Поделиться через

Требовать устройство, соответствующее требованиям, или гибридное устройство Microsoft Entra для администраторов

  • Статья

Учетные записи, которым назначены права администратора, являются мишенью для злоумышленников. Требование к пользователям с высокими привилегиями выполнять действия с устройств, соответствующих требованиям, или гибридно присоединённых к Microsoft Entra может помочь ограничить возможное воздействие.

Дополнительные сведения о политиках соответствия устройств см. в статье "Настройка правил на устройствах для разрешения доступа к ресурсам в организации с помощью Intune".

Требование гибридного присоединенного устройства Microsoft Entra зависит от устройств, уже присоединенных к Microsoft Entra. Дополнительные сведения см. в статье "Настройка гибридного соединения Microsoft Entra".

Корпорация Майкрософт рекомендует использовать многофакторную проверку подлинности, устойчивую к фишингу, как минимум, для следующих ролей:

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Организации могут включить или исключить определенные роли по своему усмотрению.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, нацеленные на служебные учётные записи.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа, чтобы требовать многофакторную проверку подлинности, устройства, обращающиеся к ресурсам, должны быть помечены как совместимые с политиками соответствия Intune вашей организации или присоединены к гибридной среде Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra в качестве не менее чем администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Политики.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

    1. В разделе "Включить" выберите роли каталога и выберите по крайней мере ранее перечисленные роли.

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются к другим типам ролей, включая роли административных единиц или пользовательские роли.

    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.

  6. В разделе Целевые ресурсы>Ресурсы (ранее — облачные приложения)>включить, выберите Все ресурсы (ранее — "Все облачные приложения").
  7. Выберите Элементы управления доступом>Предоставить разрешение.
    1. Выберите Требовать, чтобы устройство было помечено как соответствующее и Требовать гибридное устройство, подключенное к Microsoft Entra
    2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
    3. Выберите Выберите.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Примечание.

Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех ресурсов "Все облачные приложения" (ранее "Все облачные приложения") с помощью предыдущих шагов. Параметр Требовать, чтобы устройство было признано соответствующим не блокирует развертывание Intune.

Известное поведение

В Windows 7, iOS, Android, macOS и некоторых веб-браузерах, отличных от Майкрософт, идентификатор Microsoft Entra идентифицирует устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию Subscription Activation, чтобы позволить пользователям "обновляться" с одной версии Windows на другую, могут захотеть исключить Магазин Windows для бизнеса, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из своей политики соответствия устройств.

Связанный контент