Требовать повторную проверку подлинности и отключить сохраняемость браузера

Защита доступа пользователей на неуправляемых устройствах путем предотвращения сохранения сеансов браузера после закрытия браузера и установки частоты входа в систему до 1 часа.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи для экстренного доступа, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными принципалами, не будут блокироваться политиками условного доступа, которые применяются к пользователям. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, нацеленные на служебные принципы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора условного доступа.
2. Перейдите к защите>условного доступа>политикам.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. Под Целевые ресурсы>Ресурсы (ранее облачные приложения)>включитевсе ресурсы (ранее 'Все облачные приложения').
7. В разделе "Фильтр условий>" для устройств установите для параметра "Настроить" значение "Да".
   1. В разделе "Устройства, соответствующие правилу", установите значение "Включить отфильтрованные устройства в политику".
   2. В разделе "Синтаксис правила " выберите карандаш "Изменить " и вставьте в поле следующее выражение, а затем нажмите кнопку "Применить".
      1. device.trustType -ne "ServerAD" -or device.isCompliant -ne True # Проверьте тип доверия устройства и его соответствие политике.
   3. Нажмите кнопку Готово.
8. В разделе "Управление доступом>Сеанс"
   1. Выберите частоту входа, укажите периодическую проверку подлинности и задайте длительность 1 и период часов.
   2. Выберите Постоянный сеанс браузера и установите для него значение Никогда не сохранять.
   3. Выбор, Выбор
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Следующие шаги

Шаблоны условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.