Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Современная безопасность выходит за пределы периметра сети организации, чтобы включить идентификацию пользователей и устройств. Организации теперь используют сигналы, основанные на удостоверениях, при принятии решений об управлении доступом. #REF! условный доступ объединяет сигналы для принятия решений и применения политик организации. Условный доступ — это движок политики Microsoft "Никому не доверяй", который учитывает сигналы из различных источников при применении политических решений.
Схема, показывающая концепцию сигналов условного доступа, а также решение о применении политики организации.
Политики условного доступа на самом простом этапе — это операторы if-then: если пользователь хочет получить доступ к ресурсу, то он должен выполнить действие. Например, если пользователь хочет получить доступ к приложению или службе, например Microsoft 365, он должен выполнить многофакторную проверку подлинности для получения доступа.
Администраторы сталкиваются с двумя основными целями:
- продуктивная работа пользователей в любом месте и в любое время;
- Защитить активы организации
Используйте политики условного доступа, чтобы применить правильные элементы управления доступом при необходимости, чтобы обеспечить безопасность организации и не влиять на производительность.
Внимание
Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не предназначен для передней линии защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но он может использовать сигналы от этих событий для определения доступа.
Общие сигналы
Условный доступ использует сигналы из различных источников для принятия решений о доступе.
Диаграмма, показывающая условный доступ как движок политики "Никому не доверяй", агрегатор сигналов из различных источников.
Некоторые из этих сигналов включают:
- Пользователь, группа или агент
- Политики могут быть ориентированы на определенных пользователей, групп и агентов (предварительная версия), предоставляя администраторам точный контроль доступа.
- Поддержка идентичностей агентов и пользователей агентов распространяет принципы "Никому не доверяй" на рабочие нагрузки ИИ.
- Сведения о расположении IP-адресов
- Организации могут создавать диапазоны IP-адресов, которые можно использовать при принятии решений о политике.
- Администраторы могут указать целые страны или диапазоны IP-адресов регионов, чтобы блокировать или разрешать трафик.
- Device
- Для применения политик условного доступа можно использовать пользователей с устройствами определенных платформ или устройствами, помеченными определенным состоянием.
- Используйте фильтры для устройств, чтобы применять политики к конкретным устройствам, таким как рабочие станции с привилегированным доступом.
- Приложение
- Активируйте различные политики условного доступа, когда пользователи пытаются получить доступ к определенным приложениям.
- Применение политик к традиционным облачным приложениям, локальным приложениям и ресурсам агента.
- Обнаружение рисков в режиме реального времени и вычисляемого риска
- Интегрирует сигналы от Защита Microsoft Entra ID для выявления и устранения рискованных пользователей, поведения входа и действий агента.
-
Microsoft Defender for Cloud Apps
- Отслеживает и управляет доступом и сеансами пользовательского приложения в режиме реального времени. Эта интеграция улучшает видимость и контроль доступа и действий в облачной среде.
Типичные решения
- Блокировка доступа является самым строгим решением.
- Предоставление доступа
- Менее строгое решение, которое может потребовать одного или нескольких следующих вариантов:
- Требование многофакторной проверки подлинности
- Требовать надежность проверки подлинности
- Требовать, чтобы устройство было помечено как соответствующее
- Требуется гибридно присоединенное устройство #REF!
- Требовать утвержденное клиентское приложение
- Требовать политику защиты приложений
- Требовать изменение пароля
- Обязательное применение условий использования
Часто применяемые политики
Многие организации имеют распространенные проблемы с доступом, с которыми могут помочь политики условного доступа, например:
- Требование многофакторной проверки подлинности для пользователей с административными ролями
- Требование многофакторной проверки подлинности для задач управления #REF!
- Блокировка входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности
- Требование надежных расположений для регистрации сведений о безопасности
- Блокирование или предоставление доступа из конкретных расположений
- Блокирование рискованных действий при входе
- Требование определенных приложений на устройствах, управляемых организацией
Администраторы могут создавать политики с нуля или начинать с политики шаблона на портале или с помощью Microsoft API Graph.
интерфейс администратора
Администраторы с как минимум ролью Security Reader могут найти условный доступ в центре администрирования #REF! в разделе Entra ID>Условный доступ.
На странице обзора показана сводка недавних действий, связанных с политиками условного доступа. Здесь можно увидеть, сколько политик включено по сравнению с теми, которые работают только в режиме отчета, а также узнать о действиях агентов и пользователей, приложениях, устройствах и общее положение с оповещениями системы безопасности и соответствующими предложениями. Снимок экрана: страница обзора условного доступа.
На вкладке "Покрытие" показана сводка приложений с покрытием политики условного доступа и без нее за последние семь дней. Снимок экрана вкладки "Покрытие условного доступа", показывающей покрытие политики приложений.
На странице "Политики" перечислены все политики в клиенте, включая политики и политики только для отчетов, созданные агентом оптимизации условного доступа (если применимо). Параметры фильтрации, просмотра сценариев "Что если" и создания новых политик доступны здесь. Снимок экрана: страница списка политик условного доступа.
Агент оптимизации условного доступа
Агент оптимизации доступа Conditional Access с #REF! предлагает новые политики и изменения существующих на основе принципов "Никому не доверяй" и рекомендаций Майкрософт. При нажатии одного щелчка примените предложение для автоматического обновления или создания политики условного доступа. Агенту требуется как минимум лицензия Microsoft Entra ID P1 и security compute units (SCU).
Требования к лицензиям
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти лицензию, соответствующую вашим требованиям, см. раздел Сравнение общедоступных функций Microsoft Entra ID.
Клиенты с лицензиями #REF! Premium также могут использовать функции условного доступа.
Для других продуктов и функций, взаимодействующих с политиками условного доступа, требуется соответствующее лицензирование для этих продуктов и функций, включая Идентификация рабочей нагрузки Microsoft Entra, Защита Microsoft Entra ID и #REF!.
Когда истекает срок действия лицензий, необходимых для условного доступа, политики не отключаются и не удаляются автоматически. Это плавное состояние позволяет клиентам переходить от политик условного доступа без резкого изменения их безопасности. Вы можете просматривать и удалять оставшиеся политики, но их нельзя обновить.
Параметры безопасности по умолчанию помогают защитить от атак, связанных с удостоверениями, и доступны для всех клиентов.
"Никому не доверяй"
Эта функция помогает организациям выровнять свои иденты с тремя руководящими принципами архитектуры "Никому не доверяй":
- Явная проверка
- Использование наименьших привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о "Никому не доверяй" и других способах приведения деятельности вашей организации в соответствие с руководящими принципами см. в Центре рекомендаций "Никому не доверяй".
Следующие шаги
Планирование развертывания условного доступа