Создание политики условного доступа

Как объясняется в статье "Что такое условный доступ", политика условного доступа представляет собой конструкцию if-then, объединяющую назначения и элементы управления доступом. Политика условного доступа объединяет сигналы, чтобы принимать решения и применять политики организации.

Как организация создает эти политики? Что необходимо? Как они применяются?

Несколько политик условного доступа могут применяться к отдельному пользователю в любое время. В этом случае необходимо соблюдать все применяемые политики. Например, если для одной политики требуется многофакторная проверка подлинности, а другой требуется соответствующее устройство, необходимо завершить многофакторную проверку подлинности и использовать соответствующее устройство. Все назначения логически ANDed. Если настроено несколько назначений, все назначения должны быть удовлетворены, чтобы активировать политику.

Если выбрана политика с параметром "Требовать один из выбранных элементов управления", мы следуем указанному порядку запросов и предоставляем доступ, как только требования политики выполнены.

Все политики применяются на двух этапах:

• этап 1: сбор сведений о сеансе
  • Сбор сведений о сеансе, таких как идентификация устройства и расположение сети, необходимые для оценки политики.
  • Фаза 1 оценки политики выполняется для включенных политик и тех, что находятся в режиме только для отчетов.
• этап 2: принудительное применение
  • Используйте сведения о сеансе, собранные на этапе 1, чтобы определить все требования, которые не выполнены.
  • Если существует политика, настроенная с использованием блока управления предоставлением доступа, то на этом этапе выполнение политики останавливается и пользователь блокируется.
  • Пользователю будет предложено выполнить дополнительные требования к управлению грантом, которые не были удовлетворены на этапе 1 в следующем порядке, пока политика не будет удовлетворена:
    1. многофакторная аутентификация
    2. устройство, которое должно быть помечено как соответствующее
    3. гибридное устройство, присоединенное к Microsoft Entra,
    4. утвержденное клиентское приложение
    5. политика защиты приложений
    6. изменение пароля
    7. условия использования
    8. Пользовательские элементы управления
  • После удовлетворения всех элементов управления предоставлением примените элементы управления сеансами (принудительное приложение, Microsoft Defender для облачных приложений и срок действия маркера)
  • Этап 2 оценки политики выполняется для всех включенных политик.

Назначения

Раздел назначений контролирует, кто, что и где в политике условного доступа.

Пользователи и группы

пользователи и группы назначают, кого включать или исключать политика при применении. Это назначение может включать всех пользователей, определенные группы пользователей, роли каталога или внешних гостевых пользователей.

Целевые ресурсы

целевые ресурсы могут включать или исключать облачные приложения, действия пользователей или контексты проверки подлинности, подлежащие политике.

Сеть

сетевой содержит IP-адреса, географические области и соответствующие сетевые решения политики условного доступа. Администраторы могут задавать местоположения и помечать некоторые из них как доверенные, например, для основных сетевых местоположений организации.

Условия

Политика может содержать несколько условий .

Риск входа в систему

Для организаций с Microsoft Entra ID Protectionобнаруженные риски могут влиять на политики условного доступа.

Платформы устройств

Организации с несколькими платформами операционной системы устройств могут применять определенные политики на разных платформах.

Сведения, используемые для вычисления платформы устройств, исходят из непроверенных источников, таких как строки агента пользователя, которые могут быть изменены.

Клиентские приложения

Программное обеспечение, которое использует пользователь для доступа к облачному приложению. Например, "Браузер" и "Мобильные приложения и клиенты для настольных компьютеров". По умолчанию все созданные политики условного доступа применяются ко всем типам клиентских приложений, даже если условие клиентских приложений не настроено.

Фильтрация для устройств

Этот элемент управления позволяет нацеливание на определенные устройства на основе их атрибутов в политике.

Элементы управления доступом

Часть политики условного доступа, отвечающая за контроль доступа, управляет тем, как данная политика применяется.

Грант

Грант предоставляет администраторам способ применения политик, где они могут блокировать или предоставлять доступ.

Блокировка доступа

Блокировка доступа выполняет именно это: блокирует доступ в соответствии с указанными назначениями. Управление блоком является мощным и должно осуществляться с соответствующими знаниями.

Предоставление доступа

Элемент управления предоставлением может активировать принудительное применение одного или нескольких элементов управления.

• Требовать многофакторную проверку подлинности
• Требовать, чтобы устройство было помечено как соответствующее (Intune)
• Требовать гибридное устройство, присоединенное к Microsoft Entra
• Требовать утвержденное клиентское приложение
• Требовать политику защиты приложений
• Требовать изменение пароля
• Требовать условия использования

Администраторы могут выбрать один из предыдущих элементов управления или все выбранные элементы управления с помощью следующих параметров. По умолчанию для нескольких элементов управления требуется все.

• Требовать все выбранные элементы управления (элемент управления и элемент управления)
• Требовать один из выбранных элементов управления (элемент управления или элемент управления)

Сеанс

элементы управления сеансами могут ограничить опыт пользователей.

• Используйте ограничения, применяемые приложением:
  • В настоящее время работает только с Exchange Online и SharePoint Online.
  • Передает сведения об устройстве для управления предоставлением полного или ограниченного доступа.
• Используйте элемент управления условным доступом к приложению:
  • Использует сигналы от Microsoft Defender для облачных приложений для выполнения таких действий:
    • Блокировать скачивание, вырезать, копировать и печатать конфиденциальные документы.
    • Мониторинг рискованного поведения во время сеанса.
    • Требовать метки конфиденциальных файлов.
• Частота входа:
  • Возможность изменения частоты входа по умолчанию для современной проверки подлинности.
• Постоянный сеанс браузера:
  • Позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера.
• Настройка оценки непрерывного доступа
• Отключение параметров устойчивости по умолчанию

Простые политики

Политика условного доступа должна содержать как минимум следующие элементы:

• название политики.
• задания
  • пользователи и/или группы, к которым применяется политика.
  • Облачные приложения или действия, к которым применять политику.
• элементы управления доступом
  • Разрешить или Заблокировать управление

В статье общие политики условного доступа включены некоторые политики, которые мы считаем полезными для большинства организаций.

Связанное содержимое

• создание политики условного доступа

• Управление соответствием устройств с помощью Intune

• Microsoft Defender для облачных приложений и условного доступа