Руководство. Перенос политик входа Okta в условный доступ Microsoft Entra

  • Статья

В этом руководстве описано, как перенести организацию из глобальных политик входа на уровне приложений в Okta Условного доступа в Идентификаторе Microsoft Entra. Политики условного доступа защищают доступ пользователей в идентификаторе Microsoft Entra и подключенных приложениях.

Дополнительные сведения: Что такое условный доступ?

Для выполнения действий, описанных в этом учебнике, вам необходимо следующее.

  • Клиент Office 365, федеративный с Okta для входа и многофакторной проверки подлинности
  • Сервер Microsoft Entra Подключение или агенты подготовки облака Microsoft Entra Подключение, настроенные для подготовки пользователей к идентификатору Microsoft Entra

Необходимые компоненты

Дополнительные сведения о лицензировании и учетных данных см. в следующих двух разделах.

Лицензирование

Существуют требования к лицензированию при переключении входа в Okta в условный доступ. Для этого процесса требуется лицензия Microsoft Entra ID P1 для включения регистрации для многофакторной проверки подлинности Microsoft Entra.

Дополнительные сведения. Назначение или удаление лицензий в Центре администрирования Microsoft Entra

Учетные данные корпоративного Администратор istrator

Чтобы настроить запись точки подключения службы (SCP), убедитесь, что у вас есть учетные данные enterprise Администратор istrator в локальном лесу.

Оценка политик входа Okta для перехода

Найдите и оцените политики входа Okta, чтобы определить, что будет перенесено на идентификатор Microsoft Entra.

  1. В okta перейдите к входу проверки подлинности безопасности>>.

    Screenshot of Global MFA Sign On Policy entries on the Authentication page.

  2. Перейдите в раздел Приложения.

  3. В подменю выберите "Приложения"

  4. В списке "Активные приложения" выберите подключенный экземпляр Microsoft Office 365.

    Screenshot of settings under Sign On, for Microsoft Office 365.

  5. Выберите вход.

  6. Прокрутите до нижней части страницы.

Политика входа в приложение Microsoft Office 365 имеет четыре правила:

  • Принудительное применение MFA для мобильных сеансов — требуется многофакторная проверка подлинности или сеансы браузера в iOS или Android
  • Разрешить доверенные устройства Windows— предотвращает ненужные запросы проверки или фактора для доверенных устройств Okta
  • Требовать многофакторную проверку подлинности на ненадежных устройствах Windows— требуется многофакторная проверка подлинности или сеансы браузера на ненадежных устройствах Windows
  • Блокировка устаревшей проверки подлинности— не позволяет устаревшим клиентам проверки подлинности подключаться к службе.

Снимок экрана ниже: условия и действия для четырех правил на экране политики входа.

Screenshot of conditions and actions for the four rules, on the Sign On Policy screen.

Настраивать политики условного доступа

Настройте политики условного доступа для соответствия условиям Okta. Однако в некоторых сценариях может потребоваться дополнительная настройка:

  • Сетевые расположения Okta для именованных расположений в идентификаторе Microsoft Entra
  • Доверие устройств Okta к условному доступу на основе устройств (два варианта для оценки пользовательских устройств):
    • См. следующий раздел: конфигурация гибридного соединения Microsoft Entra для синхронизации устройств Windows, таких как Windows 10, Windows Server 2016 и 2019, с идентификатором Microsoft Entra
    • См. следующий раздел: настройка соответствия устройств
    • См. раздел "Использование гибридного соединения Microsoft Entra", функции на сервере Microsoft Entra Подключение, который синхронизирует устройства Windows, такие как Windows 10, Windows Server 2016 и Windows Server 2019, с идентификатором Microsoft Entra
    • Ознакомьтесь с разделом " Регистрация устройства в Microsoft Intune " и назначение политики соответствия требованиям

Конфигурация гибридного соединения Microsoft Entra

Чтобы включить гибридное соединение Microsoft Entra на сервере Microsoft Entra Подключение, запустите мастер настройки. После настройки зарегистрируйте устройства.

Примечание.

Гибридное соединение Microsoft Entra не поддерживается с агентами подготовки облака Microsoft Entra Подключение.

  1. Настройка гибридного соединения Microsoft Entra.

  2. На странице Конфигурация точки подключения службы выберите раскрывающийся список Служба проверки подлинности.

    Screenshot of the Authentication Service dropdown on the Microsoft Entra Connect dialog.

  3. Выберите URL-адрес поставщика федерации Okta.

  4. Выберите Добавить.

  5. Введите учетные данные локального предприятия Администратор istrator

  6. Выберите Далее.

    Совет

    Если вы заблокировали устаревшую проверку подлинности на клиентах Windows в глобальной или политике входа на уровне приложений, сделайте правило, позволяющее завершить процесс гибридного соединения Microsoft Entra. Разрешить устаревший стек проверки подлинности для клиентов Windows.
    Чтобы включить пользовательские строки клиента в политиках приложений, обратитесь в Центр справки Okta.

Настройка соответствия устройств

Гибридное соединение Microsoft Entra — это замена доверия устройств Okta в Windows. Политики условного доступа распознают соответствие устройств, зарегистрированных в Microsoft Intune.

Политика соответствия устройства

Регистрация Windows 10/11, iOS, iPadOS и Android

При развертывании гибридного соединения Microsoft Entra можно развернуть другую групповую политику для завершения автоматической регистрации этих устройств в Intune.

Настройка параметров клиента многофакторной проверки подлинности Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Перед преобразованием в условный доступ подтвердите базовые параметры клиента MFA для вашей организации.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.

  2. Перейдите ко всем пользователям удостоверений>>.

  3. Выберите MFA для каждого пользователя в верхнем меню панели "Пользователи ".

  4. Откроется устаревший портал многофакторной проверки подлинности Microsoft Entra. Или выберите портал многофакторной проверки подлинности Microsoft Entra.

    Screenshot of the multifactor authentication screen.

  5. Убедитесь, что пользователи не включены для устаревшей MFA: в меню многофакторной проверки подлинности в состоянии многофакторной проверки подлинности выберите "Включено" и "Принудительно". Если у клиента есть пользователи в следующих представлениях, отключите их в устаревшем меню.

    Screenshot of the multifactor authentication screen with the search feature highlighted.

  6. Убедитесь, что поле "Принудительное " пусто.

  7. Выберите параметр Параметры службы.

  8. Для параметра Пароли приложений задайте значение Запретить пользователям создавать пароли приложений для входа в приложения, не относящиеся к браузеру.

    Screenshot of the multifactor authentication screen with service settings highlighted.

  9. Снимите флажки проверка boxes для пропуска многофакторной проверки подлинности для запросов от федеративных пользователей в моей интрасети и разрешить пользователям запоминать многофакторную проверку подлинности на устройствах, которым они доверяют (от одного до 365 дней).

  10. Выберите Сохранить.

    Screenshot of cleared checkboxes on the Require Trusted Devices for Access screen.

    Примечание.

    См. статью "Оптимизация запросов повторной проверки подлинности" и сведения о времени существования сеанса для многофакторной проверки подлинности Microsoft Entra.

Создание политики условного доступа

Сведения о настройке политик условного доступа см. в рекомендациях по развертыванию и проектированию условного доступа.

После настройки необходимых компонентов и установленных базовых параметров можно создать политику условного доступа. Политика может быть нацелена на приложение, тестовую группу пользователей или обоих пользователей.

Необходимые условия:

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к удостоверению.

  3. Чтобы узнать, как создать политику в идентификаторе Microsoft Entra. См. политику общего условного доступа: требуется многофакторная проверка подлинности для всех пользователей.

  4. Создайте правило условного доступа на основе доверия устройств.

    Screenshot of entries for Require Trusted Devices for Access, under Conditional Access.

    Screenshot of the Keep you account secure dialog with the success message.

  5. После настройки политики на основе расположения и политики доверия устройств блокировка устаревшей проверки подлинности с помощью идентификатора Microsoft Entra с помощью условного доступа.

С этими тремя политиками условного доступа исходный интерфейс политик входа Okta реплика в идентификаторе Microsoft Entra.

Регистрация пилотных участников в MFA

Пользователи регистрируются для методов MFA.

Для индивидуальной регистрации пользователи перейдите в область входа Майкрософт.

Для управления регистрацией пользователи отправляются в Microsoft My Sign-Ins | Сведения о безопасности.

Дополнительные сведения: включение объединенной регистрации сведений о безопасности в идентификаторе Microsoft Entra.

Примечание.

Если пользователи зарегистрированы, они перенаправляются на страницу "Моя безопасность " после удовлетворения MFA.

Включение политик условного доступа

  1. Чтобы проверить, измените созданные политики на "Включено тестовое имя входа пользователя".

    Screenshot of policies on the Conditional Access, Policies screen.

  2. На панели входа в Office 365 тестовый пользователь Джон Смит запрашивает вход с помощью Okta MFA и многофакторной проверки подлинности Microsoft Entra.

    Screenshot of the Azure Sign-In pane.

  3. Завершите проверку MFA в Okta.

    Screenshot of MFA verification through Okta.

  4. Пользователю предлагается условный доступ.

  5. Убедитесь, что политики настроены для активации MFA.

    Screenshot of MFA verification through Okta prompted for Conditional Access.

Добавление участников организации в политики условного доступа

После проведения тестирования на пилотных членах добавьте остальных участников организации в политики условного доступа после регистрации.

Чтобы избежать двойного запроса между многофакторной проверкой подлинности Microsoft Entra и Okta MFA, отказаться от Okta MFA: измените политики входа.

  1. Перейдите в консоль администрирования Okta

  2. Выбор проверки подлинности безопасности>

  3. Перейдите к политике входа.

    Примечание.

    Установите для глобальных политик значение Inactive , если все приложения из Okta защищены политиками входа в приложение.

  4. Для политики Enforce MFA (Применение MFA) задайте состояние Inactive (Неактивная). Политику можно назначить новой группе, которая не включает пользователей Microsoft Entra.

    Screenshot of Global MFA Sign On Policy as Inactive.

  5. В области политики входа на уровне приложения выберите параметр "Отключить правило ".

  6. Выберите "Неактивный". Политику можно назначить новой группе, которая не включает пользователей Microsoft Entra.

  7. Убедитесь, что для приложения включена по крайней мере одна политика входа на уровне приложения, которая разрешает доступ без MFA.

    Screenshot of application access without MFA.

  8. Пользователям предлагается условный доступ при следующем входе.

Следующие шаги