Применение политик условного доступа к трафику глобального безопасного доступа

Политики условного доступа применяются к трафику глобального безопасного доступа. С помощью условного доступа можно требовать многофакторную проверку подлинности и соответствие устройств для доступа к ресурсам Майкрософт.

В этой статье описывается применение политик условного доступа к интернет-трафику Global Secure Access.

Требования

• Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
  • Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
  • Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Создание политики условного доступа, предназначенной для трафика Глобального безопасного доступа в Интернете

В следующем примере политика охватывает всех пользователей за исключением учетных записей аварийного доступа и гостевых или внешних пользователей, и требует многофакторной аутентификации, соответствия требованиям устройства или использования гибридного устройства, зарегистрированного в Microsoft Entra, для обеспечения безопасности интернет-трафика через Global Secure Access.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора условного доступа.

2. Перейдите к идентификации, защите и условному доступу.

3. Выберите команду Создать политику.

4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.

5. В разделе "Назначения"выберите ссылку "Пользователи и группы".

   1. В разделе Включить выберите Все пользователи.
   2. В разделе " Исключить":
      1. Выберите пользователей и группы и учетные записи вашей организации для экстренного доступа или аварийного доступа.
      2. Выберите гостевых или внешних пользователей и установите все флажки.

6. В разделе Целевые ресурсы>ресурсы (ранее облачные приложения).

   1. Выберите все интернет-ресурсы с Глобальным безопасным доступом.

   

   Заметка

   Чтобы применить только профиль пересылки трафика Internet Access и не профиль пересылки трафика Microsoft, выберите "Выбрать ресурсы" и в средстве выбора приложений выберите "Интернет ресурсы" и настройте профиль безопасности.

7. Выберите Элементы управления доступом>Предоставить разрешение.

   1. Выберите "Требовать многофакторную проверку подлинности", "Требовать, чтобы устройство было помечено как соответствующее требованиям" и "Требовать гибридное присоединенное устройство Microsoft Entra"
   2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
   3. Выберите Выберите.

После того как администраторы подтвердят параметры политики, используя режим только для отчетов, администратор может переместить переключатель "Включить политику" из положения "Только для отчетов" в положение "Включено".

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и служебные субъекты, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для рабочих нагрузок, чтобы определить политики, нацеленные на служебные принципы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Следующие шаги

Следующим шагом для начала работы с Microsoft Entra Internet Access является проверка журналов Global Secure Access.

Дополнительные сведения о переадресации трафика см. в следующих статьях:

• Сведения о профилях пересылки трафика
• Управление профилем трафика Майкрософт