Условный доступ: сеанс

Применяя политику условного доступа, администратор может использовать элементы управления сеансами, чтобы ограничить взаимодействие в определенных облачных приложениях.

Conditional Access policy with a grant control requiring multi-factor authentication

Ограничения, применяемые приложением

Организации могут использовать этот элемент управления, чтобы требовать от Azure AD передачу сведений об устройстве в выбранные облачные приложения. Сведения об устройстве позволяют облачным приложениям получать информацию о том, что подключение относится к совместимому или присоединенному к домену устройству, и обновляет взаимодействие с сеансом. Этот элемент управления поддерживает только Office 365, SharePoint Online и Exchange Online в качестве выбранных облачных приложений. Выбранное облачное приложение использует сведения об устройствах для предоставления пользователям ограниченных или полных возможностей. Ограничено, если устройство не управляется или не соответствует требованиям, и не ограничено, если устройство управляется и соответствует требованиям.

Дополнительные сведения об использовании и настройке ограничений, применяемых приложением, см. в следующих статьях:

Управление условным доступом к приложениям

Управление условным доступом к приложениям использует архитектуру обратного прокси-сервера и уникальным образом интегрировано с условным доступом в Azure AD. Условный доступ Azure AD позволяет принудительно применять политики управления доступом к приложениям в организации на основе определенных условий. Условия определяют, к каким пользователям или группам пользователей, облачным приложениям и расположениям и сетям применяется политика условного доступа. Определив условия, вы можете направлять пользователей в Microsoft Defender for Cloud Apps, чтобы защитить данные с помощью Управления условным доступом к приложениям, применяя такие возможности, как условный доступ и управление сеансами.

Функция управления настройками условного доступа для приложений позволяет в режиме реального времени отслеживать и контролировать доступ пользователей к приложениям и сеансы с помощью политик доступа и сеансов. Политики доступа и сеанса используются на портале Defender для облачных приложений для уточнения фильтров и определения выполняемых действий. Возможности политик доступа и сеансов

  • Предотвращение кражи данных. Вы можете заблокировать загрузку, вырезание, копирование и печать конфиденциальных документов, например, на неуправляемым устройствах.
  • Защита при скачивании. Вместо блокирования возможности скачивания конфиденциальных документов, можно потребовать, чтобы документы были помечены и защищены с помощью Azure Information Protection. Это действие гарантирует надежную защиту документа и ограничение доступа пользователей в ходе потенциально небезопасного сеанса.
  • Запрет на передачу файлов без метки. Прежде чем конфиденциальный файл будет отправлен, распространен и использован другими пользователями, важно убедиться, что у него есть правильная метка и защита. Вы можете заблокировать возможность отправки файлов без меток, которые содержат конфиденциальные данные, пока пользователь не классифицирует содержимое.
  • Мониторинг сеансов пользователей на соответствие требованиям (предварительная версия). При выполнении входа в приложение ненадежными пользователями осуществляется их мониторинг, а все их действия в рамках сеанса регистрируются. Благодаря этому вы можете исследовать и анализировать действия пользователя, чтобы понять, где и при каких условиях необходимо применять политики сеансов в будущем.
  • Блокировка доступа (предварительная версия). Вы можете выборочно заблокировать доступ для отдельных приложений и пользователей в зависимости от нескольких факторов риска. Например, можно включить блокировку, если используются сертификаты клиента для управления устройством.
  • Блокировка настраиваемых действий. Некоторые приложения связаны с уникальными сценариями использования, которые могут представлять угрозу, включая отправку сообщений с конфиденциальным содержимым в такие приложения, как Microsoft Teams или Slack. В таких сценариях можно выполнять проверку сообщений на наличие конфиденциального содержимого и блокировать их в реальном времени.

Дополнительные сведения см. в статье Развертывание Управления условным доступом к приложениям для популярных приложений.

Частота входа

Периодичность входа определяет период времени, по истечении которого пользователю будет предложено войти снова при попытке доступа к ресурсу. Администраторы могут выбирать период времени (часы или дни) или каждый раз требовать выполнения повторной проверки подлинности.

Параметр частоты входа используется в приложениях, которые реализовали протоколы OAUTH2 или OIDC в соответствии со стандартами. Большинство собственных приложений Майкрософт для Windows, Mac и мобильных устройств, а также указанные ниже веб-приложения поддерживают этот параметр.

  • Word, Excel, PowerPoint, Outlook
  • OneNote Online
  • Office.com
  • Портал администрирования Microsoft 365
  • Exchange Online
  • SharePoint и OneDrive
  • Веб-клиент команд
  • Dynamics CRM Online
  • Портал Azure

Дополнительные сведения см. в разделе Частота входа пользователя.

Сохраняемый сеанс браузера

Постоянный сеанс браузера позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера.

Дополнительные сведения см. в разделе Сохранение сеансов обзора.

Настройка непрерывной оценки доступа

Непрерывная оценка доступа включается автоматически как часть политик условного доступа организации. Для организаций, которым нужно отключить непрерывную оценку доступа, эта конфигурация теперь является подходящим вариантом в рамках управления сеансом в условном доступе. Политики непрерывной оценки доступа могут быть ограничены всеми пользователями или конкретными пользователями и группами. При создании новой политики или изменении существующей политики условного доступа администраторы могут использовать приведенные ниже параметры.

  • Отключение работает только, если выбран параметр Все облачные приложения, не выбраны никакие условия и выбран параметр Отключить в разделе Сеанс>Customize continuous access evaluation (Настройка непрерывной оценки доступа) в политике условного доступа. Можно отключить всех пользователей или отдельных пользователей и группы.

CAE Settings in a new Conditional Access policy in the Azure portal.

Отключение стандартных параметров устойчивости (предварительная версия)

Во время сбоя Azure AD расширяет доступ к существующим сеансам, принудительно применяя политики условного доступа. Если не удается оценить политику, доступ определяется параметрами устойчивости.

Если параметры устойчивости по умолчанию отключены, доступ отклоняется после истечения срока действия существующих сеансов. Дополнительные сведения см. в статье об условном доступе и параметрах устойчивости по умолчанию.

Дальнейшие действия