Условный доступ: предоставление разрешения

Статья
03/12/2024

В рамках политики условного доступа администратор может использовать управления доступом, чтобы предоставить или заблокировать доступ к ресурсам.

Заблокировать доступ

Элемент управления блокировкой доступа учитывает все назначения и запрещает доступ на основе конфигурации политики условного доступа.

Блокировка доступа — это мощный элемент управления, который следует применять, имея соответствующие знания. Политики с блочными конструкциями могут иметь непредвиденные побочные эффекты. Правильное тестирование и проверка крайне важны перед включением элемента управления в большом масштабе. При внесении изменений администраторы должны использовать такие средства, как режим условного доступа "только отчет" и инструмент "Что если" в условном доступе.

Предоставление доступа

При предоставлении доступа администраторы могут выбрать принудительное применение одного или нескольких элементов управления. К этим элементам управления относятся следующие параметры.

Когда администраторы выбирают вариант объединения этих параметров, они могут использовать следующие методы.

Требуйте все выбранные элементы управления (элемент управления и элемент управления).
Требуется один из выбранных элементов управления (элемент управления или элемент управления).

По умолчанию условный доступ требует всех выбранных элементов управления.

Требование многофакторной проверки подлинности

Если установить этот флажок, пользователи должны будут выполнять многофакторную проверку подлинности Microsoft Entra. Дополнительные сведения о развертывании многофакторной проверки подлинности Microsoft Entra см. в разделе "Планирование облачного развертывания многофакторной проверки подлинности Microsoft Entra".

Windows Hello для бизнеса удовлетворяет требованиям многофакторной проверки подлинности в политиках условного доступа.

Требовать надежность проверки подлинности

Администраторы могут требовать определенные уровни аутентификации в своих политиках условного доступа. Эти уровни надежности аутентификации определяются в Центре администрирования Microsoft Entra>Protection>Authentication methods>Authentication strengths. Администраторы могут создавать собственные или использовать встроенные версии.

Требовать, чтобы устройство было отмечено как соответствующее

Организации, которые развертывают Intune, могут использовать сведения, возвращаемые на своих устройствах, чтобы определить устройства, соответствующие определенным требованиям к политике. Intune отправляет информацию о соблюдении требований в Microsoft Entra ID, чтобы функция условного доступа могла принять решение о предоставлении или блокировке доступа к ресурсам. Дополнительные сведения о политиках соответствия см. в статье Установка правил на устройствах для разрешения доступа к ресурсам в организации с помощью Intune.

Устройство может быть отмечено как соответствующее Intune для любой операционной системы или сторонней системы управления мобильными устройствами для устройств Windows. Список поддерживаемых сторонних систем управления мобильными устройствами можно найти в статье Поддержка сторонних партнеров по соответствию устройств в Intune.

Устройства должны быть зарегистрированы в идентификаторе Microsoft Entra, чтобы их можно было пометить как соответствующие. Дополнительные сведения о регистрации устройств можно найти в статье Что такое удостоверение устройства?.

Элемент управления Требовать, чтобы устройство было отмечено как соответствующее требованиям.

Поддерживает только устройства Windows 10+, iOS, Android, macOS и Linux Ubuntu, зарегистрированные с помощью идентификатора Microsoft Entra и зарегистрированные в Intune.
Microsoft Edge в режиме InPrivate в Windows считается несоответствующим устройством.

Примечание.

В Windows, iOS, Android, macOS и некоторых сторонних веб-браузерах идентификатор Microsoft Entra идентифицирует устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Пользователь должен выбрать этот сертификат, прежде чем он сможет продолжать использовать браузер.

Вы можете использовать приложение Microsoft Defender для Endpoint с политикой "Утвержденное клиентское приложение" в Intune для настройки политики соответствия устройств условным политикам доступа. При настройке условного доступа для приложения Microsoft Defender для конечной точки не требуется исключение. Хотя Microsoft Defender для конечной точки на Android и iOS (идентификатор приложения — dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) не является утвержденным приложением, у него есть разрешение на получение отчетов о состоянии безопасности устройства. Это разрешение позволяет передавать информацию о соответствии требованиям в условный доступ.

Требовать гибридное устройство, присоединенное к Microsoft Entra

Организации могут использовать удостоверение устройства в качестве части политики условного доступа. Организации могут потребовать, чтобы устройства были гибридно присоединены к Microsoft Entra с помощью этого флажка. Дополнительные сведения об удостоверениях устройств см. в статье Что такое удостоверение устройства?.

При использовании потока кода устройства OAuth не поддерживаются обязательное управление предоставлением для управляемого устройства или условие состояния устройства. Это связано с тем, что устройство, выполняющее проверку подлинности, не может передать свое состояние на устройство, предоставляющее код. Кроме того, состояние устройства в токене заблокировано для конкретного устройства, выполняющего аутентификацию. Вместо этого используйте элемент управления "Требовать многофакторную проверку подлинности".

Элемент управления "Требовать гибридное присоединение к устройству Microsoft Entra":

Поддерживает только устройства Windows, присоединенные к домену, более ранних версий (до Windows 10) и текущих версий (Windows 10+).
Не учитывает Microsoft Edge в режиме InPrivate как гибридное устройство, присоединенное к Microsoft Entra.

Требовать утвержденное клиентское приложение

Организациям может потребовать, чтобы утвержденное клиентское приложение использовалось для доступа к выбранным облачным приложениям. Эти утвержденные клиентские приложения поддерживают политики защиты приложений Intune независимо от любого решения по управлению мобильными устройствами.

Предупреждение

Утвержденный грант клиентского приложения перестанет действовать в начале марта 2026 года. К марту 2026 г. организации должны перейти на использование всех текущих политик условного доступа, которые применяют только требование использования утвержденного клиентского приложения, на требование использования утвержденного клиентского приложения или политики защиты приложений. Кроме того, для любой новой политики условного доступа следует применять только требование политики защиты приложений. Дополнительные сведения см. в статье "Миграция утвержденного клиентского приложения в политику защиты приложений в рамках системы условного доступа".

Чтобы применить это управление правами доступа, устройство должно быть зарегистрировано в Microsoft Entra ID, что требует использования приложения-брокера. В качестве приложения брокера может выступать Microsoft Authenticator для iOS, а также либо Microsoft Authenticator, либо корпоративный портал Майкрософт для устройств Android. Если приложение брокера не установлено на устройстве, при попытке пройти проверку подлинности пользователь перенаправляется в соответствующий магазин приложений для установки необходимого приложения брокера.

Следующие клиентские приложения поддерживают этот параметр. Этот список не является исчерпывающим и подлежит изменению:

Microsoft Azure Защита информации
Microsoft Cortana
Microsoft Dynamics 365
Microsoft Edge
Microsoft Excel
Microsoft Power Automate
Microsoft Invoicing
Microsoft Kaizala
Microsoft Launcher
Microsoft Списки
Microsoft Office
Microsoft OneDrive
Microsoft OneNote
Microsoft Outlook
Планировщик (Microsoft)
Microsoft Power Apps
Microsoft Power BI
Microsoft PowerPoint
Microsoft SharePoint
Microsoft Skype для бизнеса
Microsoft Stream
Microsoft Teams
Microsoft To Do
Microsoft Visio
Microsoft Word
Microsoft Yammer
Microsoft Whiteboard
Администратор Microsoft 365

Замечания

Утвержденные клиентских приложения поддерживают функцию управления мобильными приложениями Intune.
Требование к утвержденному клиентскому приложению :
- поддерживает только iOS и Android для условия платформы устройства;
- Требуется приложение брокера для регистрации устройства. В качестве приложения брокера может выступать Microsoft Authenticator для iOS, а также либо Microsoft Authenticator, либо корпоративный портал Майкрософт для устройств Android.
Условный доступ не может рассматривать Microsoft Edge в режиме InPrivate как утвержденное клиентское приложение.
Политики условного доступа, требующие Microsoft Power BI в качестве утвержденного клиентского приложения, не поддерживают использование прокси приложения Microsoft Entra для подключения мобильного приложения Power BI к локальной Сервер отчетов Power BI.
WebView, размещенные за пределами Microsoft Edge, не удовлетворяют утвержденной политике клиентского приложения. Например, если приложение пытается загрузить SharePoint в веб-интерфейсе, политики защиты приложений не срабатывают.

Примеры конфигурации см. в статье Как требовать утвержденные клиентские приложения для облачного доступа к приложениям с условным доступом.

Требование политики защиты приложений

В политике условного доступа можно требовать, чтобы политика защиты приложений Intune присутствовала в клиентском приложении перед доступом к выбранным приложениям. Эти политики защиты приложений для управления мобильными приложениями (MAM) позволяют управлять данными организации и защищать их в определенных приложениях.

Для применения этого элемента управления предоставлением условного доступа требуется, чтобы устройство зарегистрировано в идентификаторе Microsoft Entra, которое требует использования приложения брокера. В качестве приложения посредника могут выступать решения Microsoft Authenticator для iOS или корпоративный портал Майкрософт для устройств Android. Если приложение брокера не установлено на устройстве, при попытке пройти проверку подлинности пользователь перенаправляется в магазин приложений для установки приложения брокера. Приложение Microsoft Authenticator можно использовать в качестве приложения брокера, но не поддерживает назначение в качестве утвержденного клиентского приложения. Политики защиты приложений доступны для iOS и Android и находятся в общедоступной предварительной версии для Microsoft Edge на Windows. Устройства Windows поддерживают не более трех учетных записей пользователей Microsoft Entra в одном сеансе. Дополнительные сведения о применении политики к устройствам Windows см. в статье "Требовать политику защиты приложений на устройствах Windows (предварительная версия)".

Приложения должны соответствовать определенным требованиям для поддержки политик защиты приложений. Разработчики могут найти дополнительную информацию об этих требованиях в разделе «Приложения, которыми можно управлять с помощью политик защиты приложений».

Следующие клиентские приложения поддерживают этот параметр. Этот список не является исчерпывающим и подлежит изменению. Если ваше приложение отсутствует в списке, обратитесь к поставщику приложений, чтобы подтвердить поддержку:

Мобильное приложение Adobe Acrobat Reader
IAnnotate для Office 365
Microsoft Cortana
Microsoft Dynamics 365 для телефонов
Microsoft Dynamics 365 Sales
Microsoft Edge
Microsoft Excel
Microsoft Power Automate
Microsoft Launcher
Microsoft Списки
Microsoft Loop
Microsoft Office
Microsoft OneDrive
Microsoft OneNote
Microsoft Outlook
Планировщик (Microsoft)
Microsoft Power BI
Microsoft PowerApps
Microsoft PowerPoint
Microsoft SharePoint
Microsoft Stream Mobile Native 2.0
Microsoft Teams
Microsoft To Do
Microsoft Word
Службы Microsoft Whiteboard
MultiLine для Intune
Nine Mail — электронная почта и календарь
Аннотация для Intune
Provectus — безопасные контакты
Viva Engage (Android, iOS и iPadOS)

Примечание.

Kaizala, Skype для бизнеса и Visio не поддерживают предоставление Требовать политику защиты приложений. Если для работы этих приложений требуется, используйте исключительно разрешение Требовать утвержденные приложения. Использование условия "или" между двумя грантами не будет работать для этих трех приложений.

См. примеры конфигурации в статье Требование использовать политику защиты приложения и утвержденные клиентские приложения для доступа к облачным приложениям с помощью условного доступа.

Требовать смены пароля

При обнаружении риска для пользователя администраторы могут использовать условия политики риска, чтобы пользователь безопасно изменил пароль с помощью службы самостоятельного сброса пароля Microsoft Entra. Пользователи могут выполнить самостоятельный сброс пароля для устранения неполадок без посторонней помощи. Этот процесс закрывает событие риска пользователя, чтобы предотвратить ненужные оповещения для администраторов.

Когда пользователю будет предложено изменить пароль, сначала требуется выполнить многофакторную проверку подлинности. Убедитесь, что все пользователи регистрируются для многофакторной проверки подлинности, поэтому они подготовлены в случае обнаружения риска для своей учетной записи.

Предупреждение

Пользователи должны быть ранее зарегистрированы для многофакторной аутентификации перед активацией политики риска пользователя.

Следующие ограничения применяются при настройке политики с помощью элемента управления изменением пароля:

Политика должна быть назначена всем ресурсам. Это требование запрещает злоумышленнику использовать другое приложение для изменения пароля пользователя и сброса риска учетной записи путем входа в другое приложение.
Обязательное изменение пароля не может использоваться с другими элементами управления, например с требованием соответствующего устройства.
Элемент управления изменением пароля может использоваться только с условием назначения пользователя и группы, условием назначения облачного приложения (которое должно быть установлено в значение "все") и условиями риска пользователя.

Условия использования

Если ваша организация создала условия использования, другие параметры могут отображаться под элементами управления предоставлением. Эти параметры позволяют администраторам требовать подтверждения условий использования в качестве условия доступа к ресурсам, защищенным политикой. Дополнительные сведения об условиях использования в Microsoft Entra см. в разделе "Условия использования".

Несколько видов контроля за грантами

При применении нескольких контролей предоставления прав доступа к пользователю важно понимать, что политики условного доступа следуют определённому порядку проверки по замыслу. Например, если у пользователя есть две политики, требующие многофакторной проверки подлинности (MFA) и условия использования (ToU), условный доступ сначала проверяет утверждение MFA пользователя, а затем toU.

Если допустимое подтверждение MFA отсутствует в маркере, появляется "прерывание" (ожидание MFA) и неудача для ToU в журналах, даже если ToU уже был принят в предыдущем сеансе входа.
После завершения многофакторной проверки подлинности появится вторая запись журнала, проверяющая значение toU. Если пользователь уже принял Условия использования, вы увидите успех как для MFA, так и для Условий использования.
Если действительное утверждение MFA присутствует в маркере, один журнал показывает успешный результат для MFA и ToU.

Если к пользователю применяются несколько политик, требующих многофакторной идентификации, состояния устройства и toU, процесс аналогичен. Порядок проверки — MFA, состояние устройства, а затем — ToU.

Настраиваемые элементы управления (предварительная версия)

Пользовательские элементы управления — это предварительная функция Microsoft Entra ID. При использовании пользовательских элементов управления пользователи перенаправляются в совместимую службу для удовлетворения требований проверки подлинности, которые отделены от идентификатора Microsoft Entra. Дополнительные сведения см. в статье Пользовательские элементы управления.

Поделиться через