Создание политики условного доступа

Как сказано в статье Что такое условный доступ?, политика условного доступа — это оператор if-then для Назначений и Элементов управления доступом. Она объединяет сигналы для принятия решений и применения политик организации.

Как организация создает эти политики? Что для этого нужно? Как они применяются?

Условный доступ (сигналы + решения + выполнение = политики)

К одному пользователю можно в любой момент применить несколько политик условного доступа. В этом случае условия всех применяемых политик должны быть выполнены. Например, если для одной политики требуется многофакторная проверка подлинности (MFA), а для другой требуется совместимое устройство, необходимо пройти MFA и использовать совместимое устройство. Все назначения выполняются с помощью логического оператора AND. Если вы настроили несколько назначений, для активации политики все назначения должны быть выполнены.

Если выбрана политика "Требовать один из выбранных элементов управления", запрос отправляется в указанном порядке и как только требования политики выполнены, предоставляется доступ.

Все политики применяются в два этапа.

Назначения

Часть назначений управляет тем, кто, что и где находится в политике условного доступа.

Пользователи и группы

Пользователи и группы определяют, кого политика будет включать или исключать. Это назначение может включать всех пользователей, определенные группы пользователей, роли каталогов или внешних гостевых пользователей.

Облачные приложения или действия

Облачные приложения или действия могут включать или исключать облачные приложения, действия пользователей или контекст проверки подлинности, на которые будет влиять политика.

Условия

Политика может содержать несколько условий.

Риск при входе

Для организаций с Защитой идентификации Azure AD созданные определения рисков могут влиять на политики условного доступа.

Платформы устройств

Организациям с несколькими платформами операционных систем устройств может потребоваться применять определенные политики на разных платформах.

Сведения, используемые для вычисления платформы устройства, берутся из непроверенных источников, таких как изменяемые строки агента пользователя.

Расположения

Данные о расположении получаются из географических данных о расположении IP-адреса. Администраторы могут определять расположения и отмечать их как доверенные, как и относящиеся к сетевым расположениям своей организации.

Клиентские приложения

Программное обеспечение, используемое пользователем для доступа к облачному приложению. Например, "Браузер" и "Мобильные приложения и клиенты для компьютеров". По умолчанию все вновь созданные политики условного доступа будут применяться ко всем типам клиентских приложений, даже если условие клиентских приложений не настроено.

Поведение условия клиентских приложений было обновлено в августе 2020 г. При наличии политик условного доступа они останутся без изменений. Однако если выбрать существующую политику, вы увидите, что переключатель настройки удален и выбраны клиентские приложения, к которым применяется политика.

Состояние устройства

Этот элемент управления используется для исключения устройств, присоединенных к гибридной службе Azure AD или помеченных как совместимые в Intune. Это исключение можно сделать для блокировки неуправляемых устройств.

Фильтр для устройств

Этот элемент управления позволяет выбрать определенные целевые устройства на основе их атрибутов в политике.

Элементы управления доступом

Область управления доступом в политике условного доступа управляет применением политики.

Предоставить

Предоставление разрешения дает администраторам средства применения политик, которые могут блокировать или предоставлять доступ.

Заблокировать доступ

Блокировка доступа только блокирует доступ по указанным назначениям. Элемент управления блокировки является мощным инструментом, и его следует применять только обладая соответствующими знаниями.

Предоставление доступа

Элемент управления предоставлением разрешений может активировать принудительное применение одного или нескольких элементов управления.

  • Требование многофакторной идентификации
  • Требование, чтобы устройство было отмечено как совместимое (Intune)
  • Требование устройства с гибридным присоединением к Azure AD
  • Требование утвержденного клиентского приложения
  • Требовать политику защиты приложений.
  • Требовать смены пароля
  • Обязательное применение условий использования

Администраторы могут выбрать один из предыдущих элементов управления или все выбранные элементы управления, используя следующие параметры. По умолчанию для нескольких элементов управления требуется все.

  • Требование всех выбранных элементов управления (визуальный элемент и элемент управления)
  • Требуется один из выбранных элементов управления (визуальный элемент или элемент управления)

Сеанс

Элементы управления сеанса могут ограничивать возможности

  • Использование примененных к приложению ограничений
    • В настоящее время работает только с Exchange Online и SharePoint Online.
    • Передает сведения об устройстве, чтобы обеспечить управление предоставлением полного или ограниченного доступа.
  • Использовать Управление условным доступом к приложениям.
    • Использует сигналы из Microsoft Defender for Cloud Apps для выполнения таких действий, как:
      • блокировка загрузки, вырезание, копирование и печать конфиденциальных документов;
      • отслеживание реакции на рискованные сеансы;
      • требование пометки конфиденциальных файлов.
  • Частота входа
    • Возможность изменения частоты входа по умолчанию для современной проверки подлинности.
  • Сохраняемый сеанс браузера
    • Позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера.
  • Настройка непрерывной оценки доступа
  • Отключить параметры устойчивости по умолчанию

Простые политики

Для принудительного применения политика условного доступа должна содержать как минимум следующее:

  • Имя политики.
  • Назначения
    • Пользователи и (или) группы, к которым применяется политика.
    • Облачные приложения или действия, к которым применяется политика.
  • Элементы управления доступом
    • Предоставление разрешения или Блокировка элементов управления

Пустая политика условного доступа

В статье Общие политики условного доступа показаны некоторые политики, которые мы будем использовать для большинства организаций.

Дальнейшие действия

Создание политики условного доступа

Моделирование поведения входа с помощью средства What If условного доступа

Планирование развертывания облачной службы Многофакторной идентификации Azure AD

Управление соответствием устройств с помощью Intune

Microsoft Defender for Cloud Apps и условный доступ