Поделиться через

Условия использования Microsoft Entra

  • Статья

Условия использования Microsoft Entra предоставляют простой способ предоставления сведений конечным пользователям. Организации могут использовать условия использования вместе с политиками условного доступа, чтобы сотрудники или гости приняли условия использования перед получением доступа. Эти термины использования могут быть обобщены или зависят от групп или пользователей и предоставляются на нескольких языках. Администраторы могут определить, кто имеет или не принял условия использования с предоставленными журналами или API.

Примечание.

В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.

Предварительные условия

Чтобы использовать и настраивать политики использования Microsoft Entra, необходимо:

  • Лицензии Microsoft Entra ID P1.
  • Администраторам, которым требуется читать условия использования и политики условного доступа, необходима по крайней мере роль Читателя безопасности.
  • Администраторам, которым необходимо создать или изменить условия использования и политики условного доступа, требуется по крайней мере назначенная роль администратора условного доступа.
  • Условия использования документа в формате PDF. PDF-файл может быть любым контентом, который вы решили отобразить. Для поддержки пользователей на мобильных устройствах в PDF-файлах рекомендуется использовать 24-й размер шрифта.

Лимиты услуг

Вы можете добавить не более 40 условий для каждого клиента.

Добавление условий использования

После завершения документа политики использования используйте следующую процедуру, чтобы добавить ее.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.

  2. Перейдите к Защита>Условный доступ>Условия использования.

  3. Выберите Новые условия.

    Снимок экрана, на котором показаны новые условия использования, чтобы указать параметры использования.

  4. В поле "Имя" введите имя политики использования.

  5. Документ "Условия использования": перейдите к PDF-файлу с окончательными условиями использования и выберите его.

  6. Выберите язык для документа с условиями использования. Параметр языка позволяет отправлять несколько условий использования документов, каждый из которых имеет другой язык. Версия политики использования, которую видит конечный пользователь, зависит от своих настроек браузера.

  7. В поле Отображаемое имя введите название, которое будет отображаться для пользователей при входе.

  8. Чтобы обязать пользователей просмотреть условия использования, прежде чем принять их, для параметра Требовать, чтобы пользователи развернули условия использования выберите значение Вкл.

  9. Чтобы пользователи принимали условия использования на каждом устройстве, с помощью которого они осуществляют доступ, для параметра Требовать согласие пользователей для каждого устройства выберите значение Вкл. Пользователям может потребоваться установить другие приложения, если этот параметр включен. Дополнительные сведения см. в статье Условия использования для каждого устройства.

  10. Если вы хотите установить срок действия согласий с условиями использования по графику, включите параметр Истечение срока действия согласий на Вкл. Когда этот параметр включен, отображаются еще два параметра расписания.

    1. Параметры Начало истечения срока действия и Частота позволяют указать расписание истечения срока действия для условий использования. В следующей таблице показан результат нескольких примеров настроек.

      Начало истечения срока действия Периодичность Результат
      Сегодняшняя дата Ежемесячно Начиная с сегодняшнего дня, пользователи должны принимать условия использования, а затем повторно принимать их каждый месяц.
      Дата в будущем Ежемесячно Начиная с сегодняшнего дня, пользователи должны принимать условия использования. Когда наступает будущая дата, срок действия согласий истекает, и затем пользователи должны снова принимать их каждый месяц.

      Например, если вы установите дату начала истечения срока действия на 1 января и частоту на ежемесячно, это пример того, как может истекать срок действия для двух пользователей.

      Пользователь Дата первого принятия Дата первого истечения срока действия Дата второго истечения срока действия Дата третьего истечения срока действия
      Алиса 1 янв 1 февраля 1 мар 1 апреля
      Борис 15 янв 1 февраля 1 мар 1 апреля

    2. Параметр Период времени, после которого потребуется повторное принятие условий (в днях) позволяет указать количество дней, предшествующих обязательному повторному принятию пользователем условий использования. Этот параметр позволяет пользователям следовать собственному расписанию. Например, если задать период в 30 дней, в этом примере срок действия может истечь у двух пользователей:

      Пользователь Дата первого принятия Дата первого истечения срока действия Дата второго истечения срока действия Дата третьего истечения срока действия
      Алиса 1 янв 31 янв 2 марта 1 апреля
      Борис 15 янв 14 февраля 16 мар 15 апреля

      Можно использовать параметры Истечение срока действия согласия и Период времени, после которого потребуется повторное принятие условий (в днях) вместе, но обычно используется только один из них.

      Внимание

      Пользователи, у которых истек срок действия согласия, независимо от используемого параметра, Истечение срока действия согласия или Длительность до повторного принятия (дней), запрашивается повторное принятие условий только в том случае, если их сеанс истек.

  11. В разделе Условный доступ из списка Использование шаблона политики условного доступа выберите шаблон для применения условий использования.

    Шаблон Описание
    Настраиваемая политика Выберите пользователей, группы и приложения, к которым применяется политика использования.
    Создать политику условного доступа позже Эта политика использования отображается в списке элементов управления предоставлением при создании политики условного доступа.

    Внимание

    Элементы управления политиками условного доступа (включая условия использования) не поддерживают принудительное применение в учетных записях служб. Рекомендуется исключить все учетные записи служб из политики условного доступа.

    Пользовательские политики условного доступа реализуют детализированные условия использования, вплоть до конкретного облачного приложения или группы пользователей. Дополнительную информацию см. в разделе Быстрый старт: требование принятия условий использования перед доступом к облачным приложениям

  12. Нажмите кнопку создания.

    Если выбран настраиваемый шаблон условного доступа, откроется новый экран, где можно будет создать настраиваемую политику условного доступа. Теперь вы увидите новые условия использования.

Отдельные условия использования для каждого устройства

Параметр Требовать согласия пользователей для каждого устройства позволяет потребовать от пользователя принятия условий использования на каждом устройстве, через которое он осуществляет доступ. Устройство конечного пользователя должно быть зарегистрировано в Microsoft Entra ID. Если устройство присоединено, то его идентификатор используется для принудительного применения условий использования на каждом устройстве. Их опыт зависит от разрешений на присоединение к устройствам и используемой платформы или программного обеспечения. Дополнительные сведения см. в разделе "Удостоверение устройства" в идентификаторе Microsoft Entra.

Условия использования для каждого устройства имеют следующие ограничения:

  • Приложение Microsoft Intune для регистрации Application ID: d4ebce55-015a-49b5-a083-c84d1797ae8c не поддерживается. Убедитесь, что оно исключено из любой политики условного доступа, которая требует применения условий использования.
  • Пользователи Microsoft Entra B2B не поддерживаются.

Изменения политики

Политики условного доступа вступают в силу немедленно. Когда это принудительное применение произойдет, администратор может увидеть сообщения об ошибках в Центре администрирования Microsoft Entra. Администратору необходимо выйти и войти для удовлетворения требований новой политики.

Внимание

Охватываемым пользователям необходимо выйти и снова войти для удовлетворения требований новой политики, если:

  • условная политика доступа активирована в связи с политикой условий использования
  • созданы другие условия использования;

Изменение условий использования

Можно изменить некоторые сведения в условиях использования, но не существующий документ. Ниже описано, как изменить эти сведения.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора условного доступа.

  2. Перейдите к Защита>Условный доступ>Условия использования.

  3. Выберите условия использования, которые нужно изменить.

  4. Выберите Изменить условия (Edit terms).

  5. На панели "Изменить условия использования" можно изменить следующие параметры:

    • Имя — внутреннее название условий использования, которое не показывается конечным пользователям.
    • Отображаемое имя — имя которое пользователи могут видеть при просмотре условий использования.
    • Требовать, чтобы пользователи развернули условия использования. Если этот параметр включен, пользователь должен развернуть документ условий использования, прежде чем принимать его.
    • Вы можете обновить существующие условия использования документа.
    • Вы можете добавить язык в существующие условия использования.

  6. Когда все будет готово, нажмите кнопку Сохранить, чтобы сохранить изменения.

Если вы хотите изменить другие параметры, необходимо создать новую политику условий использования.

Обновление версии или PDF существующего условия использования

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Администратора Условного Доступа.

  2. Перейдите к Защите>Условному доступу>Условиям использования.

  3. Выберите условия использования, которые нужно изменить.

  4. Выберите Изменить условия (Edit terms).

  5. Для языка, для которого нужно обновить новую версию, нажмите Обновить в столбце "Действие"

  6. В области справа загрузите pdf-файл для обновленной версии.

  7. Кроме того, можно выбрать переключатель Требовать повторного принятия, если вы хотите, чтобы пользователи приняли эту новую версию при следующем входе.

    • Если требуется, чтобы пользователи повторно приняли новую версию, в следующий раз, когда они попытаются получить доступ к ресурсу, определенному в политике условного доступа, им будет предложено принять эту новую версию.
    • Если ваши пользователи не обязаны повторно принимать условия, их предыдущее согласие остается в силе, и только новые пользователи, которые не дали согласие ранее или чье согласие истекает, увидят новую версию. До истечения срока действия сеанса пользователям не требуется повторно принимать новые условия использования. Если вы хотите обеспечить повторное принятие, удалите и воссоздайте или создайте новые условия использования специально для этого случая.

    Снимок экрана: область редактирования условий использования с выделенным параметром повторного принятия.

  8. После отправки нового PDF-файла и принятия решения о его принятии нажмите кнопку "Добавить" в нижней части панели.

  9. Вы увидите самую последнюю версию в столбце Document.

Добавление языка

В следующей процедуре описывается, как добавить язык в условия использования.

  1. Войдите в Центр администрирования Microsoft Entra в роли администратора условного доступа.

  2. Перейдите к Защита>Условный доступ>Условия использования.

  3. Выберите условия использования, которые нужно изменить.

  4. Выберите "Изменить условия".

  5. В нижней части страницы нажмите кнопку Добавить язык.

  6. В области "Добавление условий использования" отправьте локализованный PDF-файл и выберите язык.

    Снимок экрана: выбранные условия использования и вкладка

  7. Выберите Добавить язык.

  8. Выберите Сохранить

  9. Нажмите кнопку Добавить, чтобы добавить язык.

Просмотр предыдущих версий условий использования

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Читателя по безопасности.
  2. Перейдите к Защите>Условному доступу>Условия использования.
  3. Выберите условия политики использования, для которых необходимо просмотреть журнал версий.
  4. Выберите Языки и история версий.
  5. Выберите См. предыдущие версии
  6. Чтобы скачать эту версию, можно выбрать имя документа.

Просмотр отчета о тех, кто принял или отклонил условия

В колонке "Условия использования" отображается количество пользователей, которые приняли и отказались. Имена и количество пользователей, которые приняли или отклонили условия, хранятся в течение жизненного цикла условий использования.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с ролью Читатель по безопасности.

  2. Перейдите к Защите>Условному доступу>Условиям использования.

    Снимок экрана, показывающий панель условий использования с указанием количества пользователей, которые приняли и которые отказались.

  3. Чтобы просмотреть текущее состояние пользователей, в колонке "Условия использования" щелкните число рядом со счетчиком пользователей, которые приняли или отклонили условия.

    1. По умолчанию на следующей странице для каждого из пользователей отображается текущее состояние принятия условий использования.
    2. Если нужно просмотреть предыдущие события принятия, то можно выбрать Все из раскрывающегося списка Текущее состояние. Теперь вы можете видеть события каждого пользователя с подробным описанием каждой версии и произошедшего.
    3. Кроме того, можно выбрать определенную версию в раскрывающемся списке "Версия ", чтобы узнать, кто принял эту конкретную версию.

  4. Чтобы просмотреть журнал для отдельного пользователя, щелкните многоточие () и выберите Просмотреть журнал. На панели истории просмотров отображается история всех принятий, отклонений и истечений.

Пользователь принимает удаление записи

Записи о принятии пользователей удаляются при:

  • Администратор явно удаляет условия использования.
    • Когда это изменение происходит, все записи о принятии, связанные с определенными условиями использования, также удаляются.
  • Клиент теряет лицензии Microsoft Entra ID P1 или P2.
  • Арендатор удалён.

Просмотр журналов аудита Microsoft Entra

Если вы хотите просмотреть больше действий, условия использования Microsoft Entra включают журналы аудита. Принятие условий каждым пользователем инициирует событие, которое регистрируется в журналах аудита и хранится в течение 30 дней. Эти журналы можно просмотреть на портале или загрузить в виде CSV-файла.

Чтобы приступить к работе с журналами аудита Microsoft Entra, используйте следующую процедуру:

  1. Войдите в Центр администрирования Microsoft Entra как минимум с ролью Читатель отчетов.

  2. Перейдите к защите>условному доступу>условиям использования.

  3. Выберите условия использования.

  4. Затем выберите пункт Ознакомиться с журналами аудита.

  5. На экране журналов аудита Microsoft Entra можно отфильтровать сведения с помощью предоставленных списков для целевых сведений журнала аудита.

    Вы также можете скачать данные в CSV-файл для использования на локальном компьютере, щелкнув Загрузить.

    Снимок экрана, показывающий экран журналов аудита Microsoft Entra с отображением даты, целевой политики, инициировавшего лица и действия.

    Если щелкнуть журнал, отобразится область с дополнительными сведениями о действиях.

    Снимок экрана, отображающий сведения о действии: действие, статус действия, инициатор, целевая политика.

Как условия использования выглядят для пользователей

После создания и применения политики использования пользователи, на которых распространяется действие, видят следующий экран во время входа.

Снимок экрана: пример политики использования, который отображается при входе пользователя.

Пользователи могут просматривать условия использования и при необходимости использовать кнопки для увеличения и уменьшения масштаба. Пользователи должны принять условия использования только один раз, и они не увидят их снова при последующих входах в систему.

Каким образом пользователи могут просмотреть свои условия использования

Пользователи могут просматривать и видеть условия использования, которые они приняли, следуя следующей процедуре.

  1. Выполните вход в https://myaccount.microsoft.com/.
  2. Выберите Параметры и конфиденциальность.
  3. Выберите Конфиденциальность.
  4. В разделе Уведомление организации выберите Представление рядом с условиями использования, которые вы хотите просмотреть.

Удаление условий использования

Можно удалить старые условия использования следующим образом.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к защите>условному доступу>условиям использования.
  3. Выберите условия использования, которые нужно удалить.
  4. Нажмите Удалить термины.
  5. В сообщении, которое появится на экране с вопросом о том, нужно ли продолжить, нажмите кнопку Да.
    1. Вы больше не должны видеть ваши условия использования.

гости B2B.

С помощью условного доступа и условий использования вы можете применять политику непосредственно к гостевым пользователям B2B. Во время потока активации приглашения пользователю предоставляются условия использования.

Политики использования отображаются только в том случае, если у пользователя есть гостевая учетная запись в идентификаторе Microsoft Entra. В настоящее время SharePoint Online имеет внешний интерфейс получателя общего доступа для предоставления общего доступа к документу или папке, которая не требует, чтобы у пользователя была гостевая учетная запись. В этом случае условия использования не отображаются.

Поддержка облачных приложений

Условия использования могут использоваться для различных облачных приложений, например Azure Information Protection и Microsoft Intune. Сейчас эта возможность доступна в предварительной версии.

Azure Information Protection (защита информации в Azure)

Можно настроить политику условного доступа для приложения Azure Information Protection и требовать принятия условий использования, когда пользователь открывает защищенный документ. Эта конфигурация активирует политику использования перед первым доступом пользователя к защищенному документу.

Регистрация в Microsoft Intune

Можно настроить политику условного доступа для приложения Microsoft Intune Enrollment и требовать принятия условий использования перед регистрацией устройства в Intune. Дополнительные сведения см. в записи блога о выборе подходящих условий для вашей организации.

Примечание.

Приложение Intune Enrollment не поддерживает отдельные условия использования для каждого устройства.

Для автоматической регистрации устройств iOS/iPadOS добавление пользовательского URL-адреса в политику Microsoft Entra по условиям использования не позволяет пользователям открывать и читать эту политику из URL-адреса в Мастере установки. Политика может быть прочитана пользователем после завершения помощника по настройке с веб-сайта Корпоративный портал или в приложении Корпоративный портал.

Часто задаваемые вопросы

Почему для моих пользователей отображаются два варианта входа? Одно прерывание и один успех.
Ответ. Администраторы могут видеть два входа, когда пользователи еще не приняли политику использования, этот сценарий является конструктивным. Эти записи имеют общий идентификатор корреляции.

Снимок экрана: пример сбоя и успеха в журнале входа при применении условий использования.

Одна авторизация прерывается, так как пользователь не может предоставить подтверждение принятия условий использования в своем токене. Поле дополнительных сведений в журнале входа содержит следующее сообщение:

Пользователь должен удовлетворять дополнительные требования перед завершением проверки подлинности и перенаправляться на другую страницу (например, условия использования или сторонний поставщик MFA). Сам по себе этот код не указывает на то, что пользователь не смог войти в систему. Журналы авторизации могут указывать на то, что это испытание успешно пройдено или завершилось ошибкой.

Если пользователь принимает условия политики использования, второй вход будет успешным.

В. Я не могу выполнить вход через PowerShell, если условия использования включены.
О. Условия использования могут быть приняты только при проверке подлинности в интерактивном режиме.

В. Как узнать, что пользователь принял условия использования и в какое время?
Ответ. В колонке "Условия использования" щелкните число под надписью Принято. Вы также можете просмотреть или искать принятую активность в журналах аудита Microsoft Entra. Дополнительные сведения см. в разделе "Просмотр отчета о том, кто принял и отказался" и просмотр журналов аудита Microsoft Entra.

В. Как долго хранится информация?
Ответ: Количество пользователей включено в отчет об условиях использования, и данные о том, кто принял или отклонил условия, хранятся на весь срок действия условий использования. Журналы аудита Microsoft Entra хранятся в течение 30 дней.

Вопрос: Почему в обзоре деталей условий использования отображается другое количество согласий по сравнению с журналами аудита Microsoft Entra?
Данные обзора условий использования хранятся в течение всего срока действия политики условий использования. Журналы аудита Microsoft Entra хранятся в течение 30 дней.

Вопрос. Почему я вижу разное количество согласий в деталях условий использования и в экспортированном CSV-отчете?
Ответ. Обзор сведений об использовании отражает агрегированные принятия текущей версии политики (обновляется один раз в день). Если включена функция истечения срока действия или обновляются условия использования (с обязательным требованием повторного принятия), то счетчик на обзоре сведений сбрасывается, так как принятия истекают, и эта страница показывает количество для текущей версии. Все журналы принятия по-прежнему фиксируются в CSV-отчете.

В. Если в PDF-документе условий использования имеются гиперссылки, смогут ли пользователи переходить по ним?
О. Да, конечные пользователи смогут открывать гиперссылки на другие страницы, но ссылки на разделы в документе не поддерживаются. Кроме того, гиперссылки в PDF файлах с условиями использования не работают при доступе с портала Microsoft Entra My Apps/MyAccount.

В. Могут ли условия отображаться на нескольких языках?
Ответ. Да. Администратор может отправить несколько PDF-документов и пометить эти документы соответствующим языком. Когда пользователь выполняет вход, мы определяем языковые параметры его браузера и отображаем соответствующий документ. Если совпадений нет, отображается документ по умолчанию, которым является первый переданный документ.

В. Когда активируются условия использования?
В ходе процесса входа в систему активируется политика использования.

В. Для каких приложений можно применять условия использования?
О. Можно создать политику условного доступа для корпоративных приложений, использующих современные методы проверки подлинности. Дополнительные сведения см. в разделе Корпоративные приложения.

В. Можно ли добавить несколько экземпляров условий использования для определенного пользователя или приложения?
О. Да, путем создания нескольких политик условного доступа, предназначенных для этих групп или приложений. Если пользователь попадает в область нескольких политик использования, он должен принимать одну политику одновременно.

В. Что произойдет, если пользователь отклонит условия использования?
О. Пользователь не сможет получить доступ к приложению. Чтобы получить доступ, ему необходимо будет повторно войти в систему и принять условия.

В. Можно ли отказаться от принятия ранее принятых условий использования?
О. Вы можете просмотреть ранее принятые условия использования, но отказаться от них в настоящее время нельзя.

В. Что произойдет, если я также использую условия Intune?
Ответ. Если вы настраиваете условия использования Microsoft Entra и Intune, пользователь должен принять оба условия. Дополнительные сведения см. в записи блога о выборе правильного решения условий использования для организации.

В. Какие конечные точки использует служба условий использования для проверки подлинности?
Ответ. Условия использования используют следующие конечные точки для проверки подлинности: https://tokenprovider.termsofuse.identitygovernance.azure.com, https://myaccount.microsoft.comи https://account.activedirectory.windowsazure.com. Если у вашей организации есть список разрешенных URL-адресов для регистрации, необходимо добавить эти конечные точки в список разрешений вместе с конечными точками Microsoft Entra для входа.

Связанный контент