Podzimní novinky v CAP

Možnosti konfigurace jednotlivých pravidel se průběžně rozšiřují, a proto sada CAP, která vyhovovala například před rokem, už dnes nemusí splňovat nové požadavky na řízení přístupů. Nebo může prostě fungovat lépe. Pojďme se tedy podívat na novinky.

Síla ověřování

Nově je možné využívat výchozí, případně vlastní sady úrovně zabezpečení ověřování. Zatímco úroveň „Phishing-resistant“ zahrnuje pouze kombinaci „Windows Hello For Business OR FIDO2 Security Key OR Certificate Based Authentication (Multi-Factor)“, úroveň „Multi-factor authentication“ uspokojí libovolná forma multifaktoru od hesla + SMS až po ověřování certifikáty.

S výběrem a porovnáním možností může pomoci i následující přehled.

U rizikových přihlášení nebo jiných situací pak můžeme vynutit požadovanou minimální úroveň přihlášení.

Poznámka: Aktuálně neprobíhá kontrola, zda je požadovaný způsob ověřování skutečně povolen na úrovni tenantu nebo pro zamýšlenou skupinu uživatelů. Zde je na místě opravdu intenzivní testování. Také je vhodné ověřit přihlašování v různých aplikacích – např. ověřování bezpečnostním klíčem nemusí být vždy k dispozici na různých platformách nebo u různých variant aplikací.

Externí uživatelé

Pravidla pro přístup uživatelů „guest“ by také neměla chybět.

Nově je nyní možné rozlišovat mezi různými typy externích uživatelů. Rozlišení typů a další informace naleznete na Authentication and Conditional Access for B2B users – Azure AD.

Další možností je vytvoření pravidel pro přístup externích uživatelů z konkrétních domén, resp. tenantů.

Filtry

Nově přibyly možnosti filtrování v různých částech konfigurace pravidel. Před nějakou dobou jsme zde popisovali „Custom Security Attributes“. Pokud takové atributy přiřadíte vašim aplikacím, můžete je využít jako filtr pro zacílení konkrétních pravidel.

Podobné filtry najdete například u výběru zařízení nebo workload itentities.

Pravidla podmíněného přístupu prostě vyžadují údržbu a průběžné revize, nezapomeňte si na ně občas nějaký čas vyšetřit.