Общая политика условного доступа: требуется соответствие требованиям или гибридное устройство, присоединенное к Microsoft Entra для администраторов

  • Статья

Учетные записи, которым назначены права администратора, часто подвергаются атакам злоумышленников. Требование, чтобы пользователи с этими правами с высоким уровнем привилегий выполняли действия с устройств, помеченных как соответствующие требованиям, или гибридное присоединение Microsoft Entra может помочь ограничить возможное воздействие.

Дополнительные сведения о политиках соответствия см. в статье "Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune".

Требование гибридного присоединенного устройства Microsoft Entra зависит от устройств, уже присоединенных к Microsoft Entra. Дополнительные сведения см. в статье "Настройка гибридного соединения Microsoft Entra".

Корпорация Майкрософт рекомендует включить эту политику для следующих ролей как минимум на основе рекомендаций оценки удостоверений:

  • Глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • Администратор выставления счетов
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Организации могут включить или исключить определенные роли по своему усмотрению.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Подключение. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
    • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа, чтобы требовать многофакторную проверку подлинности, устройства, обращающиеся к ресурсам, должны быть помечены как соответствующие политикам соответствия Intune вашей организации или присоединены к гибридной среде Microsoft Entra.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к условному доступу к защите>.
  3. Выберите команду Создать политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

    1. В разделе Включить выберите Роли каталога и выберите встроенные роли, например:

      • глобальный администратор
      • Администратор приложений
      • Администратор проверки подлинности
      • администратора выставления счетов;
      • Администратор облачных приложений
      • Администратор условного доступа
      • Администратор Exchange
      • Администратор службы технической поддержки
      • Администратор паролей
      • Привилегированная проверка подлинности Администратор istrator
      • Администратор привилегированных ролей
      • Администратор безопасности
      • Администратор SharePoint
      • Администратор пользователей

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются к ролям других типов, включая роли административных единиц или пользовательские роли.

    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.

  6. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения".>
  7. Выберите Элементы управления доступом>Предоставить разрешение.
    1. Выберите " Требовать, чтобы устройство было помечено как соответствующее требованиям" и требуется гибридное устройство, присоединенное к Microsoft Entra
    2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
    3. Выберите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Примечание.

Вы можете зарегистрировать новые устройства в Intune, даже если выбрали параметр Требовать, чтобы устройство было отмечено как соответствующее для групп Все пользователи и Все облачные приложения, выполнив описанные выше действия. Флажок Требовать, чтобы устройство было отмечено как соответствующее не блокирует развертывание Intune.

Известное поведение

В Windows 7, iOS, Android, macOS и некоторых сторонних веб-браузерах идентификатор Microsoft Entra идентифицирует устройство с помощью сертификата клиента, подготовленного при регистрации устройства с идентификатором Microsoft Entra. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем сможет продолжить работать с браузером.

Активация подписки

Организации, использующие функцию активации подписки для включения пользователей в одну версию Windows в другую, могут потребовать исключения Магазина Windows для бизнеса, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из политики соответствия устройств.

Связанный контент