条件访问

什么是条件访问?

条件访问是基于预定义条件保护对IT资源的访问的过程。通过根据用户的设备类型、访问时间、IP地址或地理位置创建访问策略，您可以严格控制对网络和数据的访问。条件访问提供了额外的安全性，并帮助防止攻击者获得对IT资源的访问。

ADSelfService Plus帮助您实现有条件访问，以确保只有授权用户才能访问工作站、应用和ADSelfService Plus中提供的各种功能，包括更改密码和目录自助更新。

• 了解基础知识
• 配置步骤

理解条件访问在ADSelfService Plus中的工作方式

要理解条件访问在ADSelfService Plus中的工作方式，首先需要了解基础知识。条件访问依赖于特定的条件和标准，这些条件和标准用于创建条件访问规则。该规则决定将对用户应用哪种自助服务策略，后者又决定为该用户启用的多因素身份验证方法、云应用程序和自助服务特性。

条件

条件是与用户相关的因素，比如设备类型、IP地址或地理位置。您可以根据自己的需求启用任何一个或多个条件。ADSelfService Plus支持以下条件:

• IP地址: 根据用户的IP地址控制访问。您可以配置静态ip、代理服务器ip和VPN ip。您可以选择信任或不信任配置的ip。可信的ip将被允许访问，而不可信的ip将被拒绝访问。
• 设备: 基于计算机对象和平台(Windows, macOS, Linux，移动web应用程序和移动原生应用程序)控制访问。
• 工作时间: 根据工作时间或非工作时间控制访问。
• 地理位置: 基于发出请求的位置控制访问。
注意: 基于地理位置的条件依赖于用户的IP地址来确定位置。因此，只会评估来自公共IP地址的访问。拥有私有IP地址的用户将无法满足此条件。

标准

一旦您根据自己的需求启用了条件，您就可以使用AND、OR和NOT操作符将启用的条件组合起来，形成一个标准。此标准将决定如何评估不同的条件，以确定访问请求的结果。

例如，假设您的用户位于世界各地，但有些国家除外。您需要确保他们只在工作时间访问资源，并且只从可信的IP地址访问资源。在这种情况下，需要启用受信任IP的IP地址条件(1)、允许时间的营业时间条件(2)和没有用户的国家的地理位置条件(3)。然后，您可以使用如下的标准:

标准: 1 AND 2 AND (NOT 3)

条件访问规则

条件访问规则由启用的条件和与自助服务策略相关联的条件组成。自助服务策略允许您启用产品的特性，并根据用户的OU和组成员身份为不同的用户组配置产品的工作方式。通过将条件和标准与一个或多个自助服务策略相关联，您可以创建一个条件访问规则。

如果您创建了多个条件访问规则，您可以选择对它们进行优先级排序。因此，如果一个用户处于多个规则下，优先级最高的规则将生效，随后与该规则关联的自助服务策略将应用于该用户。如果用户不符合任何条件访问规则，则将基于策略配置页面中策略的优先级设置应用自助服务策略。

配置条件访问

1. 以管理员身份登录到ADSelfService Plus。
2. 点击配置 → 自助服务 → 条件访问。
3. 点击配置新条件访问(CA)规则。
4. 输入CA规则名称和描述。
5. 基于您的需求选择条件。
• IP地址
• 通过勾选相应的框选择IP地址的类型。
• 对于那些通过客户端计算机直接连接到您的网络的用户，您可以启用静态IP。
• 如果您的用户通过代理服务器连接，您可以启用代理服务器IP。
• 如果您的用户通过VPN服务器连接，您可以启用VPN IP。
注意: 如果您启用了所有三种ip类型，则适用以下规则。
* (Static IPd AND Proxy IPd) OR VPN IP
• 选择是否信任或不信任输入的ip。可信的ip将被允许访问，不可信的ip将被阻止。
• 对于静态IP，在IP范围字段中输入IP地址的范围。使用+图标添加更多的IP范围。您还可以输入单个IP，并使用*作为通配符来选择整个IP类别。
• 设备
• 选择计算机框，然后点击+图标。
• 在选择客户端计算机对话框中没选择域并选择计算机对象。点击确定。
• 勾选平台，然后从下拉列表中选择平台。您可以选择Windows、macOS、Linux、 移动Web应用和本地移动应用。
• 工作时间
• 选择工作时间框。
• 通过点击相应的单选按钮，选择是否要配置工作时间或非工作时间。
• 从提供的时间表中，配置您的工作或非工作时间。
注意: 时间应用将基于时区，而时区可以从管理 → 个性化 → 时区设置中进行配置。
• 地理位置
• 选择地理位置框。
• 从下列列表中选择国家。
6. 现在，可以根据您启用的条件创建一个标准。您可以使用AND, OR,或NOT操作符以形成逻辑。每个条件被分配一个数字:IP地址是1，设备是2，等等。您可以使用这些数字和允许操作符来创建标准。例如，1 AND (2 OR 3) AND 1 AND (3 OR (NOT 4))
7. 在分配策略下列列表中，选择将应用于通过此标准的用户的策略。
注意: 这里的策略指的是自助服务策略，您可以通过配置 → 自助服务 → 策略配置进行配置。请参考链接了解更多。
8. 点击配置。

对条件访问规则进行优先排序

如果您已经创建了多个条件访问规则，那么您可以为每个规则设置优先级，以便优先级最高的规则应用于属于多个规则的用户。

条件访问规则优先级排序:

1. 在条件访问配置页面中，点击右上角的更改优先级图标(在配置新条件访问(CA)规则按钮旁边)。
2. 拖动规则并根据您的需求对它们进行排序。顶部的规则将具有最高的优先级。

修改、复制、禁用和删除条件访问规则

可以修改规则以更改条件或条件逻辑、复制规则以创建新规则、禁用或删除规则。

1. 进入条件访问配置页面(配置 > 自助服务 > 条件访问)。
2. 您将看到一个包含已创建的所有条件访问规则的表。
3. 在“动作”列下，点击一个基于要执行的操作的图标。
4. 切换和图标以启用或禁用该规则。如果是☑图标，表示规则已启用；如果是☒图标，表示规则已禁用。
5. 点击图标修改规则。
6. 点击图标复制规则并从中创建新的规则。
7. 点击图标删除规则。