Требовать многофакторную проверку подлинности для регистрации устройства

Используйте действие пользователя условного доступа для принудительного применения политики при регистрации или присоединении устройств к идентификатору Microsoft Entra. Этот элемент управления обеспечивает детализацию при настройке многофакторной проверки подлинности для регистрации или присоединения устройств вместо политики на уровне клиента, которая в настоящее время существует. Администраторы могут настроить эту политику в соответствии с потребностями безопасности организации.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Создание политики условного доступа

Предупреждение

Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления "Требовать многофакторную проверку подлинности".

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к политикам условного доступа>защиты>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. В разделе "Действия пользователей целевых ресурсов>" выберите "Регистрация или присоединение устройств".
7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Выберите Выбрать.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Предупреждение

Если политика условного доступа настроена с помощью действия пользователя "Регистрация или присоединение устройств", необходимо задать параметры - Require Multifactor Authentication to register or join devices with Microsoft Entra устройства обзора>удостоверений>>в значение "Нет". В противном случае политики условного доступа с этим действием пользователя не применяются должным образом. Дополнительные сведения об этом параметре устройства можно найти в окне Настройка параметров устройства.

Блокировка доступа к регистрации или присоединению устройств за пределами доверенных сетей и расположений

Организации могут выбрать включение известных сетевых расположений, известных как именованные расположения в политиках условного доступа. Эти именованные расположения могут включать доверенные IP-сети, такие как для основного расположения офиса. Дополнительные сведения о настройке именованных расположений см. в статье "Что такое условие расположения в условном доступе Microsoft Entra?

Помимо предыдущей политики, организация может заблокировать доступ к регистру или присоединению устройств, которые не являются в надежном расположении IP-сети, используя следующую примерную политику:

Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

1. Перейдите к политикам условного доступа>защиты>.
2. Выберите Новая политика.
3. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
5. В разделе "Действия пользователей целевых ресурсов>" выберите "Регистрация или присоединение устройств".
6. В разделе "Сеть"
   1. Выберите Да.
   2. Включите любую сеть или расположение.
   3. Исключите все доверенные сети и расположения.
7. В разделе "Блокировка элементов управления доступом>" нажмите кнопку "Выбрать".
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

Связанный контент

• Надежность проверки подлинности условного доступа
• Определение эффекта с помощью режима только для отчета условного доступа
• Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.
• Управление удостоверениями устройств с помощью Центра администрирования Microsoft Entra