Поделиться через

Руководство. Перенос политик входа Okta в условный доступ Microsoft Entra

  • Статья

В этом руководстве описано, как перенести организацию из глобальных политик входа на уровне приложений в Okta Условного доступа в Идентификаторе Microsoft Entra. Политики условного доступа защищают доступ пользователей в идентификаторе Microsoft Entra и подключенных приложениях.

Дополнительные сведения: Что такое условный доступ?

Для выполнения действий, описанных в этом учебнике, вам необходимо следующее.

  • Клиент Office 365, федеративный с Okta для входа и многофакторной проверки подлинности
  • Сервер Microsoft Entra Connect или агенты подготовки облака Microsoft Entra Connect, настроенные для подготовки пользователей к идентификатору Microsoft Entra ID

Необходимые компоненты

Дополнительные сведения о лицензировании и учетных данных см. в следующих двух разделах.

Лицензирование

Существуют требования к лицензированию при переключении входа в Okta в условный доступ. Для этого процесса требуется лицензия Microsoft Entra ID P1 для включения регистрации для многофакторной проверки подлинности Microsoft Entra.

Дополнительные сведения. Назначение или удаление лицензий в Центре администрирования Microsoft Entra

Учетные данные администратора предприятия

Чтобы настроить запись точки подключения службы (SCP), убедитесь, что у вас есть учетные данные администратора предприятия в локальном лесу.

Оценка политик входа Okta для перехода

Найдите и оцените политики входа Okta, чтобы определить, что будет перенесено на идентификатор Microsoft Entra.

  1. В okta перейдите к входу проверки подлинности безопасности>

    Снимок экрана: записи политики входа глобальной MFA на странице проверки подлинности.

  2. Перейдите в раздел Приложения.

  3. В подменю выберите "Приложения"

  4. В списке "Активные приложения" выберите подключенный экземпляр Microsoft Office 365.

    Снимок экрана: параметры в разделе

  5. Выберите вход.

  6. Прокрутите до нижней части страницы.

Политика входа в приложение Microsoft Office 365 имеет четыре правила:

  • Принудительное применение MFA для мобильных сеансов — требуется многофакторная проверка подлинности или сеансы браузера в iOS или Android
  • Разрешить доверенные устройства Windows— предотвращает ненужные запросы проверки или фактора для доверенных устройств Okta
  • Требовать многофакторную проверку подлинности на ненадежных устройствах Windows— требуется многофакторная проверка подлинности или сеансы браузера на ненадежных устройствах Windows
  • Блокировка устаревшей проверки подлинности— не позволяет устаревшим клиентам проверки подлинности подключаться к службе.

Снимок экрана ниже: условия и действия для четырех правил на экране политики входа.

Снимок экрана: условия и действия для четырех правил на экране политики входа.

Настраивать политики условного доступа

Настройте политики условного доступа для соответствия условиям Okta. Однако в некоторых сценариях может потребоваться дополнительная настройка:

  • Сетевые расположения Okta для именованных расположений в идентификаторе Microsoft Entra
  • Доверие устройств Okta к условному доступу на основе устройств (два варианта для оценки пользовательских устройств):
    • См. следующий раздел: конфигурация гибридного соединения Microsoft Entra для синхронизации устройств Windows, таких как Windows 10, Windows Server 2016 и 2019, с идентификатором Microsoft Entra
    • См. следующий раздел: настройка соответствия устройств
    • См. сведения об использовании гибридного соединения Microsoft Entra, функции на сервере Microsoft Entra Connect, который синхронизирует устройства Windows, такие как Windows 10, Windows Server 2016 и Windows Server 2019, с идентификатором Microsoft Entra
    • Ознакомьтесь с разделом " Регистрация устройства в Microsoft Intune " и назначение политики соответствия требованиям

Конфигурация гибридного соединения Microsoft Entra

Чтобы включить гибридное соединение Microsoft Entra на сервере Microsoft Entra Connect, запустите мастер настройки. После настройки зарегистрируйте устройства.

Примечание.

Гибридное соединение Microsoft Entra не поддерживается с агентами подготовки облака Microsoft Entra Connect.

  1. Настройка гибридного соединения Microsoft Entra.

  2. На странице Конфигурация точки подключения службы выберите раскрывающийся список Служба проверки подлинности.

    Снимок экрана: раскрывающийся список службы проверки подлинности в диалоговом окне Microsoft Entra Connect.

  3. Выберите URL-адрес поставщика федерации Okta.

  4. Выберите Добавить.

  5. Введите учетные данные локального администратора предприятия

  6. Выберите Далее.

    Совет

    Если вы заблокировали устаревшую проверку подлинности на клиентах Windows в глобальной или политике входа на уровне приложений, сделайте правило, позволяющее завершить процесс гибридного соединения Microsoft Entra. Разрешить устаревший стек проверки подлинности для клиентов Windows.
    Чтобы включить пользовательские строки клиента в политиках приложений, обратитесь в Центр справки Okta.

Настройка соответствия устройств

Гибридное соединение Microsoft Entra — это замена доверия устройств Okta в Windows. Политики условного доступа распознают соответствие устройств, зарегистрированных в Microsoft Intune.

Политика соответствия устройства

Регистрация Windows 10/11, iOS, iPadOS и Android

При развертывании гибридного соединения Microsoft Entra можно развернуть другую групповую политику для завершения автоматической регистрации этих устройств в Intune.

Настройка параметров клиента многофакторной проверки подлинности Microsoft Entra

Перед преобразованием в условный доступ подтвердите базовые параметры клиента MFA для вашей организации.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора гибридного удостоверения.

  2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.

  3. Выберите MFA для каждого пользователя в верхнем меню панели "Пользователи ".

  4. Откроется устаревший портал многофакторной проверки подлинности Microsoft Entra. Или выберите портал многофакторной проверки подлинности Microsoft Entra.

    Снимок экрана: экран многофакторной проверки подлинности.

  5. Убедитесь, что пользователи не включены для устаревшей MFA: в меню многофакторной проверки подлинности в состоянии многофакторной проверки подлинности выберите "Включено" и "Принудительно". Если у клиента есть пользователи в следующих представлениях, отключите их в устаревшем меню.

    Снимок экрана: экран многофакторной проверки подлинности с выделенной функцией поиска.

  6. Убедитесь, что поле "Принудительное " пусто.

  7. Выберите параметр Параметры службы.

  8. Для параметра Пароли приложений задайте значение Запретить пользователям создавать пароли приложений для входа в приложения, не относящиеся к браузеру.

    Снимок экрана: экран многофакторной проверки подлинности с выделенными параметрами службы.

  9. Снимите флажки для пропуска многофакторной проверки подлинности для запросов от федеративных пользователей в моей интрасети и разрешить пользователям запоминать многофакторную проверку подлинности на устройствах, которым они доверяют (от одного до 365 дней).

  10. Выберите Сохранить.

    Снимок экрана: снятые флажки на экране

    Примечание.

    См. статью "Оптимизация запросов повторной проверки подлинности" и сведения о времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.

Создание политики условного доступа

Сведения о настройке политик условного доступа см. в рекомендациях по развертыванию и проектированию условного доступа.

После настройки необходимых компонентов и установленных базовых параметров можно создать политику условного доступа. Политика может быть нацелена на приложение, тестовую группу пользователей или обоих пользователей.

Необходимые условия:

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к удостоверению.

  3. Чтобы узнать, как создать политику в идентификаторе Microsoft Entra. См. политику общего условного доступа: требуется многофакторная проверка подлинности для всех пользователей.

  4. Создайте правило условного доступа на основе доверия устройств.

    Снимок экрана: записи для параметра

    Снимок экрана: диалоговое окно

  5. После настройки политики на основе расположения и политики доверия устройств блокировка устаревшей проверки подлинности с помощью идентификатора Microsoft Entra с помощью условного доступа.

С помощью этих трех политик условного доступа исходный интерфейс политик входа Okta реплицируется в идентификатор Microsoft Entra.

Регистрация пилотных участников в MFA

Пользователи регистрируются для методов MFA.

Для индивидуальной регистрации пользователи перейдите в область входа Майкрософт.

Для управления регистрацией пользователи отправляются в Microsoft My Sign-Ins | Сведения о безопасности.

Дополнительные сведения: включение объединенной регистрации сведений о безопасности в идентификаторе Microsoft Entra.

Примечание.

Если пользователи зарегистрированы, они перенаправляются на страницу "Моя безопасность " после удовлетворения MFA.

Включение политик условного доступа

  1. Чтобы проверить, измените созданные политики на "Включено тестовое имя входа пользователя".

    Снимок экрана: политики на экране

  2. На панели входа в Office 365 тестовый пользователь Джон Смит запрашивает вход с помощью Okta MFA и многофакторной проверки подлинности Microsoft Entra.

  3. Завершите проверку MFA в Okta.

    Снимок экрана: проверка MFA с помощью Okta.

  4. Пользователю предлагается условный доступ.

  5. Убедитесь, что политики настроены для активации MFA.

    Снимок экрана: проверка MFA через Okta с запросом условного доступа.

Добавление участников организации в политики условного доступа

После проведения тестирования на пилотных членах добавьте остальных участников организации в политики условного доступа после регистрации.

Чтобы избежать двойного запроса между многофакторной проверкой подлинности Microsoft Entra и Okta MFA, отказаться от Okta MFA: измените политики входа.

  1. Перейдите в консоль администрирования Okta

  2. Выбор проверки подлинности безопасности>

  3. Перейдите к политике входа.

    Примечание.

    Установите для глобальных политик значение Inactive , если все приложения из Okta защищены политиками входа в приложение.

  4. Для политики Enforce MFA (Применение MFA) задайте состояние Inactive (Неактивная). Политику можно назначить новой группе, которая не включает пользователей Microsoft Entra.

    Снимок экрана: глобальная политика входа MFA в качестве неактивной.

  5. В области политики входа на уровне приложения выберите параметр "Отключить правило ".

  6. Выберите "Неактивный". Политику можно назначить новой группе, которая не включает пользователей Microsoft Entra.

  7. Убедитесь, что для приложения включена по крайней мере одна политика входа на уровне приложения, которая разрешает доступ без MFA.

    Снимок экрана: доступ к приложению без MFA.

  8. Пользователям предлагается условный доступ при следующем входе.

Следующие шаги