Augusti 2025

Conditional Access i Entra ID: en komplett konfigurationsguide

Conditional Access är motor som avgör vem som får åtkomst till molnresurser, under vilka villkor och med vilka kontroller. I Microsoft Entra ID bygger ni policyer som kombinerar användare, appar, nätverk och enhetsstatus. Rätt upplägg minskar risken för stulna lösenord samtidigt som produktiva användare slipper onödig friktion när risken är låg.

Grundstruktur för en policy

Varje policy har tilldelningar: vilka användare eller grupper som omfattas, vilka molnappar som skyddas, och villkor som nätverk eller enhetsplattform. Åtgärden kan vara att kräva multifaktor, godkänd klientapp, hybridanslutna enheter eller helt blockera åtkomst. Börja med en krissäker baslinje för alla användare och lägg till undantag dokumenterat per affärsorsak.

Krav på MFA och stark autentisering

Ställ in att inloggning utanför betrodda nät alltid kräver MFA. Använd lösenordsfria metoder där möjligt: Windows Hello, FIDO2 eller Microsoft Authenticator med nummermatchning. Kombinera med riskbaserade policyer från Identity Protection om licensen finns, så att misstänkta inloggningar utmanas hårdare än normala.

Enhetsefterlevnad

Krav på att enheten är hanterad i Intune eller markerad som kompatibel är effektivt mot dataläckage från opålitliga datorer. Definiera compliance policyer för Windows, iOS och Android: kryptering, minsta OS version och antivirusstatus. Länka dessa krav i Conditional Access så att icke kompatibla enheter bara når begränsade appar eller omdirigeras till registrering.

Platser och namngivna platser

Skapa namngivna platser för kontorsnät, VPN utgångar och leverantörers IP intervall. Markera vissa som betrodda om ni endast vill kräva full MFA utanför kontoret. För resande personal: kombinera landbaserade signaler med försiktighet eftersom IP geolokalisering kan slå fel. Övervaka inloggningsloggar efter falska positiva.

Rapportläge innan produktion

Innan ni aktiverar en strikt policy, kör den i rapportläge under några veckor. Verktyget visar vilka användare som skulle påverkats utan att blockera dem. Åtgärda konton som saknar MFA eller enheter som inte uppfyller compliance, justera undantag och aktivera sedan policy med övervakning första dagarna.

Med tydlig namngivning av policyer och ändringslogg i ärendesystem blir Entra ID lätt att förvalta när organisationen växer.

Undantag och bryggor

Vissa äldre appar saknar stöd för modern autentisering. Isolera dessa i separata policyer med hårdare nätverkskrav eller kortare sessionstid. Dokumentera varje undantag med ägare och review datum. På sikt bör legacy ersättas eller skyddas bakom Application Proxy där det är möjligt så att Conditional Access kan omfatta hela flödet.