Условный доступ. Условия
В политике условного доступа администратор может использовать один или несколько сигналов для улучшения своих решений политики.
Для создания детализированных и специальных политик условного доступа можно сочетать несколько условий.
Когда пользователи получают доступ к конфиденциальному приложению, администратор может учитывать несколько условий в таких решениях доступа, как:
- Сведения о риске входа из защиты идентификаторов
- Сетевое расположение
- Сведения об устройстве
Риск пользователя
Администратор istrator с доступом к Защита идентификаторов может оценить риск пользователя в рамках политики условного доступа. Риск для пользователя представляет вероятность компрометации данного удостоверения или учетной записи. Дополнительные сведения о рисках пользователей см. в статьях "Что такое риск " и "Практическое руководство. Настройка и включение политик риска".
Риск при входе
Администратор istrator с доступом к Защита идентификаторов может оценивать риск входа в рамках политики условного доступа. Риск входа представляет вероятность того, что заданный запрос проверки подлинности не был сделан владельцем удостоверения. Дополнительные сведения о риске входа см. в статьях "Что такое риск " и "Практическое руководство. Настройка и включение политик риска".
Риск предварительной оценки (предварительная версия)
Администратор istrator с доступом к Адаптивная защита Microsoft Purview может включать сигналы риска от Microsoft Purview в решения политики условного доступа. Риск предварительной оценки учитывает управление данными, безопасность данных и конфигурации рисков и соответствия требованиям из Microsoft Purview. Эти сигналы основаны на контекстных факторах, таких как:
- Действия пользователя
- Исторические шаблоны
- Обнаружение аномалий
Это условие позволяет администраторам использовать политики условного доступа для выполнения таких действий, как блокировка доступа, требование более строгих методов проверки подлинности или требование принятия условий использования.
Эта функция включает в себя включение параметров, которые специально устраняют потенциальные риски, возникающие в организации. Настроив условный доступ для рассмотрения риска для предварительной оценки, администраторы могут настраивать разрешения доступа на основе контекстных факторов, таких как поведение пользователя, исторические шаблоны и обнаружение аномалий.
Дополнительные сведения см. в статье "Настройка и включение политики на основе внутренних рисков".
Платформы устройств
Условный доступ определяет платформу устройства с помощью сведений, предоставляемых устройством, например строк агента пользователя. Так как строки агента пользователя можно изменять, эти сведения не проверяются. Платформа устройства должна использоваться совместно с политиками соответствия устройств Microsoft Intune или в составе оператора блокировки. По умолчанию политика применяется ко всем платформам устройств.
Условный доступ поддерживает следующие платформы устройств:
- Android
- iOS
- Windows
- macOS
- Linux
Если вы блокируете устаревшую проверку подлинности с помощью условия Другие клиенты, можно также задать условие платформы устройства.
Мы не поддерживаем выбор платформ устройств macOS или Linux при выборе утвержденного клиентского приложения или политики защиты приложений в качестве единственного элемента управления предоставления или при выборе параметра "Требовать все выбранные элементы управления".
Внимание
Корпорация Майкрософт рекомендует использовать политику условного доступа для неподдерживаемых платформ устройств. Например, если вы хотите заблокировать доступ к корпоративным ресурсам из Chrome OS или других неподдерживаемых клиентов, следует настроить политику с условием платформы устройства, которое включает любое устройство и исключает поддерживаемые платформы устройств, а также предоставить набор элементов управления для блокировки доступа.
Ячейки
Когда администраторы настраивают расположение в качестве условия, они могут включать или исключать расположения. Эти именованные расположения могут включать общедоступную информацию о сети IPv4 или IPv6, страну или регион, неизвестные области, которые не сопоставляют с определенными странами или регионами, а также совместимую сеть глобального безопасного доступа.
Параметр любого расположения включает все IP-адреса в Интернете, не настроенные как именованные расположения. Если администраторы выбирают любое расположение, они могут исключить все доверенные или выбранные расположения.
Администратор istrator может создавать политики, предназначенные для определенных расположений, а также другие условия. Дополнительные сведения о расположениях см. в статье "Что такое условие расположения в условном доступе Microsoft Entra".
Клиентские приложения
По умолчанию все созданные политики условного доступа применяются ко всем типам клиентских приложений, даже если условие клиентских приложений не настроено.
Примечание.
Поведение условия клиентских приложений было обновлено в августе 2020 г. При наличии существующих политик условного доступа они останутся без изменений. Однако если щелкнуть существующую политику, переключатель настройки удален и клиентские приложения, к которых применяется политика, выбрана.
Внимание
Входы из устаревших клиентов проверки подлинности не поддерживают многофакторную проверку подлинности (MFA) и не передают сведения о состоянии устройства, поэтому они блокируются элементами управления условным доступом, например требованиеМ MFA или совместимых устройств. Если у вас есть учетные записи, которые должны использовать устаревшую проверку подлинности, необходимо либо исключить эти учетные записи из политики, либо настроить политику на применение только к современным клиентам проверки подлинности.
Если для переключателя Настроить задано значение Да, он применяется к отмеченным элементам, если он имеет значение Нет, он применяется ко всем клиентским приложениям, включая современные и устаревшие клиенты проверки подлинности. Этот переключатель не отображается в политиках, созданных до августа 2020 г.
- Современные клиенты проверки подлинности
- Обозреватель
- К ним относятся веб-приложения, использующие такие протоколы, как SAML, WS-Federation, OpenID Connect или службы, зарегистрированные как конфиденциальный клиент OAuth.
- Мобильные приложения и классические клиенты
- Этот вариант включает такие приложения, как приложения Office для настольных компьютеров и телефонов.
- Обозреватель
- Устаревшие клиенты проверки подлинности
- Клиенты Exchange ActiveSync
- Сюда входят все варианты использования протокола Exchange ActiveSync (EAS).
- Если политика блокирует использование Exchange ActiveSync, затронутый пользователь получает одну электронную почту карантина. Это сообщение электронной почты с информацией о том, почему они заблокированы, и инструкциями по исправлению, если это возможно.
- Администраторы могут применять политику только к поддерживаемым платформам (например, iOS, Android и Windows) с помощью API условного доступа Microsoft Graph.
- Другие клиенты
- Этот параметр включает клиенты, использующие стандартные или устаревшие протоколы проверки подлинности, которые не поддерживают современную проверку подлинности.
- SMTP — используется клиентом POP и IMAP для отправки сообщений электронной почты.
- Автообнаружение — используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
- PowerShell в Exchange Online — используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
- Веб-службы Exchange (EWS) — интерфейс программирования, используемый приложениями Outlook, Outlook для Mac и сторонними приложениями.
- IMAP4 — используется клиентами электронной почты IMAP.
- MAPI через HTTP (MAPI/HTTP) — используется в Outlook 2010 и более поздних версиях.
- Автономная адресная книга (OAB) — копия коллекций списков адресов, которые скачиваются и используются в Outlook.
- Мобильный Outlook (протокол RPC через HTTP) — используется в Outlook 2016 и более ранних версиях.
- Служба Outlook — используется приложениями "Почта" и "Календарь" для Windows 10.
- POP3 — используется клиентами электронной почты POP.
- Веб-службы отчетов — используются для получения данных отчетов в Exchange Online.
- Этот параметр включает клиенты, использующие стандартные или устаревшие протоколы проверки подлинности, которые не поддерживают современную проверку подлинности.
- Клиенты Exchange ActiveSync
Эти условия обычно используются для следующих условий:
- Требовать управляемое устройство
- Блокировать устаревших методов проверки подлинности
- Блокировать веб-приложения, но разрешать мобильные или классические приложения
Поддерживаемые браузеры
Этот параметр работает со всеми браузерами. Но чтобы выполнить условия политики устройств, например требование соответствия, поддерживаются следующие операционные системы и браузеры. Операционные системы и браузеры из основной поддержки не отображаются в этом списке:
| Операционные системы | Браузеры |
|---|---|
| Windows 10 + | Microsoft Edge, Chrome, Firefox 91+ |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge, Safari (см. примечания) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
| Настольный компьютер Linux | Microsoft Edge |
Эти браузеры поддерживают аутентификацию устройств, позволяя идентифицировать устройство и проверить, соответствует ли оно политике. Если браузер работает в режиме конфиденциальности или файлы cookie отключены, проверка устройства завершится ошибкой.
Примечание.
Edge 85+ требует, чтобы пользователь вошел в браузер для правильной передачи удостоверения устройства. В противном случае он ведет себя как Chrome без расширения "Учетные записи". Этот вход может не происходить автоматически в сценарии присоединения гибридных устройств.
Safari поддерживается для условного доступа на основе устройств на управляемом устройстве, но он не может удовлетворить утвержденные клиентские приложения или требовать условия политики защиты приложений. Управляемый браузер, такой как Microsoft Edge, будет выполнять требования утвержденных клиентских приложений и политики защиты приложений. В iOS со сторонним решением MDM только браузер Microsoft Edge поддерживает политику устройств.
Firefox 91+ поддерживается для условного доступа на основе устройств, но должен быть включен параметр "Разрешить единый вход Windows для учётных записей Microsoft, учётных записей на работе и в учебных заведениях".
Chrome 111+ поддерживается для условного доступа на основе устройств, но необходимо включить CloudApAuthEnabled.
Почему в браузере отображается запрос на сертификат
На устройствах Windows 7, iOS, Android и macOS определяются с помощью сертификата клиента. Этот сертификат подготавливается при регистрации устройства. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем работать с браузером.
Поддержка Chrome
Для поддержки Chrome в Windows 10 Creators Update (версия 1703) или более поздней версии установите расширение учетных записей Windows или включите Chrome CloudAPAuthEnabled. Эти конфигурации необходимы, если для политики условного доступа требуются сведения о конкретных устройствах для платформ Windows.
Чтобы включить политику CloudAPAuthEnabled в Chrome, создайте следующий раздел реестра:
- Путь:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome. - Имя:
CloudAPAuthEnabled - Значение:
0x00000001 - PropertyType:
DWORD
Чтобы автоматически развернуть расширение учетной записи Windows в браузерах Chrome, создайте следующий раздел реестра:
- Путь:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist. - Имя:
1 - Тип:
REG_SZ (String) - Данных:
ppnbnpeolgkicgegkbkbjmhlideopiji;https\://clients2.google.com/service/update2/crx
Для поддержки Chrome в Windows 8.1 и Windows 7 создайте следующий раздел реестра:
- Путь:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls. - Имя:
1 - Тип:
REG_SZ (String) - Данных:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
Поддерживаемые мобильные приложения и классические клиенты
Администратор istrator может выбрать Мобильные приложения и классические клиенты в качестве клиентского приложения.
Этот параметр влияет на попытки доступа, сделанные из следующих мобильных приложений и классических клиентов:
| Клиентские приложения | Целевая служба | Платформа |
|---|---|---|
| Приложение Dynamics CRM | Dynamics CRM | Windows 10, Windows 8.1, iOS и Android |
| Приложения Почта, Календарь и Люди, Outlook 2016, Outlook 2013 (с современной аутентификацией) | Exchange Online | Windows 10 |
| MFA и политика расположения для приложений Политики на основе устройств не поддерживаются. | Все службы приложения "Мои приложения" | Android и iOS |
| Microsoft Teams Services. Это клиентское приложение контролирует все службы, которые поддерживают Microsoft Teams, и все их клиентские приложения: для Windows Desktop, iOS, Android, WP, а также веб-клиент. | Microsoft Teams | Windows 10, Windows 8.1, Windows 7, iOS, Android и macOS |
| Приложения Office 2016, Office 2013 (с современной аутентификацией), клиент синхронизации OneDrive | SharePoint | Windows 8.1, Windows 7 |
| Приложения Office 2016, приложения Universal Office, Office 2013 (с современной аутентификацией), клиент синхронизации OneDrive | SharePoint Online | Windows 10 |
| Office 2016 (только Word, Excel, PowerPoint, OneNote). | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10, macOS |
| Мобильные приложения Office | SharePoint | Android, iOS |
| Приложение Office Yammer | Yammer | Windows 10, iOS, Android |
| Outlook 2019 | SharePoint | Windows 10, macOS |
| Outlook 2016 (Office для macOS) | Exchange Online | macOS |
| Outlook 2016, Outlook 2013 (с современной проверкой подлинности), Skype для бизнеса (с современной проверкой подлинности) | Exchange Online | Windows 8.1, Windows 7 |
| Приложение Outlook Mobile | Exchange Online | Android, iOS |
| Приложение Power BI | Служба Power BI | Windows 10, Windows 8.1, Windows 7, Android и iOS |
| Skype для бизнеса | Exchange Online | Android, iOS |
| Приложение Azure DevOps Services (прежнее название — Visual Studio Team Services или VSTS) | Azure DevOps Services (ранее Visual Studio Team Services или VSTS) | Windows 10, Windows 8.1, Windows 7, iOS и Android |
Клиенты Exchange ActiveSync
- Администратор istrators могут выбирать только клиенты Exchange ActiveSync при назначении политики пользователям или группам. Выбор всех пользователей, всех гостевых и внешних пользователей или ролей каталога приводит к тому, что все пользователи будут подвергаться политике.
- Когда администраторы создают политику, назначенную клиентам Exchange ActiveSync, Exchange Online должна быть единственным облачным приложением, назначенным политике.
- Администратор istrator может сузить область этой политики на определенные платформы с помощью условия платформ устройств.
Если для управления доступом, назначенного политике, требуется утвержденное клиентское приложение, пользователь будет перенаправлен на установку и использование Outlook Mobile Client. Если требуется многофакторная проверка подлинности, условия использования или пользовательские элементы управления, затронутые пользователи блокируются, так как обычная проверка подлинности не поддерживает эти элементы управления.
Дополнительные сведения см. в следующих статьях:
- Блокировка устаревших методов аутентификации с помощью условного доступа
- Требования утвержденных клиентских приложений с условным доступом
Другие клиенты
Выберите вариант Другие клиенты, чтобы указать условие, которое влияет на приложения, использующие обычную проверку подлинности с протоколами электронной почты IMAP, MAPI, POP, SMTP, и приложения Office более ранних версий, которые не используют современные методы проверки подлинности.
Состояние устройства (не рекомендуется)
Это условие устарело. Клиенты должны использовать условие фильтра для устройств в политике условного доступа для удовлетворения сценариев, ранее достигнутых с помощью условия состояния устройства.
Внимание
Состояние устройства и фильтры для устройств нельзя использовать вместе в политике условного доступа. Фильтры для устройств обеспечивают более детальную целевую настройку, включая поддержку определения сведений о состоянии устройства с помощью свойства trustType и isCompliant.
Фильтр для устройств
Когда администраторы настраивают фильтр для устройств в качестве условия, они могут включать или исключать устройства на основе фильтра с помощью выражения правила в свойствах устройства. Выражение правила для фильтра устройств можно создать с помощью построителя правил или синтаксиса правил. Этот интерфейс похож на тот, который используется для правил динамического членства в группах. Дополнительные сведения см. в статье "Условный доступ: фильтрация для устройств".
Потоки проверки подлинности (предварительная версия)
Потоки проверки подлинности управляют использованием определенных протоколов проверки подлинности и авторизации в организации. Эти потоки могут обеспечить простой интерфейс для устройств, которые могут не использовать локальные устройства ввода, такие как общие устройства или цифровые подписи. Используйте этот элемент управления для настройки методов передачи, таких как поток кода устройства или передача проверки подлинности.