Поделиться через


Блокировать потоки проверки подлинности с помощью политики условного доступа

Следующие действия помогут создать политики условного доступа, чтобы ограничить способ использования потока кода устройства и передачи проверки подлинности в организации.

Политики потока кода устройства

Примечание.

Чтобы повысить уровень безопасности, корпорация Майкрософт рекомендует блокировать или ограничивать поток кода устройства везде, где это возможно.

Сначала следует настроить политику в режиме только для отчетов, чтобы определить потенциальное влияние на вашу организацию.

Мы рекомендуем организациям как можно ближе к одностороннему блоку в потоке кода устройства. Организации должны рассмотреть возможность создания политики для аудита существующего использования потока кода устройства и определить, необходимо ли по-прежнему.

Для организаций, у которых нет установленного потока кода устройства, блокировка может выполняться со следующей политикой условного доступа:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Включить" выберите пользователей, которым требуется быть в области политики (рекомендуется всем пользователям ).
    2. В разделе " Исключить" выберите "Пользователи" и "Группы". Необходимо исключить только необходимых пользователей, и этот список исключений следует регулярно проверять.
  5. В разделе "Целевые ресурсы>Облачные приложения>включают", выберите приложения, которые вы хотите использовать для политики (рекомендуется использовать все облачные приложения).
  6. В разделе "Потоки проверки подлинности условий>" задайте для параметра "Да".
    1. Выберите поток кода устройства.
    2. Нажмите кнопку Готово.
  7. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
    1. Выберите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Политики передачи проверки подлинности

Возможность управления передачей проверки подлинности находится в предварительной версии, используйте условие потоков проверки подлинности в условном доступе для управления функцией. Может потребоваться заблокировать передачу проверки подлинности, если пользователи не хотят передавать проверку подлинности с компьютера на мобильное устройство. Например, если вы не разрешаете outlook использовать на личных устройствах определенными группами. Блокировка передачи проверки подлинности может выполняться с помощью следующей политики условного доступа:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к условному доступу к защите>.
  3. Выберите команду Создать политику.
  4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Включить" выберите "Все пользователи" или "Группы пользователей" , которые вы хотите заблокировать для передачи проверки подлинности.
    2. В разделе " Исключить" выберите "Пользователи" и "Группы". Необходимо исключить только необходимых пользователей, и этот список исключений следует регулярно проверять.
  5. В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения>" или "Приложения", которые вы хотите заблокировать для передачи проверки подлинности.
  6. В разделе "Потоки проверки подлинности">задайте для параметра "Да"
    1. Выберите "Передача проверки подлинности".
    2. Нажмите кнопку Готово.
  7. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
    1. Выберите Выбрать.
  8. Подтвердите параметры и задайте для параметра Enable policy значение "Включено".
  9. Нажмите Создать, чтобы создать и включить политику.