Шаблоны условного доступа

Шаблоны условного доступа предоставляют удобный способ развертывания новых политик, согласованных с рекомендациями Майкрософт. Эти шаблоны предназначены для обеспечения максимальной защиты в соответствии с часто используемыми политиками в различных типах клиентов и расположениях.

Категории шаблонов

Шаблоны политик условного доступа организованы по следующим категориям:

Безопасная основа

Корпорация Майкрософт рекомендует использовать эти политики в качестве основы для всех организаций. Мы рекомендуем развернуть эти политики как группу.

• Требовать многофакторную проверку подлинности для администраторов
• Условный доступ: безопасная регистрация сведений для защиты
• Блокировать устаревших методов проверки подлинности
• Требовать многофакторную проверку подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт
• Требовать многофакторную проверку подлинности для всех пользователей
• Требовать многофакторную проверку подлинности для управления Azure
• Требовать соответствие требованиям или гибридное присоединенное устройство Microsoft Entra или многофакторную проверку подлинности для всех пользователей

"Никому не доверяй"

Эти политики в качестве группы помогают поддерживать архитектуру нулевого доверия.

• Требовать многофакторную проверку подлинности для администраторов
• Условный доступ: безопасная регистрация сведений для защиты
• Блокировать устаревших методов проверки подлинности
• Требовать многофакторную проверку подлинности для всех пользователей
• Требовать многофакторную проверку подлинности для гостевого доступа
• Требовать многофакторную проверку подлинности для управления Azure
• Требовать многофакторную проверку подлинности для рискованных входовтребуется идентификатор Microsoft Entra ID P2
• Требование смены пароля для пользователей с высоким рискомТребуется Microsoft Entra ID P2
• Блокировка доступа для неизвестной или неподдерживаемой платформы устройств
• Сеанс постоянного браузера не
• Требовать утвержденные клиентские приложения или политики защиты приложений
• Требовать соответствие требованиям или гибридное присоединенное устройство Microsoft Entra или многофакторную проверку подлинности для всех пользователей
• Требовать многофакторную проверку подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт
• Блокировка доступа для пользователей с риском предварительной оценки (предварительная версия)Требуется Microsoft Purview

Удаленная работа

Эти политики помогают защитить организации с помощью удаленных работников.

• Условный доступ: безопасная регистрация сведений для защиты
• Блокировать устаревших методов проверки подлинности
• Требовать многофакторную проверку подлинности для всех пользователей
• Требовать многофакторную проверку подлинности для гостевого доступа
• Требовать многофакторную проверку подлинности для рискованных входовтребуется идентификатор Microsoft Entra ID P2
• Требование смены пароля для пользователей с высоким рискомТребуется Microsoft Entra ID P2
• Требовать соответствие требованиям или гибридное устройство, присоединенное к Microsoft Entra, для администраторов
• Блокировка доступа для неизвестной или неподдерживаемой платформы устройств
• Сеанс постоянного браузера не
• Требовать утвержденные клиентские приложения или политики защиты приложений
• Использование принудительных ограничений приложения для неуправляемых устройств

Защита администратора

Эти политики направлены на администраторов с высоким уровнем привилегий в вашей среде, где компрометация может привести к наибольшему ущербу.

• Требовать многофакторную проверку подлинности для администраторов
• Блокировать устаревших методов проверки подлинности
• Требовать многофакторную проверку подлинности для управления Azure
• Требовать соответствие требованиям или гибридное устройство, присоединенное к Microsoft Entra, для администраторов
• Требовать фишинговую многофакторную проверку подлинности для администраторов

Новые угрозы

Политики в этой категории предоставляют новые способы защиты от компрометации.

• Требовать фишинговую многофакторную проверку подлинности для администраторов

Найдите эти шаблоны в microsoft Entra admin center>Protection>Условного доступа>, создайте новую политику из шаблонов. Выберите "Показать больше", чтобы просмотреть все шаблоны политик в каждой категории.

Внимание

Политики шаблона условного доступа будут исключать только пользователя, создающего политику из шаблона. Если вашей организации необходимо исключить другие учетные записи, вы сможете изменить политику после их создания. Эти политики можно найти в политиках условного доступа>Microsoft Entra Admin Center>Protection.> Выберите политику, чтобы открыть редактор и изменить исключенных пользователей и групп, чтобы выбрать учетные записи, которые необходимо исключить.

По умолчанию каждая политика создается в режиме только для отчетов, мы рекомендуем организациям тестировать и отслеживать использование, чтобы обеспечить предполагаемый результат перед включением каждой политики.

Организации могут выбирать отдельные шаблоны политик и:

• Просмотрите сводку параметров политики.
• Измените параметры, чтобы настроить их в зависимости от потребностей организации.
• Экспорт определения JSON для использования в программных рабочих процессах.
  • Эти определения JSON можно изменить, а затем импортировать на главную страницу политик условного доступа с помощью параметра "Отправить файл политики".

Другие распространенные политики

• Блокирование доступа по расположению
• Блокировать доступ, за исключением конкретных приложений

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Подключение. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, область пользователям. Используйте условный доступ для удостоверений рабочей нагрузки для определения политик, предназначенных для субъектов-служб.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Следующие шаги

• Имитируйте поведение входа в систему с помощью инструмента "что если" при условном доступе.

• Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.