Применение политик условного доступа к профилю трафика Microsoft 365

С помощью профиля перенаправления трафика для всего трафика Microsoft 365 можно применить политики условного доступа ко всему трафику Microsoft 365. С помощью условного доступа можно требовать многофакторную проверку подлинности и соответствие устройств для доступа к ресурсам Microsoft 365.

В этой статье описывается применение политик условного доступа к профилю пересылки трафика Microsoft 365.

Необходимые компоненты

• Администратор istrator, взаимодействующие с Функции предварительной версии глобального безопасного доступа должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
  • Роль глобального безопасного доступа Администратор istrator
  • Условный доступ Администратор istrator или security Администратор istrator для создания и взаимодействия с политиками условного доступа.
• Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.
• Чтобы использовать профиль пересылки трафика Microsoft 365, рекомендуется лицензия Microsoft 365 E3.

Создание политики условного доступа, предназначенной для профиля трафика Microsoft 365

В следующем примере политики предназначены все пользователи, кроме учетных записей с разрывом и гостевых и внешних пользователей, требующих многофакторной проверки подлинности, соответствия устройств или гибридного устройства Microsoft Entra при доступе к трафику Microsoft 365.

1. Войдите в Центр администрирования Microsoft Entra как минимум условный доступ Администратор istrator.
2. Перейдите к условному доступу защиты> идентификации.>
3. Выберите команду Создать политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе " Исключить":
      1. Выберите пользователей и группы и выберите учетные записи аварийного доступа или аварийного доступа вашей организации.
      2. Выберите гостевых или внешних пользователей и выберите все проверка boxs.
6. В разделе "Доступ к сети целевых ресурсов>( предварительная версия)*.
   1. Выберите трафик Microsoft 365.
7. Выберите Элементы управления доступом>Предоставить разрешение.
   1. Выберите "Требовать многофакторную проверку подлинности", "Требовать, чтобы устройство было помечено как соответствующее требованиям" и "Требовать гибридное присоединенное устройство Microsoft Entra"
   2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
   3. Выберите Выбрать.

После подтверждения параметров политики с помощью режима только для отчетов администратор может переместить переключатель "Включить" из параметра "Только для отчетов".

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Подключение. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, область пользователям. Используйте условный доступ для удостоверений рабочей нагрузки для определения политик, предназначенных для субъектов-служб.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Следующие шаги

Следующим шагом для начала работы с Интернет-доступ Microsoft Entra является проверка журналов глобального безопасного доступа.

Дополнительные сведения о переадресации трафика см. в следующих статьях:

• Сведения о профилях пересылки трафика
• Управление профилем трафика Microsoft 365