Pravidla podmíněného přístupu jsou jedním ze základních a nejdůležitějších komponent při vytváření strategie zabezpečení a ochrany dat v rámci tenantu.
Mnoho zákazníků používá jen jednu nebo dvě politiky, které byly vytvořeny před několika lety, proto neškodí jednou za čas zkontrolovat, jaké nové možnosti jsou pro konfiguraci k dispozici.
Dnes se podíváme na ty úplně nejnovější.
Filtrování CAP
S narůstajícím počtem pravidel jistě oceníte možnost vyhledávání a filtrování existujících pravidel. Je možné zobrazit například jen pravidla v „report-only“ režimu, pravidla modifikována během posledního týdne, nebo jen klasicky vyhledávat podle klíčových slov v názvech.
Pojmenované lokality
Mít definovaný seznam lokalit, se kterými je možné při vyhodnocování přístupů dále pracovat je skvělá možnost. Aktuálně je možné vytvářet až 195 pojmenovaných lokalit na základě
- Rozsah IPv4 adres (až 2000)
- Rozsah IPv6 adres
- Stát(y) na základě IPv4 adres
- Stát(y) na základě GPS souřadnic
Jako příklad tedy vytvoříme seznam zemí „EU“ takto:
Při nasazení nového pravidla CAP s povolenou geolokací se uživatelům začnou zobrazovat nové typy dialogů, které je budou vyzývat k povolení lokalizace právě na základě souřadnic.
Je tedy zřejmé, že nasazení takovýchto pravidel bude vyžadovat nejen technické a procesní ověření, ale mimo jiné také správně vedenou komunikaci (a osvětu) s koncovými uživateli, kteří mohou být z takovýchto výzev pochopitelně mírně řečeno „na rozpacích“.
Přístup na RDP s využitím MFA
Ochrana přístupů k virtuálním počítačům běžícím v Azure je také vítanou novinkou, která je ale nad rámec tohoto článku. Detaily naleznete na adrese https://docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows
Vylepšené logování změn
Změny v CAP jsou kritickým okamžikem, který může způsobit neočekáváné problémy. Pokud se tak stane, jistě uvítáte vylepšené možnosti auditu – původní i aktualizované pravidlo v JSON formátu je k dispozici pro případnou obnovu původního stavu nebo pro běžný troubleshooting.
Filtry zařízení
Další novinkou, která bude postupně uvolněna k veřejnému testování bude možnost definování podmínek pro zařízení. Pokud využíváte různé modely Teams meeting rooms, Surface Hubů – brzy bude možné definovat výjimky v pravidlech například na základě výrobce zařízení.
Nastavení bude vypadat patrně obdobně jako filtry v Microsoft Endpoint Manageru, k dispozici by mělo být okolo 15 atributů. Tyto volby by měly být k dispozici zhruba do konce tohoto měsíce.
