Что собой представляет условный доступ

  • Статья
  • Чтение занимает 3 мин

Современные периметры безопасности теперь выходят за пределы сети организации, чтобы включить удостоверение пользователя и устройства. Организации могут использовать сигналы идентификации как часть решений по управлению доступом.

Условный доступ объединяет сигналы для принятия решений и применения политик организации. Условный доступ Azure AD является основой новой плоскости управления, управляемой удостоверениями.

Концептуальный условный сигнал и решение о принудительном применении

Политики условного доступа в своей простейшей форме — это операторы если-то; если пользователь хочет получить доступ к ресурсу, то он должен выполнить действие. Пример. Менеджер по заработной плате хочет получить доступ к приложению для расчета заработной платы и должен выполнить многофакторную проверку подлинности для доступа к нему.

Администраторы сталкиваются с двумя основными целями:

  • продуктивная работа пользователей в любом месте и в любое время;
  • защищать ресурсы организации.

С помощью политик условного доступа можно применять необходимые элементы управления доступом, чтобы поддерживать безопасность вашей организации.

Поток процесса концептуального условного доступа

Важно!

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Общие сигналы

Общие сигналы, которые может учитывать условный доступ при принятии решения о политике, включают перечисленные ниже сигналы.

  • Пользователь или членство в группе
    • Политики могут быть нацелены на конкретных пользователей и группы, предоставляя администраторам детальный контроль над доступом.
  • Сведения о расположении IP-адреса
    • Организации могут создавать диапазоны доверенных IP-адресов, которые можно использовать при принятии решений о политике.
    • Администраторы могут указывать целые страны или регионы для обозначения диапазонов IP-адресов, с которых нужно заблокировать или разрешить трафик.
  • Устройство
    • Для применения политик условного доступа можно использовать пользователей с устройствами определенных платформ или устройствами, помеченными определенным состоянием.
    • Используйте фильтры для устройств, чтобы применять политики к конкретным устройствам, таким как рабочие станции с привилегированным доступом.
  • Приложение
    • Пользователи, пытающиеся получить доступ к конкретным приложениям, могут запускать различные политики условного доступа.
  • Обнаружение рисков в режиме реального времени, а также вычисленных рисков
    • Интеграция сигналов с Защитой идентификации Azure AD позволяет политикам условного доступа выявлять рискованное поведение при входе. Политики могут заставить пользователей менять пароль, выполнять многофакторную проверку подлинности, чтобы снизить уровень риска, или блокировать доступ до тех пор, пока администратор не примет меры вручную.
  • Microsoft Defender для облачных приложений
    • Позволяет выполнять мониторинг доступа к пользовательским приложениям и сеансов, а также контролировать их в режиме реального времени, повышая наглядность и контроль доступа и действий, выполняемых в облачной среде.

Общие решения

  • Заблокировать доступ
    • Наиболее ограничительное решение
  • Предоставление доступа
    • Для наименее ограничительного решения, все еще может потребоваться один или несколько из приведенных ниже вариантов.
      • Требование многофакторной проверки подлинности
      • Требовать, чтобы устройство было отмечено как соответствующее
      • Требование устройства с гибридным присоединением к Azure AD
      • Требование утвержденного клиентского приложения
      • Требование политики защиты приложений (предварительная версия)

Обычно применяемые политики

Многие организации сталкиваются с типичными проблемами с доступом, в решении которых могут помочь политики условного доступа, как например:

  • Требование многофакторной проверки подлинности для пользователей с административными ролями
  • Требование многофакторной проверки подлинности для задач управления Azure
  • блокировка входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности;
  • Требование надежных расположений для регистрации Azure AD многофакторной проверки подлинности
  • блокировка или предоставление доступа из конкретных расположений;
  • блокировка рискованного поведения при входе;
  • по требованию управляемых организацией устройств для определенных приложений.

Требования лицензий

Для использования этой функции требуются лицензии Azure AD Premium P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций Azure AD.

Клиенты с лицензиями Microsoft 365 бизнес премиум также имеют доступ к функциям условного доступа.

Политикам на основе рисков требуется доступ к Защите идентификации, компоненту Azure AD P2.

Для других продуктов и функций, которые могут взаимодействовать с политиками условного доступа, требуется соответствующее лицензирование.

Когда истекает срок действия лицензий, необходимых для условного доступа, политики не отключают и не удаляются автоматически, чтобы клиенты могли перейти от политик условного доступа без внезапного изменения состояния безопасности. Оставшиеся политики можно просматривать и удалять, но больше не обновлять.

Параметры безопасности по умолчанию помогают защититься от атак, связанных с удостоверениями, и доступны для всех клиентов.

Решение "Никому не доверяй"

Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":

  • Прямая проверка
  • Использование минимальных привилегий
  • Предполагаемое нарушение

Дополнительные сведения о модели "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в разделе Центр руководства по модели "Никому не доверяй".

Дальнейшие действия