Применение политик условного доступа к приложениям приватного доступа

Применение политик условного доступа к приложениям Частный доступ Microsoft Entra — это эффективный способ принудительного применения политик безопасности для внутренних частных ресурсов. Политики условного доступа можно применять к приложениям быстрого доступа и приватного доступа из глобального безопасного доступа (предварительная версия).

В этой статье описывается применение политик условного доступа к приложениям быстрого доступа и закрытого доступа.

Необходимые компоненты

• Администратор istrator, взаимодействующие с Функции предварительной версии глобального безопасного доступа должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
  • Роль глобального безопасного доступа Администратор istrator для управления функциями предварительной версии Global Secure Access.
  • Условный доступ Администратор istrator для создания и взаимодействия с политиками условного доступа.
• Необходимо настроить быстрый доступ или частный доступ.
• Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Известные ограничения

• В настоящее время для получения трафика частного доступа требуется подключение через клиент глобального безопасного доступа.

Условный доступ и глобальный безопасный доступ

Политику условного доступа можно создать для приложений быстрого доступа или приватного доступа из глобального безопасного доступа. Запуск процесса из Глобального безопасного доступа автоматически добавляет выбранное приложение в качестве целевого ресурса политики. Все, что необходимо сделать, — настроить параметры политики.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.

2. Перейдите к приложениям Global Secure Access (предварительная версия)>Application>Enterprise.

3. Выберите приложение из списка.

   

4. Выберите условный доступ в боковом меню. Все существующие политики условного доступа отображаются в списке.

   

5. Выберите команду Создать политику. Выбранное приложение отображается в сведениях о целевых ресурсах .

   

6. Настройте условия, элементы управления доступом и назначьте пользователей и группы по мере необходимости.

Политики условного доступа также можно применять к группе приложений на основе пользовательских атрибутов. Дополнительные сведения см. в разделе "Фильтр для приложений" в политике условного доступа (предварительная версия).

Пример назначений и элементов управления доступом

Измените следующие сведения о политике, чтобы создать политику условного доступа, требующую многофакторной проверки подлинности, соответствия устройств или гибридного устройства Microsoft Entra для приложения быстрого доступа. Назначения пользователей гарантируют, что учетные записи аварийного доступа или взлома вашей организации исключены из политики.

1. В разделе "Назначения" выберите "Пользователи":
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа, которые использует ваша организация.
2. В разделе "Предоставить элементы управления доступом>":
   1. Выберите "Требовать многофакторную проверку подлинности", "Требовать, чтобы устройство было помечено как соответствующее требованиям" и "Требовать гибридное присоединенное устройство Microsoft Entra"
3. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.

После подтверждения параметров политики с помощью режима только для отчетов администратор может переместить переключатель "Включить" из параметра "Только для отчетов".

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Подключение. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Следующие шаги

• Включение профиля пересылки трафика приватного доступа
• Включение восстановления исходного IP-адреса