条件访问

什么是条件访问？

条件访问是基于预定义条件保护对 IT 资源的访问的过程。通过基于用户的设备类型、访问时间、IP 地址或地理位置创建访问策略，您可以严格控制对网络和数据的访问。条件访问提供了额外的安全性，有助于防止攻击者获取 IT 资源的访问权限。

ADSelfService Plus帮助您实施条件访问，以确保只有授权用户才能访问工作站、应用程序以及ADSelfService Plus中可用的各种功能，包括更改密码和目录自助更新。

• 了解基础知识
• 配置步骤

了解ADSelfService Plus中的条件访问如何运作

要了解ADSelfService Plus中的条件访问如何运作，您首先需要了解基础知识。条件访问依赖于某些条件和条件逻辑，这些用于创建访问规则。该规则确定将为用户应用哪个自助服务策略，这反过来又决定为该用户启用哪些多因素认证方法、云应用和自助服务功能。

条件

条件是与用户相关的因素，例如设备类型、IP地址或地理位置。您可以根据需求启用任何一个或多个条件。ADSelfService Plus支持以下条件：

• IP地址：根据用户的IP地址控制访问。您可以配置静态IP、代理服务器IP和VPN IP。您可以选择信任或不信任配置的IP。受信任的IP将被允许访问，而不受信任的IP将被拒绝访问。
• 设备：根据计算机对象和它们运行的平台（Windows、macOS、Linux、移动网页应用和移动原生应用）控制访问。
• 工作时间：根据工作时间或非工作时间控制访问。
• 地理位置：基于请求的发起位置控制访问。
注意：基于地理位置的条件依赖于用户的IP地址来确定位置。因此，只有来自公共IP地址的访问才会被评估。使用私有IP地址的用户将无法通过此条件。

条件逻辑

根据需求启用条件后，您可以使用AND、OR和NOT操作符组合启用的条件以形成条件逻辑。此条件逻辑将决定如何评估不同条件以确定访问请求的结果。

例如，假设您的用户位于全球（除某些国家外）。您需要确保他们只能在工作时间内并且仅从受信任的IP地址访问资源。在这种情况下，您需要启用IP地址条件（1）与受信任的IP、工作时间条件（2）与允许时间，并使用地理位置条件（3）与您没有用户的国家。然后，您可以使用如下条件逻辑：

条件逻辑：1 AND 2 AND (NOT 3)

规则

规则由启用的条件和与自助服务策略关联的条件逻辑组成。自助服务策略允许您启用产品的功能并配置它如何根据用户所在的组织单位和组成员资格为不同的用户组工作。通过将条件和条件逻辑与一个或多个自助服务策略关联，您创建了一个规则。

如果您创建了多个规则，可以选择为它们优先级排序。因此，如果一个用户符合多个规则，则优先级最高的规则将生效，随后与该规则关联的自助服务策略将应用于用户。如果用户不符合任何规则，则自助服务策略将根据策略配置页面中设定的优先级应用。

配置条件访问

1. 以管理员身份登录到 ADSelfService Plus。
2. 导航到 配置 → 自助服务 → 条件访问。
3. 点击 添加新规则。
4. 输入一个规则名称和描述。
5. 根据需要选择条件。
• IP地址
• 通过勾选相应的框选择IP地址类型。
• 对通过客户端计算机直接连接到您网络的用户，可以启用静态IP。
• 如果您的用户通过代理服务器连接，可以启用代理服务器IP。
• 如果您的用户通过VPN服务器连接，可以启用VPN IP。
注意：如果您已启用所有三种IP类型，以下规则适用。
* (静态IP和代理IP)或VPN IP
• 选择是否信任或不信任输入的IP。信任的IP将被允许访问，不信任的IP将被阻止。
• 对于静态IP，在IP范围字段中输入IP地址的范围。使用+图标添加更多IP范围。您也可以输入单个IP，并使用*作为通配符选择整个IP类。
• 设备
• 选择计算机复选框，然后点击+图标。
• 在打开的选择客户端计算机对话框中，选择域，然后选择计算机对象。点击确定。
• 选择平台复选框，然后使用下拉菜单选择平台。您可以选择Windows、macOS、Linux、移动网页应用程序和本地移动应用程序。
• 营业时间
• 选择营业时间复选框。
• 通过选择相应的单选按钮，选择您是否想配置营业时间或非营业时间。
• 从提供的天数和时间范围中，配置您的营业或非营业时间。
注意：时间将根据您在“管理员 → 个性化 → 时区”设置中选择的时区应用。
• 地理位置
• 选择地理位置复选框。
• 从下拉菜单中选择国家。
6. 现在，使用已启用的条件创建一个条件逻辑。可以使用AND, OR,和NOT运算符构建逻辑。每个条件被分配一个编号：IP地址为1，设备为2，依此类推。您可以使用这些编号和允许的运算符创建条件逻辑。例如，1 AND (2 OR 3) 和 1 AND (3 OR (NOT 4))
7. 在关联策略下拉菜单中，选择将应用于通过此条件逻辑的用户的策略。
注意：这里的策略指的是自助服务策略，您可以通过访问配置 → 自助服务 → 策略配置来配置。欲了解更多信息，请参考此页面。
8. 点击添加。

优先级排序条件访问规则

如果您创建了多个条件访问规则，可以为每个规则设置优先级，以便对符合多个规则的用户应用优先级最高的规则。

要优先排序规则：

1. 在条件访问配置页面中，点击右上角的更改优先级图标（“添加新规则”按钮旁边）。
2. 根据您的要求拖动规则并排序。顶部的规则具有最高优先级。

修改、复制、禁用和删除条件访问规则

可以修改规则以更改条件或条件逻辑，复制以创建新规则，禁用或删除。

1. 进入条件访问配置页面（配置 > 自助服务 > 条件访问）。
2. 您将看到一个包含所有已创建条件访问规则的表格。
3. 在“操作”列中，根据您想执行的操作点击图标。
4. 切换 和 图标以启用或禁用规则。如果有 ☑ 图标，表示规则已启用，如果有 ☒ 图标，表示规则已禁用。
5. 单击 图标以修改规则。
6. 单击 图标以复制规则并根据其创建新规则。
7. 单击 图标以删除规则。