Поделиться через


Блокировка неизвестной или неподдерживаемой платформы устройств

Пользователям блокируется доступ к ресурсам компании, если тип устройства неизвестен или не поддерживается.

Условие платформы устройства основано на строках агента пользователя. Политики условного доступа, использующие его, следует использовать с другой политикой, например с политикой соответствия устройств или политик защиты приложений.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или аварийные учетные записи, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и служебные принципалы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами служб, не будут ограничиваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, нацеленные на принципалы службы.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к защите>условного доступа>политикам.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>включитевсе ресурсы (ранее "Все облачные приложения").
  7. В разделе "Условия" выберите платформы устройств
    1. Задайте для параметра Настроить значение Да.
    2. В разделе "Включить" выберите любое устройство
    3. В разделе "Исключить" выберите Android, iOS, Windows и macOS.

      Примечание.

      Для этого исключения выберите все платформы, которые ваша организация сознательно использует, и оставьте остальные не выбранные.

    4. Нажмите кнопку "Готово".
  8. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Следующие шаги

Шаблоны условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.