Co je režim Pouze sestavy pro podmíněný přístup?
Podmíněný přístup je široce používán našimi zákazníky k zajištění zabezpečení použitím správných řízení přístupu za správných okolností. Jedním z problémů s nasazením zásad podmíněného přístupu ve vaší organizaci je ale určení dopadu na koncové uživatele. Může být obtížné předvídat počet a názvy uživatelů ovlivněných běžnými iniciativami zabezpečení. Mezi tyto iniciativy patří: blokování starší verze ověřování, vyžadování vícefaktorového ověřování pro populaci uživatelů nebo implementace zásad rizik přihlašování.
Režim pouze sestav je nový stav zásad podmíněného přístupu, který správcům umožňuje vyhodnotit dopad zásad podmíněného přístupu předtím, než je povolí ve svém prostředí.
- Zásady podmíněného přístupu je možné vyhodnotit pouze v režimu sestavy s výjimkou položek zahrnutých v oboru Akce uživatele.
- Během přihlašování se zásady v režimu jen pro sestavy vyhodnocují, ale nevynucují se.
- Výsledky se protokolují na kartách Podmíněný přístup a Sestava s podrobnostmi protokolu přihlášení.
- Zákazníci s předplatným služby Azure Monitor můžou monitorovat dopad zásad podmíněného přístupu pomocí sešitu Přehledy podmíněného přístupu.
Upozorňující
Zásady v režimu jen pro sestavy, které vyžadují vyhovující zařízení, můžou uživatele v systému Mac, iOS a Android vyzvat k výběru certifikátu zařízení během vyhodnocování zásad, i když není vynucováno dodržování předpisů zařízením. Tyto výzvy se můžou opakovat, dokud zařízení nedodržuje předpisy. Pokud chcete koncovým uživatelům zabránit v přijímání výzev během přihlašování, vylučte platformy zařízení Mac, iOS a Android ze zásad jen pro sestavy, které provádějí kontroly dodržování předpisů zařízením. Všimněte si, že režim pouze sestav se nevztahuje na zásady podmíněného přístupu s oborem Akce uživatele.
Výsledky zásad
Když se zásada v režimu jen sestavy vyhodnotí pro dané přihlášení, existují čtyři nové možné výsledné hodnoty:
Výsledek | Popis |
---|---|
Pouze sestava: Úspěch | Byly splněny všechny nakonfigurované podmínky zásad, požadované neinteraktivní ovládací prvky udělení a řízení relací. Požadavek na vícefaktorové ověřování je například splněný deklarací identity vícefaktorového ověřování, která už v tokenu existuje, nebo je splněná zásada vyhovujících zařízením provedením kontroly zařízení v zařízení vyhovujícím předpisům. |
Pouze sestava: Selhání | Všechny nakonfigurované podmínky zásad byly splněny, ale nebyly splněny všechny požadované neinteraktivní ovládací prvky udělení nebo řízení relací. Zásada se například vztahuje na uživatele, u kterého je nakonfigurovaný ovládací prvek bloku, nebo zařízení selže se zásadami zařízení dodržující předpisy. |
Pouze sestava: Vyžaduje se akce uživatele | Všechny nakonfigurované podmínky zásad byly splněny, ale akce uživatele by byla nutná k splnění požadovaných ovládacích prvků udělení nebo řízení relací. V režimu jen pro sestavy se uživateli nezobrazí výzva k splnění požadovaných ovládacích prvků. Například uživatelé nejsou vyzváni k problémům s vícefaktorovým ověřováním nebo podmínkám použití. |
Pouze sestava: Nepoužito | Nebyly splněny všechny nakonfigurované podmínky zásad. Uživatel je například vyloučen ze zásad nebo se zásada vztahuje pouze na určitá důvěryhodná pojmenovaná umístění. |
Přehledy sešit podmíněného přístupu
Správa istrátory mají možnost vytvářet více zásad v režimu jen pro sestavy, takže je nutné porozumět individuálnímu dopadu jednotlivých zásad i kombinovanému dopadu více zásad vyhodnocených společně. Nový sešit Přehledy podmíněného přístupu umožňuje správcům vizualizovat dotazy podmíněného přístupu a monitorovat dopad zásad pro daný časový rozsah, sadu aplikací a uživatelů.