Требовать повторную проверку подлинности и отключить сохраняемость браузера

Защита доступа пользователей на неуправляемых устройствах путем предотвращения сохранения сеансов браузера после закрытия браузера и установки частоты входа в систему до 1 часа.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к политикам условного доступа>защиты>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включите все ресурсы (ранее — "Все облачные приложения").
7. В разделе "Фильтр условий>" для устройств установите для параметра "Настроить" значение "Да".
   1. В разделе "Устройства, соответствующие правилу", установите значение "Включить отфильтрованные устройства в политику".
   2. В разделе "Синтаксис правила " выберите карандаш "Изменить " и вставьте в поле следующее выражение, а затем нажмите кнопку "Применить".
      1. device.trustType -ne "ServerAD" -or device.isCompliant -ne True
   3. Нажмите кнопку Готово.
8. В разделе "Сеанс управления доступом>"
   1. Выберите частоту входа, укажите периодическую проверку подлинности и задайте длительность 1 и период часов.
   2. Выберите сеанс постоянного браузера и задайте для сеанса постоянного браузера значение "Никогда не сохраняемого".
   3. Выбор, выбор
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Следующие шаги

Шаблоны условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.