Villkorlig åtkomst: Användare, grupper och arbetsbelastningsidentiteter

En princip för villkorsstyrd åtkomst måste innehålla en användar-, grupp- eller arbetsbelastningsidentitetstilldelning som en av signalerna i beslutsprocessen. Dessa identiteter kan inkluderas eller undantas från principer för villkorsstyrd åtkomst. Microsoft Entra ID utvärderar alla principer och ser till att alla krav uppfylls innan åtkomst beviljas.

Inkludera användare

Den här listan över användare innehåller vanligtvis alla användare som en organisation riktar in sig på i en princip för villkorsstyrd åtkomst.

Följande alternativ är tillgängliga när du skapar en princip för villkorsstyrd åtkomst.

  • Ingen
    • Inga användare har valts
  • Alla användare
    • Alla användare som finns i katalogen, inklusive B2B-gäster.
  • Välj användare och grupper
    • Gästanvändare eller externa användare
      • Det här valet innehåller flera alternativ som kan användas för att rikta principer för villkorsstyrd åtkomst till specifika gäst- eller externa användartyper och specifika klientorganisationer som innehåller dessa typer av användare. Det finns flera olika typer av gästanvändare eller externa användare som kan väljas och flera val kan göras:
        • Gästanvändare för B2B-samarbete
        • Användare av B2B-samarbetsmedlemmar
        • B2B-direktanslutningsanvändare
        • Lokala gästanvändare, till exempel alla användare som tillhör hemklientorganisationen med attributet för användartyp inställt på gäst
        • Tjänstleverantörsanvändare, till exempel en Molnlösningsleverantör (CSP)
        • Andra externa användare eller användare som inte representeras av andra val av användartyp
      • En eller flera klienter kan anges för de valda användartyperna, eller så kan du ange alla klienter.
    • Katalogroller
      • Gör att administratörer kan välja specifika inbyggda katalogroller som används för att fastställa principtilldelning. Organisationer kan till exempel skapa en mer restriktiv princip för användare som aktivt har tilldelats en privilegierad roll. Andra rolltyper stöds inte, inklusive administrativa enhetsomfattande roller och anpassade roller.
        • Med villkorsstyrd åtkomst kan administratörer välja vissa roller som visas som inaktuella. Dessa roller visas fortfarande i det underliggande API:et och vi tillåter administratörer att tillämpa principer på dem.
    • Användare och grupper
      • Tillåter mål för specifika uppsättningar av användare. Organisationer kan till exempel välja en grupp som innehåller alla medlemmar i HR-avdelningen när en HR-app väljs som molnapp. En grupp kan vara vilken typ av användargrupp som helst i Microsoft Entra-ID, inklusive dynamiska eller tilldelade säkerhets- och distributionsgrupper. Principen tillämpas på kapslade användare och grupper.

Viktigt!

När du väljer vilka användare och grupper som ingår i en princip för villkorsstyrd åtkomst finns det en gräns för hur många enskilda användare som kan läggas till direkt i en princip för villkorsstyrd åtkomst. Om det finns en stor mängd enskilda användare som behöver läggas till direkt i en princip för villkorsstyrd åtkomst rekommenderar vi att du placerar användarna i en grupp och tilldelar gruppen till principen för villkorsstyrd åtkomst i stället.

Om användare eller grupper är medlemmar i över 2048 grupper kan deras åtkomst blockeras. Den här gränsen gäller för både direkt och kapslat gruppmedlemskap.

Varning

Principer för villkorsstyrd åtkomst stöder inte användare som tilldelats en katalogroll som är begränsad till en administrativ enhet eller katalogroller som är begränsade direkt till ett objekt, till exempel via anpassade roller.

Kommentar

När du riktar principer till externa B2B-direktanslutningsanvändare tillämpas dessa principer även på B2B-samarbetsanvändare som har åtkomst till Teams eller SharePoint Online och som också är berättigade till B2B-direktanslutning. Detsamma gäller för principer som är riktade till externa B2B-samarbetsanvändare, vilket innebär att användare som har åtkomst till delade Teams-kanaler har B2B-samarbetsprinciper om de också har en gästanvändares närvaro i klientorganisationen.

Exkludera användare

När organisationer både inkluderar och exkluderar en användare eller grupp undantas användaren eller gruppen från principen. Exkludera-åtgärden åsidosätter inkluderingsåtgärden i principen. Undantag används ofta för nödåtkomst eller brytglaskonton. Mer information om konton för nödåtkomst och varför de är viktiga finns i följande artiklar:

Följande alternativ är tillgängliga att undanta när du skapar en princip för villkorsstyrd åtkomst.

  • Gästanvändare eller externa användare
    • Det här valet innehåller flera alternativ som kan användas för att rikta principer för villkorsstyrd åtkomst till specifika gäst- eller externa användartyper och specifika klientorganisationer som innehåller dessa typer av användare. Det finns flera olika typer av gästanvändare eller externa användare som kan väljas och flera val kan göras:
      • Gästanvändare för B2B-samarbete
      • Användare av B2B-samarbetsmedlemmar
      • B2B-direktanslutningsanvändare
      • Lokala gästanvändare, till exempel alla användare som tillhör hemklientorganisationen med attributet för användartyp inställt på gäst
      • Tjänstleverantörsanvändare, till exempel en Molnlösningsleverantör (CSP)
      • Andra externa användare eller användare som inte representeras av andra val av användartyp
    • En eller flera klienter kan anges för de valda användartyperna, eller så kan du ange alla klienter.
  • Katalogroller
  • Användare och grupper
    • Tillåter mål för specifika uppsättningar av användare. Organisationer kan till exempel välja en grupp som innehåller alla medlemmar i HR-avdelningen när en HR-app väljs som molnapp. En grupp kan vara vilken typ av grupp som helst i Microsoft Entra-ID, inklusive dynamiska eller tilldelade säkerhets- och distributionsgrupper. Principen tillämpas på kapslade användare och grupper.

Förhindra administratörsutelåsning

För att förhindra administratörsutelåsning visas följande varning när du skapar en princip som tillämpas på Alla användare och Alla appar.

Lås inte ut dig själv! Vi rekommenderar att du först tillämpar en princip på en liten uppsättning användare för att verifiera att den fungerar som förväntat. Vi rekommenderar också att du utesluter minst en administratör från den här principen. Detta säkerställer att du fortfarande har åtkomst och kan uppdatera en princip om en ändring krävs. Granska berörda användare och appar.

Som standard ger principen ett alternativ för att undanta den aktuella användaren från principen, men en administratör kan åsidosätta det som visas i följande bild.

Varning, lås inte ut dig själv!

Om du befinner dig utelåst kan du läsa Vad gör du om du är utelåst?

Åtkomst för externa partner

Principer för villkorsstyrd åtkomst som riktar sig till externa användare kan störa tjänstleverantörens åtkomst, till exempel detaljerade delegerade administratörsprivilegier Introduktion till detaljerade delegerade administratörsprivilegier (GDAP). För principer som är avsedda att rikta in sig på tjänstleverantörsklientorganisationer använder du den externa användartypen Tjänstleverantör som är tillgänglig i alternativen För gäst- eller externa användare .

Arbetsbelastningsidentiteter

En arbetsbelastningsidentitet är en identitet som ger ett program eller tjänstens huvudnamn åtkomst till resurser, ibland i kontexten för en användare. Principer för villkorsstyrd åtkomst kan tillämpas på huvudnamn för en enskild klientorganisationstjänst som är registrerade i din klientorganisation. SaaS från tredje part och appar med flera klientorganisationer ligger utanför omfånget. Hanterade identiteter omfattas inte av principen.

Organisationer kan rikta in sig på specifika arbetsbelastningsidentiteter som ska inkluderas eller undantas från principen.

Mer information finns i artikeln Villkorsstyrd åtkomst för arbetsbelastningsidentiteter.

Nästa steg