Требовать совместимое устройство или гибридное устройство Microsoft Entra для администраторов
Учетные записи, которым назначены права администратора, являются мишенью для злоумышленников. Требование, чтобы пользователи с этими правами с высоким уровнем привилегий выполняли действия с устройств, помеченных как соответствующие требованиям, или гибридное присоединение Microsoft Entra может помочь ограничить возможное воздействие.
Дополнительные сведения о политиках соответствия устройств см. в статье "Настройка правил на устройствах для разрешения доступа к ресурсам в организации с помощью Intune".
Требование гибридного присоединенного устройства Microsoft Entra зависит от устройств, уже присоединенных к Microsoft Entra. Дополнительные сведения см. в статье "Настройка гибридного соединения Microsoft Entra".
Корпорация Майкрософт рекомендует использовать многофакторную проверку подлинности, устойчивую к фишингу, как минимум, для следующих ролей:
- глобальный администратор
- Администратор приложений
- Администратор проверки подлинности
- администратора выставления счетов;
- Администратор облачных приложений
- Администратор условного доступа
- Администратор Exchange
- Администратор службы технической поддержки
- Администратор паролей
- Привилегированный администратор проверки подлинности
- Администратор привилегированных ролей
- Администратор безопасности
- Администратор SharePoint
- Администратор пользователей
Организации могут включить или исключить определенные роли по своему усмотрению.
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
-
Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
-
Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.
Создание политики условного доступа
Следующие шаги помогут создать политику условного доступа, чтобы требовать многофакторную проверку подлинности, устройства, обращающиеся к ресурсам, должны быть помечены как совместимые с политиками соответствия Intune вашей организации или присоединены к гибридной среде Microsoft Entra.
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к политикам условного доступа>.
- Выберите Новая политика.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
В разделе "Включить" выберите роли каталога и выберите по крайней мере ранее перечисленные роли.
Предупреждение
Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются к ролям других типов, включая роли административных единиц или пользовательские роли.
В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
- В разделе >> все ресурсы (ранее — "Все облачные приложения").
- Выберите Элементы управления доступом>Предоставить разрешение.
- Выберите " Требовать, чтобы устройство было помечено как соответствующее требованиям" и требуется гибридное устройство, присоединенное к Microsoft Entra
- В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
- Выберите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
Примечание.
Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех ресурсов "Все облачные приложения" (ранее "Все облачные приложения") с помощью предыдущих шагов. Флажок Требовать, чтобы устройство было отмечено как соответствующее не блокирует развертывание Intune.
Известное поведение
В Windows 7, iOS, Android, macOS и некоторых веб-браузерах, отличных от Майкрософт, идентификатор Microsoft Entra идентифицирует устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.
Активация подписки
Организации, использующие функцию активации подписки для включения пользователей в одну версию Windows в другую, могут потребовать исключения Магазина Windows для бизнеса, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f из политики соответствия устройств.