Общая политика условного доступа: требуется MFA для всех пользователей

Как Алекс Вайнерт, директор по безопасности удостоверений в Корпорации Майкрософт, упоминание в своем блоге ваш Pa$$word не имеет значения:

Ваш пароль не важен в отличие от многофакторной проверки подлинности (MFA)! Согласно нашим исследованиям применение MFA позволяет снизить вероятность компрометации вашей учетной записи более чем на 99,9 %.

Руководство, приведенное в этой статье, помогает вашей организации создать политику MFA для вашей среды.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Подключение. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Исключения приложений

Бывает, что в организациях используется много облачных приложений. Не все эти приложения могут требовать одинакового уровня безопасности. Например, приложениям, связанным с расчетом зарплаты и учетом рабочего времени может быть нужна многофакторная проверка подлинности, а в кафе, вероятно, можно обойтись и без нее. Администраторы могут исключать определенные приложения из политики.

Активация подписки

Организации, использующие функцию активации подписки, чтобы пользователи могли "шагнуть" из одной версии Windows в другую и использовать политики условного доступа для управления доступом, чтобы исключить одно из следующих облачных приложений из политик условного доступа с помощью выбора исключенных облачных приложений:

• API-интерфейсы службы универсального магазина и веб-приложение, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f.

• Магазин Windows для бизнеса, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

Хотя идентификатор приложения совпадает в обоих экземплярах, имя облачного приложения зависит от клиента.

Дополнительные сведения о настройке исключений в политиках условного доступа см. в разделе "Исключения приложений".

Если устройство находится в автономном режиме в течение длительного периода времени, устройство может не активироваться автоматически, если это исключение условного доступа не выполняется. Установка этого исключения условного доступа гарантирует, что активация подписки продолжает работать без проблем.

Начиная с Windows 11 версии 23H2 с КБ 5034848 или более поздней, пользователям предлагается выполнить проверку подлинности с всплывающее уведомление, когда активация подписки должна быть повторно активирована. Всплывающее уведомление отображает следующее сообщение:

Для вашей учетной записи требуется проверка подлинности

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Кроме того, в области активации может появиться следующее сообщение:

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Запрос на проверку подлинности обычно возникает, когда устройство находится в автономном режиме в течение длительного периода времени. Это изменение устраняет необходимость исключения в политике условного доступа для Windows 11 версии 23H2 с КБ 5034848 или более поздней. Политика условного доступа по-прежнему может использоваться с Windows 11 версии 23H2 с КБ 5034848 или более поздней, если запрос на проверку подлинности пользователя через всплывающее уведомление не требуется.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа, чтобы все пользователи делали многофакторную проверку подлинности.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите команду Создать политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения".>
   1. В разделе Исключить выберите приложения, которые не требуют многофакторной проверки подлинности.
7. В разделе Управление доступом>Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.
8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Именованные расположения

Организации могут учитывать в своих политиках условного доступа известные сетевые расположения, которые называются Именованными расположениями. Эти именованные расположения могут включать доверенные IP-сети, такие как для основного расположения офиса. Дополнительные сведения о настройке именованных расположений см. в статье "Что такое условие расположения в условном доступе Microsoft Entra?

В предыдущем примере политики организация может не требовать многофакторной проверки подлинности при доступе к облачному приложению из корпоративной сети. При этом они могли добавить в политику следующую конфигурацию:

1. В разделе Назначения выберите Условия>Расположения.
   1. Выберите Да.
   2. Включите Все расположения.
   3. Отключите Все надежные расположения.
   4. Нажмите кнопку Готово.
2. Нажмите кнопку Готово.
3. Сохраните изменения политики.

Следующие шаги

Шаблоны условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.