Lukáš Beran
Lukáš Beran

Vítejte na mém blogu! Pokud hledáte návody, tipy a triky ze světa IT, jste tu správně. Najdete zde primárně články k produktům a službám Microsoftu, jako například operační systémy, servery, virtualizace, sítě, správa, ale také cloud. Občas přidám i nějaké další zajímavé články.

Listopad 2019
PoÚtStČtSoNe
« Říj  
 123
45678910
11121314151617
18192021222324
252627282930 

Rubriky


Podmíněný přístup do cloudových služeb Microsoft

Lukáš BeranLukáš Beran

Podmíněný přístup je velmi silný nástroj pro zvýšení bezpečnosti cloudových služeb. Plnohodnotný podmíněný přístup je ale k dispozici až s Azure AD Premium licencemi. S Office 365 licencemi získáte pouze základní možnosti předkonfigurovaných nastavení, do kterých není možné moc zasahovat.

Co je Azure AD podmíněný přístup

Azure AD podmíněný přístup (Conditional Access) je definice podmínek pro přístup k různým cloudovým službám nebo aplikacím. Můžete například definovat, že pro přístup k Exchange Online se uživatel musí ověřit přes MFA (Multi-Factor Authentication – vícefaktorové ověřování) nebo musí použít pro přístup firemní počítač. Nebo například pro přístup na privilegované účty budete vždy vyžadovat firemní zařízení a navíc přístup bude možný pouze z České republiky.

Definovaných podmínek můžete mít libovolné množství. Podmínky mohou být velmi detailní a granulární, takže můžete mít podmínky pro různé cloudové služby nebo aplikace a definovat v nich různé stavy a podmínky pro různé uživatele nebo skupiny uživatelů. Politiky podmíněného přístupu se mohou i překrývat, tedy pro jeden stav může existovat více podmínek, které se budou vyhodnocovat. Jako například výše uvedená podmínka pro privilegované uživatele, kterou bychom pravděpodobně definovali přes dvě politiky, kdy jedna by vyžadovala firemní počítač a druhá by vyžadovala přístup z České republiky.

Politiky podmíněného přístupu mohou cílit také na různé protokoly. Můžete pomocí nich například zakázat Exchange ActiveSync. Nebo mohou cílit na různé aplikace, kdy například přístup k Exchange Online přes webový prohlížeč povolíte odkudkoliv (s MFA), ale přístup k Exchange Online z Outlooku povolíte jen z firemních počítačů.

Vyhodnocování politik podmíněného přístupu v Azure AD

Obecně platí, že pokud je pro danou situaci aplikováno více politik podmíněného přístupu, pak všechny požadavky musí být splněny, aby byl umožněn přístup. Pokud tedy jedna politika říká, že uživatel musí použít MFA a druhá politika říká, že uživatel musí použít firemní zařízení, pak uživatel musí použít firemní zařízení a současně se ověřit přes MFA. Jinak řečeno, mezi všemi politikami podmíněného přístupu platí logický AND.

Druhým základním pravidlem je, že pokud kterákoliv politika je vyhodnocena na blokování přístupu, pak další politiky se již nevyhodnocují a přístup je zablokován bez ohledu na ostatní politiky.

Důležité je také vědět, že politiky podmíněného přístupu se vyhodnocují až po prvotním ověření uživatele, tedy typicky po zadání uživatelského jména a hesla. Politiky podmíněného přístupu tedy neslouží jako ochrana proti DDoS útokům například. V případě neúspěšného prvotního ověření uživatele se politiky vůbec nevyhodnocují.

Otestování funkčnosti politik podmíněného přístupu

Chování politik podmíněného přístupu lze otestovat pomocí simulace určitého stavu. K tomu slouží tlačítko What If na hlavní stránce politik podmíněného přístupu.

V rámci tohoto testování si můžete nasimulovat různé situace a vyzkoušet si, jak se politiky ve skutečnosti budou chovat.

Nadšenec do nových technologií se zájmem primárně o technologie a služby společnosti Microsoft. Občasný blogger a cestovatel.

Komentáře 0
Nejsou zde žádné komentáře.