1. 什么是AAD Conditonal Access
2. AAD 条件访问的发展
3. AAD条件访问前提
1. 什么是AAD Conditonal Access
条件访问是AAD用来控制应用程序的访问权限,这个访问权限是基于一下专门的条件,比如说:基于用户的地点,基于访问的设备,基于应用程序本身,基于风险的等级。
具体来说:
- 基于网络地点:比如公司内网的地点就允许用户名和密码登录,但是,再其他国家、其他地区的网络访问就可以被禁掉。
- 设备管理:在AAD里面,可以通过很多设备去访问云上的app,如果你想让你的应用程序只能在企业托管的设备里面有效,那么就要进行条件访问;或者你想禁用某种设备类型,也可以用条件访问。
- 客户端应用:你可以通过基于网页的app、基于手机的app,基于笔记本的app进行登录访问,如果你想指定某种类型的客户端app才合法有效,就要用到条件访问。或者你要求必须要用IT托管的客户端类型进行访问。
- 登录风险:AAD表示保护可以检测登录风险,如果登录风险很高,怎么去限制访问?如果你想更明确地确定登录的用户是个很合法的用户?
2. 条件访问策略
条件访问的情形:
when this happens | then do this
when this happens:定义触发这条策略的原因是啥
then do thi:明确策略的内容是啥
条件访问策略的目的是基于用户访问的方式,在访问云应用的时候,强加一些额外的访问控制。
在AAD 条件访问里面,有两个重要角色:
- 用户:who,谁来进行访问
- 云应用:what,目标访问的应用
条件访问可以基于目前的访问权限,设置自动访问控制决策。
在第一个因子验证完成之后就会启动条件访问策略,所以条件访问策略不是用来预防DoD(denial-of-service)攻击的,但是可以利用初次访问的信息来确定访问权限,比如登录风险级别,请求登录的地点等等信息。
基于用户、地理位置的条件访问