Поделиться через

Условный доступ: сеанс

  • Статья

Применяя политику условного доступа, администратор может использовать элементы управления сеансами, чтобы ограничить взаимодействие в определенных облачных приложениях.

Политика условного доступа с условием, требующим многофакторной аутентификации

Ограничения, применяемые приложением

Организации могут использовать этот элемент управления, чтобы требовать от Microsoft Entra ID передачу сведений об устройстве в выбранные облачные приложения. Информация об устройстве позволяет облачным приложениям определить, связано ли подключение с совместимым или присоединенным к домену устройством, и обновить работу с сеансом. Выбранное облачное приложение использует сведения об устройствах для предоставления пользователям ограниченных или полных возможностей. Полный доступ, если устройство управляется и соответствует требованиям, и ограниченный доступ, если устройство не управляется или не соответствует требованиям.

Список поддерживаемых приложений и настройка политик см. в следующих статьях:

Управление условным доступом к приложениям

Управление доступом через приложение использует архитектуру обратного прокси-сервера и уникально интегрировано с условным доступом Microsoft Entra. Условный доступ Microsoft Entra позволяет применять элементы управления доступом к приложениям вашей организации на основе определенных условий. Условия определяют, к каким пользователям или группам пользователей, облачным приложениям и расположениям и сетям применяется политика условного доступа. После определения условий вы можете направить пользователей в Microsoft Defender for Cloud Apps, где можно защитить данные с помощью Control App Conditional Access, применяя управление доступом и сеансами.

Функция управления настройками условного доступа для приложений позволяет в режиме реального времени отслеживать и контролировать доступ пользователей к приложениям и сеансы с помощью политик доступа и сеансов. Политики доступа и сеанса используются на портале Defender для облачных приложений для уточнения фильтров и определения выполняемых действий. С помощью политик доступа и сеансов вы можете:

  • Предотвращение кражи данных. Вы можете заблокировать загрузку, вырезание, копирование и печать конфиденциальных документов, например, на неуправляемым устройствах.
  • Защита при скачивании. Вместо блокирования возможности скачивания конфиденциальных документов, можно потребовать, чтобы документы были помечены и защищены с помощью Azure Information Protection. Это действие гарантирует защиту документа и доступ пользователей ограничен в потенциально рискованном сеансе.
  • Запретить отправку ненаклеенных файлов: перед отправкой, распространением и использованием конфиденциального файла важно убедиться, что файл имеет правильную метку и защиту. Вы можете заблокировать возможность отправки файлов без меток, которые содержат конфиденциальные данные, пока пользователь не классифицирует содержимое.
  • Мониторинг сеансов пользователей на соответствие (предварительная версия). При входе в приложение пользователи с повышенным риском находятся под наблюдением, а все их действия в рамках сеанса регистрируются. Благодаря этому вы можете исследовать и анализировать действия пользователя, чтобы понять, где и при каких условиях необходимо применять политики сеансов в будущем.
  • Блокировка доступа (предварительная версия). Вы можете выборочно заблокировать доступ для отдельных приложений и пользователей в зависимости от нескольких факторов риска. Например, можно включить блокировку, если используются сертификаты клиента для управления устройством.
  • Блокировка настраиваемых действий. Некоторые приложения связаны с уникальными сценариями использования, которые могут представлять угрозу, включая отправку сообщений с конфиденциальным содержимым в такие приложения, как Microsoft Teams или Slack. В таких сценариях можно выполнять проверку сообщений на наличие конфиденциального содержимого и блокировать их в реальном времени.

Дополнительные сведения см. в статье Развертывание Управления условным доступом к приложениям для популярных приложений.

Частота входа

Периодичность входа определяет период времени, по истечении которого пользователю будет предложено войти снова при попытке доступа к ресурсу. Администраторы могут выбирать период времени (часы или дни) или каждый раз требовать выполнения повторной проверки подлинности.

Параметр частоты входа работает с приложениями, реализующими протоколы OAUTH2 или OIDC в соответствии со стандартами. Большинство собственных приложений Майкрософт для Windows, Mac и мобильных устройств, а также указанные ниже веб-приложения поддерживают этот параметр.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Портал администрирования Microsoft 365
  • Exchange Online
  • SharePoint и OneDrive
  • Веб-клиент команд
  • Dynamics CRM Online
  • Портал Azure

Дополнительные сведения см. в статье Настройка управления сеансами аутентификации с помощью условного доступа.

Сохраняемый сеанс браузера

Постоянный сеанс браузера позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера.

Для получения дополнительной информации см. статью Настройка управления сеансами аутентификации с использованием условного доступа.

Настройка непрерывной оценки доступа

Непрерывная оценка доступа включается автоматически как часть политик условного доступа организации. Для организаций, которым нужно отключить непрерывную оценку доступа, эта конфигурация теперь является подходящим вариантом в рамках управления сеансом в условном доступе. Политики непрерывной оценки доступа могут быть ограничены всеми пользователями или конкретными пользователями и группами. При создании новой политики или изменении существующей политики условного доступа администраторы могут использовать приведенные ниже параметры.

  • Отключение работает только когда выбраны все ресурсы (ранее 'Все облачные приложения'), условия не выбраны, и выбран Отключение в разделе Сеанс>Настройка непрерывной оценки доступа в политике условного доступа. Можно отключить всех пользователей или отдельных пользователей и группы.

Снимок экрана: параметры CAE в новой политике условного доступа.

Отключить параметры устойчивости по умолчанию

Во время сбоя идентификатор Microsoft Entra расширяет доступ к существующим сеансам при применении политик условного доступа.

Если параметры устойчивости по умолчанию отключены, доступ отклоняется после истечения срока действия существующих сеансов. Дополнительные сведения см. в статье об условном доступе и параметрах устойчивости по умолчанию.

Требовать защиту токенов для сеансов входа (предварительный просмотр)

Защита маркеров (иногда называемая привязкой маркеров в отрасли) пытается уменьшить атаки с помощью кражи маркеров, гарантируя, что маркер доступен только с предполагаемого устройства. Когда злоумышленник может украсть токен, путём перехвата или воспроизведения, он может выдавать себя за свою жертву до истечения срока действия или отзыва токена. Кража маркеров считается относительно редким событием, но ущерб от него может быть значительным.

Предварительная версия работает только для определенных сценариев. Дополнительные сведения см. в статье "Условный доступ: защита маркеров (предварительная версия)".

Используйте профиль безопасности для глобального защищённого доступа

Использование профиля безопасности с условным доступом объединяет элементы управления идентификацией с сетевой безопасностью в продукте Microsoft Security Service Edge (SSE), Microsoft Entra Internet Access. Выбор этого элемента управления сеансом позволяет интегрировать идентификацию и осведомленность о контексте в профили безопасности, которые формируются из различных политик, созданных и управляемых в Global Secure Access.

Связанный контент