导航到主页 导航到上一个 导航到下一个

条件访问

什么是条件访问?

条件访问是根据预定义条件保护 IT 资源访问的过程。通过根据用户的设备类型、访问时间、IP 地址或地理位置创建访问策略,您可以严格控制对网络和数据的访问。条件访问提供了额外的安全性,并有助于防止攻击者获取对 IT 资源的访问权限。

ADSelfService Plus 帮助您实施条件访问,确保只有授权用户才能访问工作站、应用程序和 ADSelfService Plus 中的各项功能,包括更改密码和目录自助更新。

了解 ADSelfService Plus 中的条件访问如何工作

要了解 ADSelfService Plus 中的条件访问是如何工作的,您需要先了解基础知识。条件访问依赖于某些条件和标准,这些条件和标准用于创建条件访问规则。这个规则决定了将应用于用户的自助服务策略,从而决定该用户启用的多因素身份验证方法、云应用程序和自助服务功能。

条件

条件是与用户相关的因素,例如设备类型、IP 地址或地理位置。您可以根据需要启用一个或多个条件。ADSelfService Plus 支持以下条件:

标准

启用所需条件后,您可以使用 AND、OR 和 NOT 操作符组合已启用的条件以制定标准。此标准将确定如何评估不同的条件以决定访问请求的结果。

例如,假设您的用户分布在世界各地,但不包括某些国家。您需要确保他们仅在营业时间内并仅从受信任的 IP 地址访问资源。在这种情况下,您需要启用 IP 地址条件(1)与受信任的 IP,营业时间条件(2)与允许的时间,以及地理位置条件(3)与没有用户的国家。然后,您可以使用如下标准:

标准:1 AND 2 AND(NOT 3)

条件访问规则

条件访问规则由已启用的条件和与自助服务策略相关的标准组成。自助服务策略允许您启用产品功能并配置如何根据 OU 和组成员资格为不同用户组工作。通过将条件和标准与一个或多个自助服务策略关联,您可以创建条件访问规则。

如果您创建了多个条件访问规则,则可以选择对它们进行优先级排序。因此,如果用户符合多个规则,那么优先级最高的规则将生效,随后将应用与该规则关联的自助服务策略。如果用户不符合任何条件访问规则,则将根据策略配置页面中设置的策略优先级应用自助服务策略。

配置条件访问

规则配置

  1. 以管理员身份登录到 ADSelfService Plus。
  2. 导航到配置 > 自助服务 > 条件访问 > 规则配置
  3. 点击配置新的条件访问 (CA) 规则
  4. 输入CA 规则名称描述
  5. 根据您的需求选择条件
    6. 注意:这些条件是做出决策的基础。如果用户满足任何给定的条件,这将根据配置决定是否允许或拒绝访问这些条件。
    • IP 地址
      • 通过勾选相应的框来选择 IP 地址的类型。
      • 对于直接通过客户端计算机连接到您的网络的用户,您可以启用静态 IP。
      • 如果用户通过代理服务器连接,您可以启用代理服务器 IP。
      • 如果用户通过 VPN 服务器连接,您可以启用 VPN IP。
        • 注意:如果您启用了所有三种 IP 类型,规则如下:* (静态 IP 和 代理 IP)或 VPN IP
      • 选择是否信任或不信任输入的 IP。
      • 对于静态 IP,在 IP 范围字段中输入 IP 地址范围。使用 + 图标添加更多 IP 范围。您还可以输入个别 IP 并使用 * 作为通配符选择整个 IP 类别。
    • 设备
      • 选择计算机复选框,然后点击 + 图标。
      • 在打开的选择客户端计算机对话框中,选择域,然后选择计算机对象。点击确定
      • 选择平台复选框,然后使用下拉菜单选择平台。可以选择 Windows、macOS、Linux、移动网页版和原生移动应用。
    • 工作时间
      • 选择工作时间复选框。
      • 选择是否配置工作时间或非工作时间,点击相应的单选按钮。
      • 从提供的天和时间范围中,配置您的工作或非工作时间。
        • 注意:时间将根据您在管理 > 个性化 > 时区设置中选择的时区应用。
    • 地理位置
      • 选择地理位置复选框。
      • 从下拉菜单中选择国家。
  6. 一个条件会根据您启用的条件自动创建。如果创建的条件符合您的要求,则无需对此做出任何更改。只有在确定它们仍然不满足您的要求时,才修改它们。您可以使用AND、ORNOT运算符来制定逻辑。
  7. 点击配置

规则分配

  1. 以管理员身份登录到 ADSelfService Plus。
  2. 前往配置 > 自助服务 > 条件访问 > 规则分配
  3. 从下拉菜单中选择要分配的规则。
  4. 选择您想将此规则分配的策略。
    5. 注意:这指的是您可以通过进入配置 > 自助服务 > 策略配置来配置的自助服务策略。了解更多信息,请参考
此页面

请注意,选定的策略仅在以下情况下适用于用户:

示例:考虑三个自助服务策略 A、B 和 C,以及两个条件访问规则 1 和 2。假设用户属于策略 A 和 B。假设策略 A 和 C 均分配给规则 1。如果用户满足规则 1,则只会将策略 A 分配给用户,因为他只属于策略 A。
  • 还可以允许或阻止 NTLM 单点登录和 ADSelfService Plus 门户访问。这些设置将在满足所选规则的任何地方适用。
    • 注意:允许或阻止 NTLM 单点登录的选项仅在登录设置中配置了NTLM 认证时启用。

    优先级设置条件访问规则

    如果您创建了多个条件访问规则,您可以为每个规则设置优先级,以便具有最高优先级的规则应用于符合多个规则的用户。

    要优先考虑条件访问规则:

    1. 在条件访问配置页面,点击右上角的更改优先级图标(配置新条件访问 (CA) 规则按钮旁)。
    2. 拖动规则并根据您的要求排序。最顶端的规则将具有最高优先级。

    修改、复制、禁用和删除条件访问规则

    可以修改规则更改条件或条件逻辑,复制以创建新规则,禁用或删除。

    1. 转到条件访问配置页面(配置 > 自助服务 > 条件访问)。
    2. 您将看到包含所有已创建的条件访问规则的表格。
    3. 在操作列中,点击图标以根据您要执行的操作进行操作。
    4. 切换 icon-enableicon-disable 图标以启用或禁用规则。如果有 ☑ 图标,表示规则已启用,如果有 ☒ 图标,表示规则已禁用。
    5. 点击 图标修改规则。
    6. 点击 icon-copy 图标复制规则并从中创建新规则。
    7. 点击 icon-delete 图标删除规则。
    Navigate to home Navigate to previous Navigate to next

    谢谢!

    您的请求已提交至 ADSelfService Plus 技术支持团队。我们的技术支持人员将尽快为您提供帮助。

     

    需要技术协助吗?

    • 输入您的电子邮件 ID
    • 与专家交谈
    •  
    •  
      点击 '与专家交谈' 表示您同意根据 隐私政策 处理个人数据。

    版权所有 © 2024卓豪(中国)技术有限公司,保留所有权利。