Поделиться через


Условный доступ: фильтрация для приложений

В настоящее время политики условного доступа можно применять ко всем приложениям или отдельным приложениям. Организации с большим количеством приложений могут найти этот процесс трудным для управления в нескольких политиках условного доступа.

Фильтры приложений для условного доступа позволяют организациям тегировать субъекты-службы настраиваемыми атрибутами. Затем эти настраиваемые атрибуты добавляются в свои политики условного доступа. Фильтры для приложений оцениваются во время выполнения выдачи маркеров, часто возникает вопрос о том, назначены ли приложения во время выполнения или конфигурации.

В этом документе создается настраиваемый набор атрибутов, назначается настраиваемый атрибут безопасности приложению и создается политика условного доступа для защиты приложения.

Назначение ролей

Пользовательские атрибуты безопасности чувствительны к безопасности и могут управляться только делегированными пользователями. Одной или несколькими из следующих ролей должны быть назначены пользователям, которые управляют или сообщают об этих атрибутах.

Имя роли Description
Администратор назначения атрибутов Назначьте пользовательские ключи и значения атрибутов безопасности поддерживаемым объектам Microsoft Entra.
Читатель назначения атрибутов Чтение ключей и значений настраиваемых атрибутов безопасности для поддерживаемых объектов Microsoft Entra.
Администратор определения атрибутов Определение настраиваемых атрибутов безопасности и управление ими.
Читатель определения атрибутов Чтение определения настраиваемых атрибутов безопасности.

Назначьте соответствующую роль пользователям, которые управляют или сообщают об этих атрибутах в области каталога. Подробные инструкции см. в разделе "Назначение роли".

Внимание

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности.

Создание настраиваемых атрибутов безопасности

Следуйте инструкциям из статьи, добавьте или деактивируйте настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra, чтобы добавить следующий набор атрибутов и новые атрибуты.

  • Создайте набор атрибутов с именем ConditionalAccessTest.
  • Создайте новые атрибуты с именем policyRequirement , которые позволяют назначать несколько значений и разрешать назначать только предопределенные значения. Мы добавим следующие предопределенные значения:
    • legacyAuthAllowed
    • blockGuestUsers
    • requireMFA
    • requireCompliantDevice
    • requireHybridJoinedDevice
    • requireCompliantApp

Снимок экрана: настраиваемый атрибут безопасности и предопределенные значения в идентификаторе Microsoft Entra.

Примечание.

Фильтры условного доступа для приложений работают только с пользовательскими атрибутами безопасности типа string. Настраиваемые атрибуты безопасности поддерживают создание логического типа данных, но политика условного доступа поддерживает только строку.

Создание политики условного доступа

Снимок экрана: политика условного доступа с окном фильтра редактирования с атрибутом обязательной MFA.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа и средство чтения определений атрибутов.
  2. Перейдите к условному доступу к защите>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе "Целевые ресурсы" выберите следующие параметры:
    1. Выберите то, что эта политика применяется к облачным приложениям.
    2. Включить ресурсы Select.
    3. Выберите " Изменить фильтр".
    4. Задайте для параметра Настроить значение Да.
    5. Выберите атрибут, созданный ранее с именем policyRequirement.
    6. Задайте для оператора значение Contains.
    7. Задайте для параметра значение requireMFA.
    8. Нажмите кнопку Готово.
  7. В разделе Управление доступом>Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Настройка настраиваемых атрибутов

Шаг 1. Создание примера приложения

Если у вас уже есть тестовое приложение, использующее субъект-службу, этот шаг можно пропустить.

Создайте простое приложение, которое демонстрирует, как задание или служба Windows могут выполняться с идентификатором приложения, а не пользователя. Для создания этого приложения следуйте инструкциям в кратком руководстве по получению маркера и вызову API Microsoft Graph с помощью идентификатора консольного приложения.

Шаг 2. Назначение пользовательского атрибута безопасности приложению

Если у вас нет субъекта-службы, указанного в клиенте, он не может быть целевым. Набор Office 365 является примером одного из таких субъектов-служб.

  1. Войдите в Центр администрирования Microsoft Entra по крайней мере администратор условного доступа~/identity/identity/role-based-access-control/permissions-reference.md#условный доступ-администратор) и администратор назначения атрибутов.
  2. Перейдите к приложениям Identity>Applications>Enterprise.
  3. Выберите субъект-службу, к которому нужно применить настраиваемый атрибут безопасности.
  4. В разделе "Управление настраиваемыми>атрибутами безопасности" выберите "Добавить назначение".
  5. В разделе "Набор атрибутов" выберите ConditionalAccessTest.
  6. В разделе "Имя атрибута" выберите policyRequirement.
  7. В разделе "Назначенные значения" выберите "Добавить значения", выберите requireMFA в списке, а затем нажмите кнопку "Готово".
  8. Выберите Сохранить.

Шаг 3. Тестирование политики

Войдите как пользователь, к которому будет применяться политика, и проверьте, что MFA требуется при доступе к приложению.

Другие сценарии

  • Блокировка устаревших методов проверки подлинности
  • Блокировка внешнего доступа к приложениям
  • Требование соответствующих политик защиты устройств или приложений Intune
  • Применение элементов управления частотой входа для определенных приложений
  • Требование рабочей станции привилегированного доступа для определенных приложений
  • Требовать элементы управления сеансами для пользователей с высоким риском и конкретных приложений

Шаблоны условного доступа

Определение эффекта с помощью режима только для отчета условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.