Поделиться через

Условный доступ: фильтрация для приложений

  • Статья

В настоящее время политики условного доступа можно применять ко всем приложениям или отдельным приложениям. Организации с большим количеством приложений могут найти этот процесс трудным для управления в нескольких политиках условного доступа.

Фильтры приложений для условного доступа позволяют организациям помечать учетные записи служб настраиваемыми атрибутами. Затем эти настраиваемые атрибуты добавляются в свои политики условного доступа. Фильтры для приложений оцениваются во время выполнения операции выдачи токенов, и часто возникает вопрос, назначаются ли приложения во время выполнения или на этапе конфигурации.

В этом документе создается настраиваемый набор атрибутов, назначается настраиваемый атрибут безопасности приложению и создается политика условного доступа для защиты приложения.

Назначить роли

Пользовательские атрибуты безопасности чувствительны к безопасности и могут управляться только делегированными пользователями. Пользователям, которые управляют этими атрибутами или сообщают о них, должна быть назначена одна или несколько из следующих ролей.

Имя роли Описание
Администратор назначения атрибутов Назначьте пользовательские ключи и значения атрибутов безопасности поддерживаемым объектам Microsoft Entra.
Читатель назначения атрибутов Чтение ключей и значений настраиваемых атрибутов безопасности для поддерживаемых объектов Microsoft Entra.
Администратор определения атрибутов Определение настраиваемых атрибутов безопасности и управление ими.
Читатель определения атрибутов Прочитайте определение настраиваемых атрибутов безопасности.

Назначьте соответствующую роль пользователям, которые управляют или сообщают об этих атрибутах в области каталога. Подробные инструкции см. в статье Назначение ролей Microsoft Entra.

Внимание

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.

Создание настраиваемых атрибутов безопасности

Следуйте инструкциям из статьи, добавьте или деактивируйте настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra, чтобы добавить следующий набор атрибутов и новые атрибуты.

  • Создайте набор атрибутов с именем ConditionalAccessTest.
  • Создайте новые атрибуты с именем policyRequirement , которые позволяют назначать несколько значений и разрешать назначать только предопределенные значения. Мы добавим следующие предопределенные значения:
    • разрешена устаревшая авторизация
    • блокировать гостевых пользователей
    • requireMFA
    • требовать совместимое устройство
    • требовать гибридное подключение устройства
    • требовать соответствующее приложение

Снимок экрана: настраиваемый атрибут безопасности и предопределенные значения в идентификаторе Microsoft Entra.

Примечание.

Фильтры условного доступа для приложений работают только с пользовательскими атрибутами безопасности типа string. Настраиваемые атрибуты безопасности поддерживают создание логического типа данных, но политика условного доступа поддерживает только строку.

Создание политики условного доступа

Скриншот, показывающий политику условного доступа с окном редактирования фильтра, где указан атрибут обязательного использования многофакторной аутентификации.

  1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор условного доступа и Читатель определений атрибутов.
  2. Перейдите к Защите>Условному доступу.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе "Целевые ресурсы" выберите следующие параметры:
    1. Выберите то, что эта политика применяется к облачным приложениям.
    2. Включить Выберите ресурсы.
    3. Выберите " Изменить фильтр".
    4. Задайте для параметра Настроить значение Да.
    5. Выберите атрибут, созданный ранее с именем policyRequirement.
    6. Задайте для оператора значение Contains.
    7. Установите параметр Value на requireMFA.
    8. Нажмите кнопку Готово.
  7. В разделе Управление доступом>Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Настройка настраиваемых атрибутов

Шаг 1. Создание примера приложения

Если у вас уже есть тестовое приложение, использующее учетную запись службы, этот шаг можно пропустить.

Создайте простое приложение, которое демонстрирует, как задание или служба Windows могут выполняться с идентификатором приложения, а не пользователя. Для создания этого приложения следуйте инструкциям в кратком руководстве по получению токена и вызову API Microsoft Graph, используя учетную запись консольного приложения.

Шаг 2. Назначение пользовательского атрибута безопасности приложению

Если у вас нет субъекта-службы, указанного в клиенте, он не может быть целевым. Набор Office 365 является примером одного из таких сервисных принципалов.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора условного доступа и администратора назначения атрибутов.
  2. Перейдите к Identity>Applications>предприятиям приложения.
  3. Выберите субъект-службу, к которому нужно применить настраиваемый атрибут безопасности.
  4. В разделе "Управление настраиваемыми>атрибутами безопасности" выберите "Добавить назначение".
  5. В разделе "Набор атрибутов" выберите ConditionalAccessTest.
  6. В разделе "Имя атрибута" выберите policyRequirement.
  7. В разделе "Назначенные значения" выберите "Добавить значения", выберите requireMFA в списке, а затем нажмите кнопку "Готово".
  8. Выберите Сохранить.

Шаг 3. Тестирование политики

Войдите как пользователь, к которому будет применяться политика, и проверьте, что MFA требуется при доступе к приложению.

Другие сценарии

  • Блокировка устаревших методов проверки подлинности
  • Блокировка внешнего доступа к приложениям
  • Требование соответствующих политик защиты устройств или приложений Intune
  • Внедрение контроля частоты входа для определенных приложений
  • Требование рабочей станции привилегированного доступа для определенных приложений
  • Требовать элементы управления сеансами для пользователей с высоким риском и конкретных приложений

Связанный контент

Шаблоны условного доступа

Определите эффект, используя режим условного доступа только для отчетов

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.