Шаблоны условного доступа
Шаблоны условного доступа предоставляют удобный способ развертывания новых политик в соответствии с рекомендациями Майкрософт. Эти шаблоны предназначены для обеспечения максимальной защиты в соответствии с часто используемыми политиками в различных типах клиентов и расположениях.
Категории шаблонов
16 шаблонов политик условного доступа организованы по следующим категориям:
Корпорация Майкрософт рекомендует использовать эти политики в качестве основы для всех организаций. Мы рекомендуем развертывать эти политики как группу.
- Требовать многофакторную проверку подлинности для администраторов
- Условный доступ: безопасная регистрация сведений для защиты
- Блокировать устаревших методов проверки подлинности
- Требовать многофакторную проверку подлинности для всех пользователей
- Требовать многофакторную проверку подлинности для управления Azure
- Требовать соответствие требованиям или Microsoft Entra устройства с гибридным присоединением или многофакторной проверки подлинности для всех пользователей
Эти шаблоны можно найти в Microsoft Entra Центре> администрированияЗащита>условного доступа>Создать политику на основе шаблонов. Выберите Показать больше , чтобы просмотреть все шаблоны политик в каждой категории.
Важно!
Политики шаблона условного доступа будут исключать только пользователя, создающего политику из шаблона. Если вашей организации необходимо исключить другие учетные записи, вы сможете изменить политику после их создания. Эти политики можно найти в Microsoft Entra Центре> администрированияПолитикиусловного доступа защиты>>. Выберите политику, чтобы открыть редактор, и изменить исключенных пользователей и группы, чтобы выбрать учетные записи, которые вы хотите исключить.
По умолчанию каждая политика создается в режиме только для отчетов. Мы рекомендуем организациям тестировать и отслеживать использование, чтобы убедиться в предполагаемом результате, прежде чем включать каждую политику.
Организации могут выбирать отдельные шаблоны политик и:
- Просмотрите сводку параметров политики.
- Изменить, чтобы настроить в соответствии с потребностями организации.
- Экспорт определения JSON для использования в программных рабочих процессах.
- Эти определения JSON можно изменить, а затем импортировать на странице политики условного доступа main с помощью параметра Отправить файл политики.
Другие распространенные политики
Пользовательские исключения
Политики условного доступа — это мощные средства. Мы рекомендуем исключить из политик следующие учетные записи:
- Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
- Дополнительные сведения можно найти в статье Управление учетными записями для аварийного доступа в Azure AD.
- Учетные записи служб и участники-службы, например учетная запись синхронизации Azure AD Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, выполняемые субъектами-службами, не будут блокироваться политиками условного доступа, доступными для пользователей. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, предназначенные для субъектов-служб.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.