Пример политики блокировки доступа

Для организаций с консервативным подходом к миграции в облако можно использовать политику "блокировать все".

Внимание

Неправильное настройка политики блоков может привести к блокировке организаций.

Такие политики могут иметь непредвиденные побочные эффекты. Правильное тестирование и проверка крайне важны перед включением. При внесении изменений администраторы должны использовать такие средства, как режим отчета "Условный доступ" и Что если средство с условным доступом.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Создание политики условного доступа

Следующие шаги помогут создать политики условного доступа для блокировки доступа ко всем приложениям, кроме Office 365 , если пользователи не являются доверенными сетями. Эти политики помещаются в режим только для отчетов, чтобы администраторы могли определить влияние на существующих пользователей. Когда администраторы имеют опыт работы с политиками по мере их применения, они могут переключить их в режим Включено.

Первая политика блокирует доступ ко всем приложениям, кроме Microsoft 365 приложений, если они не находятся в надежном месте.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к политикам условного доступа>защиты>.
3. Выберите Новая политика.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. В разделе "Целевые ресурсы">(ранее облачные приложения) выберите следующие параметры:
   1. В разделе "Включить" выберите все ресурсы (ранее "Все облачные приложения").
   2. В разделе Исключить выберите Office 365, нажмите Выбрать.
7. В условиях:
   1. Выберите Условия>Расположение.
      1. Задайте для параметра Настроить значение Да.
      2. В разделе Включить выберите Любое место.
      3. В разделеИсключить выберите Все надежные места.
   2. В разделе Клиентские приложения установите для параметра Настроить значение Да и нажмите Готово.
8. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Следующая политика создается для использования многофакторной проверки подлинности или соответствующего устройства для пользователей Microsoft 365.

1. Выберите команду Создать политику.
2. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
3. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
4. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включить>ресурсы выбора, выберите Office 365 и нажмите кнопку "Выбрать".
5. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите Требовать многофакторную проверку подлинности и Требовать, чтобы устройство было помечено как соответствующее, затем нажмите Выбрать.
   2. Убедитесь, что выбран параметр Требовать один из выбранных элементов управления.
   3. Выберите Выбрать.
6. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
7. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Примечание.

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Следующие шаги

Шаблоны условного доступа

Определение эффекта с помощью режима только для отчета условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.