete kreirajte prilagođene intenziteteSastavljanje vlastite kombinacije prihvaćenih metoda, nešto vrlo korisno ako želite, na primjer, prisiliti administratore da koriste Windows Hello ili FIDO2 za određene zadatke u sustavu Windows 11 i zabraniti im validaciju putem SMS-a.
Izradite osnovnu MFA politiku s uvjetnim pristupom
Najčišći način za nametnuti MFA globalno (uključujući pristup iz sustava Windows 11 uslugama Microsoft 365, poslovnim aplikacijama i Power Platformu) postiže se putem pravila uvjetnog pristupa koje cilja sve korisnike i sve resurse. Tipičan tijek rada za izradu ovog pravila bio bi:
Najprije pristupite Prijava u Microsoftov administratorski centar Pomoću računa koji ima barem ulogu administratora uvjetnog pristupa, idite na ID za prijavu > Uvjetni pristup > Pravila i stvorite novo pravilo s jasnim i standardiziranim nazivom.
U odjeljku Korisnici ili poslovni identitetiOdaberite "Svi korisnici" pod Uključi, ali isključi račune za blokiranje i račune za sinkronizaciju (kao što su oni iz Entra Connecta) kako biste izbjegli blokiranje administratorskog pristupa ili sinkronizacije identiteta. Ako gostima upravljate određenim pravilima, možete isključiti vanjske korisnike iz ovog globalnog pravila.
En Ciljni resursi (prije „Aplikacije u oblaku“)Odaberite "Svi resursi". Na taj će način politika utjecati na svaki zahtjev za tokenom prema uslugama kao što su Exchange Online, SharePoint, Teams, Power BI, poslovne aplikacije, pa čak i Windows Azure Active Directory (00000002-0000-0000-c000-000000000000).
U Kontrole pristupaU postavkama Dozvoli odaberite "Dozvoli pristup" i omogućite "Zahtijeva jačinu autentifikacije". Kao minimalnu jačinu odaberite "Višefaktorska autentifikacija". U početku se toplo preporučuje omogućiti pravilo u načinu rada "Samo izvješće" kako biste vidjeli stvarni utjecaj prije nego što ga u potpunosti aktivirate.
Nakon što pregledate zapisnike i potvrdite da nećete slučajno srušiti polovicu okruženja, možete promijeniti status u "Omogućeno". Od tog trenutka nadalje, svi zahtjevi za pristup zaštićenim resursima Prolazit će kroz ovaj MFA sloj, također s računala sa sustavom Windows 11 pridruženih direktoriju, osim iznimki koje ste definirali.
Napredne kontrole potpora: više od „zahtijevanja višestruke financijske pomoći“
Nakon što ste savladali osnove MFA, možete početi eksperimentirati s ostatkom. kontrole koncesija koji nudi uvjetni pristup za Windows 11 uređaje i druge sustave. Logika je slična: birate hoćete li blokirati pristup ili ga odobriti zahtijevajući kombinaciju uvjeta.
Kontrola nad "Blokiraj pristup" Moćan je koliko i opasan. Ako se mapiranje podudara (korisnici, resurs, uvjeti), pristup se odbija bez opcije MFA ili drugih ublažavanja. Savršen je za uklanjanje naslijeđenih protokola, blokiranje određenih zemalja ili prekid pristupa zastarjelim aplikacijama, ali uvijek je preporučljivo prvo testirati u načinu rada "samo za izvješće" i koristiti alate poput What If.
Kada odaberete "Odobri pristup", možete kombinirati nekoliko zahtjevaMožete zahtijevati MFA, kompatibilan uređaj, hibridnu Entra obveznicu, odobrenu klijentsku aplikaciju, Pravila zaštite aplikacija, promjenu lozinke ili ublažavanje rizika. Možete odlučiti mora li se korisnik pridržavati svih odabranih kontrola (I) ili samo jedne (ILI).
Kontrola nad „Zahtijevajte da uređaj bude označen kao kompatibilan“ Oslanja se na Intune. Uređaj mora biti registriran s Entra ID-om i biti u skladu s pravilima o usklađenosti (antivirus, enkripcija, verzija OS-a itd.). Podržava Windows 10 / 11iOS, Android, macOS i Ubuntu Linux s Intuneom. Ovaj pristup je idealan za osiguravanje da pristup osjetljivim podacima uvijek bude s upravljanih uređaja.
Ako ste u hibridnoj organizaciji, kontrola "Zahtijeva hibridni uređaj povezan s Microsoftom. Prijava"Ovo vam omogućuje da osigurate da samo računala povezana s domenom registrirana s Entra ID-om (prethodne i trenutne verzije sustava Windows 10) pristupaju određenim resursima. Ovaj se pristup široko koristi za ograničavanje administracije na korporativne uređaje."
Također možete zahtijevati odobrene aplikacije klijenata (klasični popis aplikacija sustava Office, Outlook, OneDrive, Teams, Power BI itd.) ili pravila zaštite aplikacija putem Intunea, što osigurava da se podaci otvaraju samo u aplikacijama zaštićenim MAM-om, prvenstveno na iOS-u i Androidu (i u pretpregledu za Edge na Windowsima).
Konačno, kontrole nad "Zahtijeva promjenu lozinke" Postavke "Zahtijeva ublažavanje rizika" integrirane su s Microsoft Entra ID Protection: koriste se kada je korisnik označen kao visokorizičan. U tim scenarijima prisiljava se sigurno resetiranje ili tijek sanacije rizika, kojem uvijek prethodi MFA, kako bi se zaustavilo kompromitiranje računa bez stalne intervencije administratora.
Uvjetni pristup: dodjele, uvjeti i redoslijed evaluacije
Da bi se politika implementirala, morate definirati barem jednu minimalni skup zadatakaKorisnici ili grupe, ciljni resursi i kontrola dodjele ili zaključavanja. Odatle možete precizirati dodatnim uvjetima.
U dijelu Korisnici i grupe Vi odlučujete na koga se politika odnosi: na sve korisnike, određene grupe, uloge direktorija (na primjer, globalne administratore) ili identitete radnog opterećenja (principale usluga). Evaluacija se provodi kada se izda novi token, pa ako se korisnik pridruži grupi nakon što ima valjani token, politika na njega neće utjecati dok ne obnovi svoje vjerodajnice.
En Resursi odredišta Možete označiti Microsoftove aplikacije u oblaku (Office 365, Azure Service Management API, administratorske portale itd.), aplikacije objavljene putem Application Proxyja, korisničke radnje poput registracije sigurnosnih informacija ili registracije/pridruživanja uređaja, pa čak i određene kontekste autentifikacije koji se zatim koriste iz SharePointa, PIM-a ili drugih aplikacija.
Las mrežni uvjeti Omogućuju vam korištenje imenovanih lokacija na temelju IP raspona ili geografskih lokacija. Tipičan obrazac je da se MFA ne zahtijeva kada je korisnik na pouzdanoj korporativnoj mreži i da se zahtijeva prilikom povezivanja s javnog interneta.
Osim toga, imate i dodatne uvjete kao što su platforme uređaja (Windows, iOS, Android, macOS, Linux), vrsta klijentske aplikacije (preglednik, mobilna/stolna aplikacija, naslijeđeni protokoli), filtri uređaja (na temelju atributa objekta uređaja) i rizik prijave (ako imate Entra ID Protection).
Kada se na istog korisnika i resurs primjenjuje više pravila, Kumulativno se kombinirajuDakle, ako jedna politika zahtijeva MFA, a druga zahtijeva kompatibilan uređaj, korisnik se mora pridržavati obje. Redoslijed validacije obično slijedi logiku MFA – status uređaja – uvjeti korištenja, a taj ćete slijed vidjeti u zapisnici prijave.
Ograničenja MFA s web prijavom u sustavu Windows 11
U okruženjima gdje se Prijava putem weba u sustavu Windows 11 (Za izravnu autentifikaciju na zaključanom zaslonu), mnogi administratori su naišli na problem: Pravila uvjetnog pristupa koja zahtijevaju MFA ne procjenjuju se kako se očekuje. Korisnik vidi obrazac za prijavu, ali MFA izazov se ne pojavljuje.
To se obično ne događa s prijavama u pregledniku, mobilnim aplikacijama ili Officeu u sustavu Windows 11, gdje se iste politike uvjetnog pristupa primjenjuju bez problema. Ako omogućite MFA po korisniku (klasični model) umjesto uvjetnog pristupa, tada se MFA prisiljava na web prijave, što sugerira da problem leži u načinu na koji taj tok komunicira s mehanizmom za politike uvjetnog pristupa.
Microsoftova podrška je pojasnila da, Tehnički, trenutno nije moguće primijeniti MFA izazov pomoću uvjetnog pristupa na tijek web prijave.Razlog je sama arhitektura: uvjetni pristup se pokreće kada se zatraži token za određeni zaštićeni resurs, a web prijava ne pokreće tu evaluaciju na način na koji to čine druge aplikacije.
Stoga, ako je vaš zahtjev da Prijava na zaključani zaslon sustava Windows 11 uvijek traži MFAJedini pouzdan način za to danas je korištenje MFA po korisniku, što prisiljava drugi faktor autentifikacije za svakog korisnika, bez obzira na resurs kojem će nakon toga pristupiti. Nije toliko fleksibilan ili granularan kao uvjetni pristup, ali rješava ovo specifično ograničenje.
Uvjetni pristup za aplikacije, Power Platform i API-je
Opseg uvjetnog pristupa daleko nadilazi Windows 11 i Microsoft 365. Power Platform (Power Apps, Power Automate, Power BI, Copilot Studio itd.) Za autentifikaciju i autorizaciju u potpunosti se oslanja na Entra ID, tako da se iste politike pristupa primjenjuju na korištenje aplikacija, tokova i konektora.
Na razini zakupca, Entra ID osigurava da korisnik ima aktivan račun, da je prošao pravila pristupa (MFA, lokacija, uređaj, rizik) i da ima licencu. Ali Za Power Platform, ovo je samo prvi slojZatim na scenu stupaju servisne uloge (Power Platform Administrator, Dynamics 365 Administrator), sigurnosne grupe koje kontroliraju pristup okruženjima i prije svega Dataverse sigurnosni model (RBAC, dozvole po tablici, retku i stupcu).
Ako želite ozbiljno zaštititi svoja poslovna rješenja, morate kombinirajte uvjetni pristup s preciznim dizajnom sigurnosnih ulogaNa primjer, programerima je često potreban pristup kreatora u razvojnim okruženjima, ali ne i administratorska dopuštenja u produkciji. Pravila uvjetnog pristupa omogućuju vam zahtijevanje MFA-e, ograničavanje lokacija ili provođenje kompatibilnih uređaja, ali ono što mogu učiniti definirano je Dataverse ulogama i dopuštenjima.
Druga relevantna točka je kontinuirana procjena pristupa (Kontinuirana evaluacija pristupa). Umjesto čekanja isteka tokena (obično do sat vremena), određene usluge poput Dataversea mogu opozvati pristup gotovo u stvarnom vremenu kada otkriju kritične promjene: opoziv dopuštenja, promjene lokacije, izmjene pravila itd. Ovaj pristup smanjuje prozor izloženosti ako se korisniku opozove pristup ili se otkrije rizični događaj.
Uvjetni pristup za vanjske korisnike i B2B suradnja
Mnoge organizacije dijele resurse s vanjski korisniciPartneri, dobavljači, kupci, konzultanti… U tim slučajevima, Microsoft Entra External ID dolazi do izražaja, omogućujući B2B suradnju i izravnu B2B povezanost. Vanjski korisnici mogu se autentificirati kod vlastitog zakupnika ili kod pružatelja društvenih identiteta (Google, Facebook, SAML itd.), ali zakupnik resursa odlučuje koje se politike uvjetnog pristupa primjenjuju.
Za scenarije između Entra stanara, možete konfigurirati MFA i povjerenje u ulaz uređajaTo omogućuje vašem klijentu da prihvati signal ako je korisnik već dovršio MFA ili je njegov uređaj potvrđen kao kompatibilan ili pridružen Hybrid Entryju u njihovoj izvornoj organizaciji, a da ne traži još jedan izazov. Ako ne konfigurirate ovo povjerenje, ponašanje se razlikuje: B2B gosti morat će dovršiti MFA u vašem klijentu; B2B korisnici s izravnom vezom mogu biti blokirani ako je potrebna MFA ili usklađenost uređaja i ne može se procijeniti.
U slučaju korisnika koji nisu iz Entre (društveni identiteti, osobni Microsoft računi ili OTP autentifikacija putem e-pošte), Zakupnik resursa je uvijek odgovoran za MFA.Drugim riječima, ako vaša politika zahtijeva MFA, to će se izvršiti u vašem direktoriju; ne možete to delegirati drugom vanjskom pružatelju usluga.
Također možete definirati specifične politike na temelju vrste vanjskog korisnika: B2B gosti (UserType=Gost), B2B članovi (tretirani gotovo kao interni korisnici), B2B korisnici s izravnom vezom (bez korisničkog objekta u vašem direktoriju), naslijeđeni lokalni gostujući korisnici, pružatelji usluga i tako dalje. Ova razina granularnosti omogućuje vam, na primjer, da zahtijevate MFA otporan na phishing samo za visokorizične vanjske veze.
Zaštita direktorija, rizici i domene s niskim privilegijama
Delikatan detalj koji se često zanemaruje jest da mnoge aplikacije traže sfere niskih privilegija povezane s direktorijem kao što su User.Read, People.Read, GroupMember.Read.All itd. Tradicionalno, kada ste stvarali pravila "Svi resursi" s nekim izuzećima, ovi su se opsegu izostavljali kako se ne bi oštetile aplikacije koje čitaju samo osnovni korisnički profil ili njihovo članstvo u grupi.
Microsoft je promijenio ovo ponašanje i sada Ova područja se procjenjuju kao pristup resursu Windows Azure Active Directory (00000002-0000-0000-c000-000000000000). To znači da ako imate pravilo koje cilja "Sve resurse" s izuzećima ili određeno pravilo na Windows Azure AD-u, zahtjevi za tokene koji zahtijevaju samo te opsege mogu pokrenuti uvjetni pristup i nametnuti MFA ili usklađenost uređaja.
U praksi, korisnici mogu početi nailaziti na probleme s MFA prilikom prijave u alate poput Visual Studio Code, Azure CLI ili druge aplikacije koje zahtijevaju samo openid, profile, User.Read ili slične opsege. Ako vaša organizacija također namjerava osigurati ovu vrstu pristupa informacijama direktorija, ovo je logičan korak; u suprotnom ćete morati prilagoditi pravila ili stvoriti posebna pravila za Windows Azure Active Directory.
Da biste utvrdili koje će aplikacije biti pogođene, možete koristiti PowerShell skripte i izvješća o korištenju i aktivnosti Microsoftovi alati za prijavu omogućuju vam popis principala usluga i delegiranih opsega koje koriste, kao i nedavni broj prijava, kako biste otkrili aplikacije koje zahtijevaju samo te opsege s niskim privilegijama i procijenili trebate li iznimke.
Dobre prakse za sigurnost i upravljanje identitetom
Postavljanje MFA i uvjetnog pristupa u sustavu Windows 11 i ostatku vašeg okruženja samo je pola priče. Ostalih 50% je u model upravljanja identitetom: tko ima dopuštenja, koliko dugo i s kojim privilegijama.
Među najvažnijim preporukama su minimizirati broj računa s velikim utjecajemOdvojite uloge umjesto da povećavate privilegije na redovnim korisničkim računima i koristite Just-In-Time (JIT) modele s alatima poput Microsoft Entra Privileged Identity Management (PIM) za dodjelu povišenih dopuštenja samo kada je to potrebno.
Također je preporučljivo izbjegavati stalni administrativni pristup kako bi se održalo dokumentirani i praćeni računi za hitne slučajeveOjačajte provjeru autentičnosti administratora metodama bez lozinke ili robusnom višestrukom autentifikacijom (MFA) i primijenite strože politike uvjetnog pristupa na te uloge (npr. zahtijevajte kompatibilne uređaje i MFA otporan na krađu identiteta za sve administratorske operacije iz sustava Windows 11).
Što se tiče životnog ciklusa identiteta, bitno je imati jasan proces za Onemogući ili izbriši račune Kada korisnik promijeni ulogu, napusti organizaciju ili kada radno opterećenje prestane koristiti identitet usluge, periodični pregledi pristupa, posebno za uloge s visokim privilegijama ili vanjske korisnike, pomažu u sprječavanju nakupljanja nepotrebnih dozvola.
Za Power Platformu se posebno preporučuje usmjeravanje programera na vlastitim razvojnim okruženjimaOgraničite masovno dijeljenje (na primjer, izbjegavajte opciju "Svi"), kontrolirajte pristup okruženjima pomoću Entra ID grupa, koristite Dataverse kao primarno spremište s granularnim RBAC-om i primijenite pravila o podacima koja ograničavaju konektore koji se mogu koristiti u zadanim ili razvojnim okruženjima.
Kada se sve ovo kombinira - robusna višefaktorska autentifikacija (MFA), dobro osmišljene politike uvjetnog pristupa, zaštita uređaja sa sustavom Windows 11 putem Intunea, robusno upravljanje identitetima i model dozvola s najmanjim privilegijama - gradi se moderni perimetar temeljen na identitetu koji nadilazi jednostavne lozinke i tradicionalni mrežni vatrozid. Korisničko iskustvo je poboljšano (s manje lozinki koje treba pamtiti i više jednokratne prijave), a istovremeno se drastično smanjuje rizik od kompromitiranja, čak i protiv naprednih phishing napada i napada krađe tokena.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje pisanjem, a to je ono što ću učiniti na ovom blogu, pokazati vam sve najzanimljivije stvari o gadgetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se snađete u digitalnom svijetu na jednostavan i zabavan način.