Блокировать потоки проверки подлинности с помощью политики условного доступа

Следующие действия помогут создать политики условного доступа, чтобы ограничить использование потока кода устройства и аутентификации в вашей организации.

Политики потока кода для устройства

Примечание.

Чтобы повысить уровень безопасности, корпорация Майкрософт рекомендует блокировать или ограничивать поток кода устройства везде, где это возможно.

Сначала следует настроить политику в режиме только для отчетов, чтобы определить потенциальное влияние на вашу организацию.

Мы рекомендуем организациям стремиться к как можно более категоричной блокировке потока кода устройства. Организации должны рассмотреть возможность создания политики для аудита существующего использования потока кода устройства и определить, необходимо ли по-прежнему.

Для организаций, которые не используют проверку устройства с помощью кода доступа, блокировка может осуществляться с помощью следующей политики условного доступа:

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к Защита>Условный доступ>Политики.
3. Выберите Новая политика.
4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе "Включить" выберите пользователей, которым требуется быть в области политики (рекомендуется всем пользователям ).
   2. В разделе " Исключить":
      1. Выберите пользователей и группы и выберите учетные записи аварийного доступа или резервные учетные записи вашей организации, а также любых других необходимых пользователей, полный список которых должен регулярно проверяться.
5. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)> в пункте Включить выберите приложения, которые должны быть охвачены политикой (рекомендуется выбрать все ресурсы (ранее "все облачные приложения")).
6. В разделе "Условия">"Потоки проверки подлинности", задайте "Настроить" на "Да".
   1. Выберите поток кода устройства.
   2. Нажмите кнопку Готово.
7. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
   1. Выберите Выберите.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

После того как администраторы оценивают параметры политики с помощью режима оценки влияния политики или режима только отчетов, они могут переместить переключатель Включить политику из Только отчеты в Включено.

Политики передачи аутентификации

Используйте условие в потоках аутентификации в условном доступе для управления функцией. Возможно, вы захотите заблокировать передачу проверки подлинности, если вы не хотите, чтобы пользователи могли передавать проверку подлинности с компьютера на мобильное устройство. Например, если вы не разрешаете outlook использовать на личных устройствах определенными группами. Блокировка передачи проверки подлинности может выполняться с помощью следующей политики условного доступа:

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к Защите>Условному доступу.
3. Выберите команду Создать политику.
4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе "Включить" выберите "Все пользователи" или "Группы пользователей" , которые вы хотите заблокировать для передачи проверки подлинности.
   2. В разделе " Исключить":
      1. Выберите пользователей и группы и выберите учетные записи аварийного доступа или резервные учетные записи вашей организации, а также любых других необходимых пользователей, полный список которых должен регулярно проверяться.
5. В разделе Целевые ресурсы>ресурсы (ранее облачные приложения)>, в подразделе Включите, выберите Все ресурсы (ранее "Все облачные приложения") или приложения, которые вы хотите заблокировать для передачи проверки подлинности.
6. В разделе "Условия">"Потоки проверки подлинности" установите Настроить в "Да"
   1. Выберите Перенос аутентификации.
   2. Нажмите кнопку Готово.
7. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
   1. Выберите Выберите.
8. Подтвердите параметры и задайте для параметра Enable policy значение "Включено".
9. Нажмите Создать, чтобы создать и включить политику.

Связанный контент

• Условный доступ: потоки проверки подлинности
• Условный доступ: передача аутентификации
• Условный доступ. Условия