Novinky v Conditional Access Policy

Blog

 
 Jan Žák

Pravidla podmíněného přístupu jsou jedním ze základních a nejdůležitějších komponent při vytváření strategie zabezpečení a ochrany dat v rámci tenantu.

Mnoho zákazníků používá jen jednu nebo dvě politiky, které byly vytvořeny před několika lety, proto neškodí jednou za čas zkontrolovat, jaké nové možnosti jsou pro konfiguraci k dispozici.

Dnes se podíváme na ty úplně nejnovější.

Filtrování CAP

S narůstajícím počtem pravidel jistě oceníte možnost vyhledávání a filtrování existujících pravidel. Je možné zobrazit například jen pravidla v „report-only“ režimu, pravidla modifikována během posledního týdne, nebo jen klasicky vyhledávat podle klíčových slov v názvech.

img

Pojmenované lokality

Mít definovaný seznam lokalit, se kterými je možné při vyhodnocování přístupů dále pracovat je skvělá možnost. Aktuálně je možné vytvářet až 195 pojmenovaných lokalit na základě

  • Rozsah IPv4 adres (až 2000)
  • Rozsah IPv6 adres
  • Stát(y) na základě IPv4 adres
  • Stát(y) na základě GPS souřadnic

img

Jako příklad tedy vytvoříme seznam zemí „EU“ takto:

img

Při nasazení nového pravidla CAP s povolenou geolokací se uživatelům začnou zobrazovat nové typy dialogů, které je budou vyzývat k povolení lokalizace právě na základě souřadnic.

imgimg

Je tedy zřejmé, že nasazení takovýchto pravidel bude vyžadovat nejen technické a procesní ověření, ale mimo jiné také správně vedenou komunikaci (a osvětu) s koncovými uživateli, kteří mohou být z takovýchto výzev pochopitelně mírně řečeno „na rozpacích“.

Přístup na RDP s využitím MFA

Ochrana přístupů k virtuálním počítačům běžícím v Azure je také vítanou novinkou, která je ale nad rámec tohoto článku. Detaily naleznete na adrese https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows

Obsah obrázku text Popis byl vytvořen automaticky

Vylepšené logování změn

Změny v CAP jsou kritickým okamžikem, který může způsobit neočekáváné problémy. Pokud se tak stane, jistě uvítáte vylepšené možnosti auditu – původní i aktualizované pravidlo v JSON formátu je k dispozici pro případnou obnovu původního stavu nebo pro běžný troubleshooting.

img

Filtry zařízení

Další novinkou, která bude postupně uvolněna k veřejnému testování bude možnost definování podmínek pro zařízení. Pokud využíváte různé modely Teams meeting rooms, Surface Hubů – brzy bude možné definovat výjimky v pravidlech například na základě výrobce zařízení.

Nastavení bude vypadat patrně obdobně jako filtry v Microsoft Endpoint Manageru, k dispozici by mělo být okolo 15 atributů. Tyto volby by měly být k dispozici zhruba do konce tohoto měsíce.

img

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu