Условный доступ. Условия
В рамках политики условного доступа администратор может использовать сигналы из таких условий, как риск, платформа устройства или расположение, чтобы усовершенствовать свои решения по политике.
Для создания детализированных и специальных политик условного доступа можно сочетать несколько условий.
Например, при доступе к конфиденциальному приложению администратор может учитывать сведения о рисках при входе, связанные с защитой идентификации и расположением, в дополнение к другим элементам управления, таким как многофакторная проверка подлинности.
Риск при входе
Для клиентов, имеющих доступ к защите идентификации, риск входа можно оценить как часть политики условного доступа. Риск при входе указывает на вероятность того, что данный запрос проверки подлинности отправлен не владельцем удостоверения. Дополнительные сведения о риске при входе можно найти в статьях Что такое риск и Как настроить и включить политики риска.
Риск пользователя
Для клиентов, имеющих доступ к Защите идентификации, риск для пользователей можно оценить как часть политики условного доступа. Риск для пользователя представляет вероятность компрометации данного удостоверения или учетной записи. Дополнительные сведения о риске для пользователей можно найти в статьях Что такое риск и Как настроить и включить политики риска.
Платформы устройств
Платформа устройства характеризуется операционной системой, работающей на устройстве. Azure AD определяет платформу с помощью сведений, предоставляемых устройством, например строками агента пользователя. Так как строки агента пользователя можно изменять, эти сведения не проверяются. Платформа устройства должна использоваться совместно с политиками соответствия устройств Microsoft Intune или в составе оператора блокировки. По умолчанию политика применяется ко всем платформам устройств.
Условный доступ Azure AD поддерживает следующие платформы устройств:
- Android
- iOS
- Windows
- macOS
- Linux
Если вы блокируете устаревшую проверку подлинности с помощью условия Другие клиенты, можно также задать условие платформы устройства.
Мы не поддерживаем выбор платформ устройств macOS или Linux при выборе параметра Требовать утвержденное клиентское приложение или Требовать политику защиты приложений в качестве единственного элемента управления предоставления или при выборе параметра Требовать все выбранные элементы управления.
Важно!
Корпорация Майкрософт рекомендует использовать политику условного доступа для неподдерживаемых платформ устройств. Например, если вы хотите заблокировать доступ к корпоративным ресурсам из Chrome OS или других неподдерживаемых клиентов, следует настроить политику с условием платформы устройства, которое включает любое устройство и исключает поддерживаемые платформы устройств, а также предоставить набор элементов управления для блокировки доступа.
Расположения
При настройке расположения в качестве условия организации могут включать или исключать расположения. Эти именованные расположения могут включать общедоступную информацию о сети IPv4 или IPv6, страну или регион или даже неизвестные области, которые не сопоставлены с определенными странами или регионами. Только диапазоны IP-адресов можно пометить как надежное расположение.
Параметр любого расположения включает все IP-адреса в Интернете, не настроенные как именованные расположения. При выборе любого расположения администраторы могут исключить все доверенные или выбранные расположения.
Например, некоторые организации могут не требовать многофакторной проверки подлинности, когда пользователи подключаются к сети в надежном расположении, например из их центрального офиса. Администраторы могут создать политику, включающую в себя любое расположение, но исключить выбранные расположения для сетей центрального офиса.
Дополнительные сведения о расположении можно найти в статье Каковы условия расположения в условном доступе Azure Active Directory.
Клиентские приложения
По умолчанию все вновь созданные политики условного доступа будут применяться ко всем типам клиентских приложений, даже если условие клиентских приложений не настроено.
Примечание
Поведение условия клиентских приложений было обновлено в августе 2020 г. При наличии существующих политик условного доступа они останутся без изменений. Однако если щелкнуть существующую политику, вы увидите, что переключатель настройки был удален и выбраны клиентские приложения, к которым применяется политика.
Важно!
Операции входа от устаревших клиентов проверки подлинности не поддерживают MFA и не передают сведения о состоянии устройства в Azure AD, поэтому они будут заблокированы элементами управления условным доступом, например, требуют использования MFA или соответствующих требованиям устройств. Если у вас есть учетные записи, которые должны использовать устаревшую проверку подлинности, необходимо либо исключить эти учетные записи из политики, либо настроить политику на применение только к современным клиентам проверки подлинности.
Если для переключателя Настроить задано значение Да, он применяется к отмеченным элементам, если он имеет значение Нет, он применяется ко всем клиентским приложениям, включая современные и устаревшие клиенты проверки подлинности. Этот переключатель не отображается в политиках, созданных до августа 2020 г.
- Клиенты с современной проверкой подлинности
- Браузер
- К ним относятся веб-приложения, использующие такие протоколы, как SAML, WS-Federation, OpenID Connect или службы, зарегистрированные как конфиденциальный клиент OAuth.
- Мобильные приложения и настольные клиенты
- Этот вариант включает такие приложения, как приложения Office для настольных компьютеров и телефонов.
- Браузер
- Клиенты с устаревшими версиями проверки подлинности
- Клиенты Exchange ActiveSync
- Сюда входят все варианты использования протокола Exchange ActiveSync (EAS).
- Когда политика блокирует использование Exchange ActiveSync, затронутый пользователь получит одно сообщение электронной почты в карантине. Это сообщение электронной почты с информацией о том, почему они заблокированы, и инструкциями по исправлению, если это возможно.
- Администраторы могут применять политику только к поддерживаемым платформам (например, iOS, Android и Windows) с помощью API условного доступа Microsoft Graph.
- Другие клиенты
- Этот параметр включает клиенты, использующие стандартные или устаревшие протоколы проверки подлинности, которые не поддерживают современную проверку подлинности.
- SMTP — используется клиентами POP и IMAP для отправки сообщений электронной почты.
- Автообнаружение — используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
- PowerShell в Exchange Online — используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
- Веб-службы Exchange (EWS) — программный интерфейс, используемый Outlook, Outlook для Mac и сторонними приложениями.
- IMAP4 — используется клиентами электронной почты IMAP.
- MAPI через HTTP (MAPI/HTTP) — используется в Outlook 2010 и более поздних версиях.
- Автономная адресная книга (OAB) — копия коллекций списков адресов, которые скачиваются и используются в Outlook.
- Мобильный Outlook (протокол RPC через HTTP) — используется в Outlook 2016 и более ранних версиях.
- Служба Outlook — используется приложениями "Почта" и "Календарь" для Windows 10.
- POP3 — используется клиентами электронной почты POP.
- Веб-службы отчетов — используются для получения данных отчетов в Exchange Online.
- Этот параметр включает клиенты, использующие стандартные или устаревшие протоколы проверки подлинности, которые не поддерживают современную проверку подлинности.
- Клиенты Exchange ActiveSync
Эти условия обычно используются, если необходимо управляемое устройство, блокирование устаревшей проверки подлинности и блокирование веб-приложений, но при этом нужно разрешать мобильные или классические приложения.
Поддерживаемые браузеры
Этот параметр работает со всеми браузерами. Но чтобы выполнить условия политики устройств, например требование соответствия, поддерживаются следующие операционные системы и браузеры. Операционные системы и браузеры, для которых закончилась основная фаза поддержки, в этот список не включены.
| Операционные системы | Браузеры |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (см. примечания) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
Эти браузеры поддерживают аутентификацию устройств, позволяя идентифицировать устройство и проверить, соответствует ли оно политике. Если браузер работает в режиме конфиденциальности или файлы cookie отключены, проверка устройства завершится ошибкой.
Примечание
Edge 85+ требует, чтобы пользователь вошел в браузер для правильной передачи удостоверения устройства. В противном случае он ведет себя как Chrome без расширения "Учетные записи". Этот вход может не выполняться автоматически в гибридном сценарии присоединения к Azure AD.
Safari поддерживается для условного доступа на основе устройств на управляемом устройстве, но не может соответствовать условиям политики Требовать утвержденное клиентское приложение или Требовать защиту приложений . Управляемый браузер, такой как Microsoft Edge, будет выполнять требования утвержденных клиентских приложений и политики защиты приложений. В iOS со сторонним решением MDM только браузер Microsoft Edge поддерживает политику устройств.
Firefox 91+ поддерживается для условного доступа на основе устройств, но должен быть включен параметр "Разрешить единый вход Windows для учётных записей Microsoft, учётных записей на работе и в учебных заведениях".
Почему в браузере отображается запрос на сертификат
В Windows 7, iOS, Android и macOS Azure AD определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства в Azure AD. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем работать с браузером.
Поддержка Chrome
Для поддержки Chrome в Windows 10 Creators Update (версия 1703) или более поздней версии установите учетные записи Windows или расширения Office. Это расширения требуются, если политика условного доступа требует сведений, относящихся к устройству.
Чтобы автоматически развернуть это расширение в браузере Chrome, создайте следующий раздел реестра:
- Путь HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
- Имя № 1
- Тип REG_SZ (строка)
- Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
Для поддержки Chrome в Windows 8.1 и Windows 7 создайте следующий раздел реестра:
- Путь HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
- Имя № 1
- Тип REG_SZ (строка)
- Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Поддерживаемые мобильные приложения и классические клиенты
Организации могут выбирать мобильные приложения и настольные клиенты в качестве клиентского приложения.
Этот параметр влияет на попытки доступа, предпринимаемые из следующих мобильных приложений и классических клиентов.
| Клиентские приложения | Целевая служба | Платформа |
|---|---|---|
| Приложение Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS и Android |
| Приложения Почта, Календарь и Люди, Outlook 2016, Outlook 2013 (с современной аутентификацией) | Exchange Online | Windows 10 |
| MFA и политика расположения для приложений Политики на основе устройств не поддерживаются. | Все службы приложения "Мои приложения" | Android и iOS |
| Microsoft Teams Services. Это клиентское приложение контролирует все службы, которые поддерживают Microsoft Teams, и все их клиентские приложения: для Windows Desktop, iOS, Android, WP, а также веб-клиент. | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android и macOS |
| Приложения Office 2016, Office 2013 (с современной аутентификацией), клиент синхронизации OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Приложения Office 2016, приложения Universal Office, Office 2013 (с современной аутентификацией), клиент синхронизации OneDrive | SharePoint Online | Windows 10 |
| Office 2016 (только Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Мобильные приложения Office | SharePoint | Android, iOS |
| Приложение Office Yammer | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office для macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (с современной проверкой подлинности), Skype для бизнеса (с современной проверкой подлинности) | Exchange Online | Windows 8.1, Windows 7 |
| Мобильное приложение Outlook | Exchange Online | Android, iOS |
| Приложение Power BI | Служба Power BI | Windows 10, Windows 8.1, Windows 7, Android и iOS |
| Skype для бизнеса | Exchange Online | Android, iOS |
| Приложение Visual Studio Team Services | Visual Studio Team Services | Windows 10, Windows 8.1, Windows 7, iOS и Android |
Клиенты Exchange ActiveSync
- Организации могут выбирать только клиенты Exchange ActiveSync при назначении политики пользователям или группам. Выбор всех пользователей, всех гостевых и внешних пользователей или ролей каталога приведет к тому, что все пользователи будут подвергаться политике.
- При создании политики, назначенной клиентам Exchange ActiveSync, Exchange Online должен быть единственным облачным приложением, назначенным политике.
- Организации могут ограничить область этой политики конкретными платформами с помощью условия платформы устройства.
Если для управления доступом, назначенного политике, требуется утвержденное клиентское приложение, пользователь будет перенаправлен на установку и использование Outlook Mobile Client. Если требуется многофакторная проверка подлинности, условия использования или пользовательские элементы управления , затронутые пользователи блокируются, так как обычная проверка подлинности не поддерживает эти элементы управления.
Дополнительные сведения см. в следующих статьях:
- Блокировка устаревших методов аутентификации с помощью условного доступа
- Требования утвержденных клиентских приложений с условным доступом
Другие клиенты
Выберите вариант Другие клиенты, чтобы указать условие, которое влияет на приложения, использующие обычную проверку подлинности с протоколами электронной почты IMAP, MAPI, POP, SMTP, и приложения Office более ранних версий, которые не используют современные методы проверки подлинности.
Состояние устройства (не рекомендуется)
Эта предварительная версия функции признана нерекомендуемой. Клиенты должны использовать условие Фильтр для устройств в политике условного доступа для удовлетворения сценариев, ранее достигнутых с помощью условия состояния устройства (не рекомендуется).
Состояние устройства использовалось для исключения устройств с гибридным присоединением к Azure AD и устройств, помеченных как совместимые с политикой соответствия Microsoft Intune, из политик условного доступа организации.
Например, все пользователи, обращающиеся к облачному приложению Microsoft Azure Management, включая все состояние устройства, за исключением гибридного устройства, присоединенного к Azure AD и устройства, помеченные как соответствующие и для элементов управления доступом, блок.
- В этом примере создается политика, которая разрешает доступ к управлению Microsoft Azure только с устройств, присоединенных к домену Azure AD или устройств, помеченных как соответствующие требованиям.
Описанный выше сценарий можно настроить следующим образом: в разделе Все пользователи, которые обращаются к облачному приложению Управление Microsoft Azure, укажите для параметра Фильтр для устройств режим исключения, примените правило device.trustType -eq "ServerAD" -or device.isCompliant -eq True, а для параметра Элементы управления доступом выберите значение Блокировать.
- Этот пример создает политику, которая блокирует доступ к облачному приложению "Управление Microsoft Azure" с неуправляемых или несоответствующих устройств.
Важно!
Состояние устройства и фильтры для устройств нельзя использовать вместе в политике условного доступа. Фильтры для устройств обеспечивают более детальную целевую настройку, включая поддержку определения сведений о состоянии устройства с помощью свойства trustType и isCompliant.
Фильтр для устройств
В условном доступе появилось новое необязательное условие: фильтр для устройств. При настройке фильтра для устройств в качестве условия организации могут включать или исключать устройства, используя выражение правила на основе свойств устройств. Выражение правила для фильтра устройств можно создать с помощью построителя правил или синтаксиса правил. Этот интерфейс похож на тот, который используется для правил динамического членства в группах. Дополнительные сведения см. в статье Условный доступ: фильтрация для устройств.