Применение политик условного доступа к трафику глобального безопасного доступа
Политики условного доступа применяются к трафику глобального безопасного доступа. С помощью условного доступа можно требовать многофакторную проверку подлинности и соответствие устройств для доступа к ресурсам Майкрософт.
В этой статье описывается применение политик условного доступа к интернет-трафику Global Secure Access.
Требования
- Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
- Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
- Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
- Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.
Создание политики условного доступа, предназначенной для трафика Глобального безопасного доступа в Интернете
В следующем примере политика охватывает всех пользователей за исключением учетных записей аварийного доступа и гостевых или внешних пользователей, и требует многофакторной аутентификации, соответствия требованиям устройства или использования гибридного устройства, зарегистрированного в Microsoft Entra, для обеспечения безопасности интернет-трафика через Global Secure Access.
Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора условного доступа.
Перейдите к идентификации, защите и условному доступу.
Выберите команду Создать политику.
Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
В разделе "Назначения"выберите ссылку "Пользователи и группы".
- В разделе Включить выберите Все пользователи.
- В разделе " Исключить":
- Выберите пользователей и группы и учетные записи вашей организации для экстренного доступа или аварийного доступа.
- Выберите гостевых или внешних пользователей и установите все флажки.
В разделе Целевые ресурсы>ресурсы (ранее облачные приложения).
- Выберите все интернет-ресурсы с Глобальным безопасным доступом.
Заметка
Чтобы применить только профиль пересылки трафика Internet Access и не профиль пересылки трафика Microsoft, выберите "Выбрать ресурсы" и в средстве выбора приложений выберите "Интернет ресурсы" и настройте профиль безопасности.
Выберите Элементы управления доступом>Предоставить разрешение.
- Выберите "Требовать многофакторную проверку подлинности", "Требовать, чтобы устройство было помечено как соответствующее требованиям" и "Требовать гибридное присоединенное устройство Microsoft Entra"
- В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
- Выберите Выберите.
После того как администраторы подтвердят параметры политики, используя режим только для отчетов, администратор может переместить переключатель "Включить политику" из положения "Только для отчетов" в положение "Включено".
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
-
Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
-
Учетные записи служб и служебные субъекты, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для рабочих нагрузок, чтобы определить политики, нацеленные на служебные принципы.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.
Следующие шаги
Следующим шагом для начала работы с Microsoft Entra Internet Access является проверка журналов Global Secure Access.
Дополнительные сведения о переадресации трафика см. в следующих статьях: