Как работает сила проверки подлинности условного доступа
В этом разделе объясняется, как сила проверки подлинности условного доступа может ограничить, какие методы проверки подлинности разрешены для доступа к ресурсу.
Как работает сила проверки подлинности с политикой методов проверки подлинности
Существует две политики, определяющие, какие методы проверки подлинности можно использовать для доступа к ресурсам. Если пользователь включен для метода проверки подлинности в любой политике, он может войти с помощью этого метода.
Политики методов>проверки подлинности безопасности>— это более современный способ управления методами проверки подлинности для определенных пользователей и групп. Вы можете указать пользователей и группы для различных методов. Можно также настроить параметры для управления способом использования метода.
Дополнительные параметры многофакторной проверки подлинности безопасности>— это устаревший способ управления методами многофакторной проверки подлинности>для всех пользователей в клиенте.
Пользователи могут зарегистрировать методы проверки подлинности, для которые они включены. Администратор также может настроить устройство пользователя с помощью метода, например проверки подлинности на основе сертификатов.
Оценка политики надежности проверки подлинности во время входа
Политика условного доступа проверки подлинности определяет, какие методы можно использовать. Идентификатор Microsoft Entra проверяет политику во время входа, чтобы определить доступ пользователя к ресурсу. Например, администратор настраивает политику условного доступа с настраиваемой силой проверки подлинности, требующей ключа доступа (ключ безопасности FIDO2) или пароля + текстового сообщения. Пользователь обращается к ресурсу, защищенному этой политикой.
Во время входа все параметры проверяются, чтобы определить, какие методы разрешены, какие методы зарегистрированы и какие методы требуются политикой условного доступа. Чтобы выполнить вход, метод должен быть разрешен, зарегистрирован пользователем (либо до, либо как часть запроса на доступ) и обеспечить надежность проверки подлинности.
Как вычисляются несколько политик проверки подлинности условного доступа
Как правило, если для входа применяется несколько политик условного доступа, все условия из всех политик должны выполняться. В том же отношении, когда к входу применяются несколько политик надежности проверки подлинности условного доступа, пользователь должен удовлетворять всем условиям надежности проверки подлинности. Например, если для выполнения обеих политик безопасности проверки подлинности требуется ключ доступа (FIDO2), пользователь может использовать ключ безопасности FIDO2 для удовлетворения обоих политик. Если две политики надежности проверки подлинности имеют разные наборы методов, пользователь должен использовать несколько методов для удовлетворения обеих политик.
Как оценивается несколько политик надежности проверки подлинности условного доступа для регистрации сведений о безопасности
Для режима прерывания регистрации сведений о безопасности оценка надежности проверки подлинности обрабатывается по-разному. Преимущества проверки подлинности, предназначенные для действия пользователя регистрации сведений о безопасности, предпочтительнее для других политик надежности проверки подлинности, предназначенных для всех ресурсов (ранее "Все облачные приложения"). Все остальные элементы управления предоставления (например , требовать, чтобы устройство было помечено как соответствующее) из других политик условного доступа в области входа будет применяться как обычно.
Например, предположим, что Компания Contoso хотела бы требовать, чтобы пользователи всегда входить с помощью метода многофакторной проверки подлинности и с соответствующего устройства. Компания Contoso также хочет разрешить новым сотрудникам регистрировать эти методы MFA с помощью временного прохода доступа (TAP). Не удается использовать TAP для любого другого ресурса. Чтобы достичь этой цели, администратор может выполнить следующие действия:
- Создайте настраиваемую силу проверки подлинности с именем Bootstrap и восстановление , включающее сочетание проверки подлинности Временный проход доступа, он также может включать любой из методов MFA.
- Создайте настраиваемую силу проверки подлинности с именем MFA для входа , включающую все разрешенные методы MFA без временного прохода доступа.
- Создайте политику условного доступа, которая предназначена для всех ресурсов (ранее "Все облачные приложения") и требует многофакторной проверки подлинности для обеспечения надежности проверки подлинности входа и требования к соответствующим элементам управления предоставления устройств .
- Создайте политику условного доступа, предназначенную для действия пользователя "Регистрация сведений о безопасности" и требующую силы проверки подлинности начальной загрузки и восстановления .
В результате пользователи на совместимом устройстве смогут использовать временный проход доступа для регистрации любого метода MFA, а затем использовать только что зарегистрированный метод для проверки подлинности в других ресурсах, таких как Outlook.
Примечание.
Если несколько политик условного доступа предназначены для действия пользователя регистрации сведений о безопасности, и каждый из них применяет силу проверки подлинности, пользователь должен удовлетворить все такие сильные стороны проверки подлинности для входа.
Некоторые методы без пароля и фишинга не могут быть зарегистрированы в режиме прерывания. Дополнительные сведения см. в разделе "Регистрация методов проверки подлинности без пароля".
Взаимодействие с пользователем
Следующие факторы определяют, получает ли пользователь доступ к ресурсу:
- Какой метод проверки подлинности использовался ранее?
- Какие методы доступны для проверки подлинности?
- Какие методы разрешены для входа пользователя в политику методов проверки подлинности?
- Зарегистрирован ли пользователь для любого доступного метода?
Когда пользователь обращается к ресурсу, защищенному политикой условного доступа проверки подлинности, идентификатор Microsoft Entra определяет, соответствуют ли методы, которые ранее использовались для проверки подлинности. Если использовался удовлетворительный метод, идентификатор Microsoft Entra предоставляет доступ к ресурсу. Например, предположим, что пользователь входит с помощью пароля и текстового сообщения. Они получают доступ к ресурсу, защищенному силой проверки подлинности MFA. В этом случае пользователь может получить доступ к ресурсу без другого запроса проверки подлинности.
Предположим, что они получают следующий доступ к ресурсу, защищенному фишингом, устойчивостью к проверке подлинности MFA. На этом этапе им будет предложено предоставить метод проверки подлинности, устойчивый к фишингу, например Windows Hello для бизнеса.
Если пользователь не зарегистрировался для каких-либо методов, удовлетворяющих силе проверки подлинности, он перенаправляется на объединенную регистрацию.
Пользователям требуется зарегистрировать только один метод проверки подлинности, который удовлетворяет требованиям к надежности проверки подлинности.
Если сила проверки подлинности не включает метод, который пользователь может зарегистрировать и использовать, пользователь блокирует вход в ресурс.
Регистрация методов проверки подлинности без пароля
Следующие методы проверки подлинности не могут быть зарегистрированы в рамках объединенного режима прерывания регистрации. Убедитесь, что пользователи зарегистрированы для этих методов перед применением политики условного доступа, которая может требовать их использования для входа. Если пользователь не зарегистрирован для этих методов, он не сможет получить доступ к ресурсу до регистрации необходимого метода.
| Способ | Требования к регистрации |
|---|---|
| Microsoft Authenticator (вход по телефону) | Можно зарегистрировать из приложения Authenticator. |
| Passkey(FIDO2) | Можно зарегистрировать с помощью объединенного управляемого режима регистрации и принудительно применяться с помощью возможностей проверки подлинности с помощью объединенного режима мастера регистрации |
| Аутентификация на основе сертификата | Требуется настройка администратора; невозможно зарегистрировать пользователем. |
| Windows Hello для бизнеса | Можно зарегистрировать в меню параметров Windows Out of Box (OOBE) или в меню "Параметры Windows". |
Федеративный интерфейс пользователя
Для федеративных доменов MFA может применяться условным доступом Microsoft Entra или локальным поставщиком федерации, задав федеративныйIdpMfaBehavior. Если для параметра federatedIdpMfaBehavior задано значение enforceMfaByFederatedIdp, пользователь должен пройти проверку подлинности в федеративном поставщике удостоверений и может удовлетворить только федеративное многофакторное сочетание требования к силе проверки подлинности. Дополнительные сведения о параметрах федерации см. в разделе "Планирование поддержки MFA".
Если у пользователя из федеративного домена есть параметры многофакторной проверки подлинности в области поэтапного развертывания, пользователь может выполнить многофакторную проверку подлинности в облаке и удовлетворить любой из федеративных однофакторных сочетаний + то, что у вас есть комбинации. Дополнительные сведения о поэтапном выпуске см. в разделе "Включение поэтапного развертывания".