Блокировать потоки проверки подлинности с помощью политики условного доступа
Следующие действия помогут создать политики условного доступа, чтобы ограничить способ использования потока кода устройства и передачи проверки подлинности в организации.
Политики потока кода устройства
Примечание.
Чтобы повысить уровень безопасности, корпорация Майкрософт рекомендует блокировать или ограничивать поток кода устройства везде, где это возможно.
Сначала следует настроить политику в режиме только для отчетов, чтобы определить потенциальное влияние на вашу организацию.
Мы рекомендуем организациям как можно ближе к одностороннему блоку в потоке кода устройства. Организации должны рассмотреть возможность создания политики для аудита существующего использования потока кода устройства и определить, необходимо ли по-прежнему.
Для организаций, у которых нет установленного потока кода устройства, блокировка может выполняться со следующей политикой условного доступа:
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к политикам условного доступа>защиты>.
- Выберите Новая политика.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе "Включить" выберите пользователей, которым требуется быть в области политики (рекомендуется всем пользователям ).
- В разделе " Исключить" выберите "Пользователи" и "Группы". Необходимо исключить только необходимых пользователей, и этот список исключений следует регулярно проверять.
- В разделе "Целевые ресурсы>Облачные приложения>включают", выберите приложения, которые вы хотите использовать для политики (рекомендуется использовать все облачные приложения).
- В разделе "Потоки проверки подлинности условий>" задайте для параметра "Да".
- Выберите поток кода устройства.
- Нажмите кнопку Готово.
- В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
- Выберите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
Политики передачи проверки подлинности
Возможность управления передачей проверки подлинности находится в предварительной версии, используйте условие потоков проверки подлинности в условном доступе для управления функцией. Может потребоваться заблокировать передачу проверки подлинности, если пользователи не хотят передавать проверку подлинности с компьютера на мобильное устройство. Например, если вы не разрешаете outlook использовать на личных устройствах определенными группами. Блокировка передачи проверки подлинности может выполняться с помощью следующей политики условного доступа:
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к условному доступу к защите>.
- Выберите команду Создать политику.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе "Включить" выберите "Все пользователи" или "Группы пользователей" , которые вы хотите заблокировать для передачи проверки подлинности.
- В разделе " Исключить" выберите "Пользователи" и "Группы". Необходимо исключить только необходимых пользователей, и этот список исключений следует регулярно проверять.
- В разделе "Целевые ресурсы>Облачные приложения включают" выберите "Все облачные приложения>" или "Приложения", которые вы хотите заблокировать для передачи проверки подлинности.
- В разделе "Потоки проверки подлинности">задайте для параметра "Да"
- Выберите "Передача проверки подлинности".
- Нажмите кнопку Готово.
- В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
- Выберите Выбрать.
- Подтвердите параметры и задайте для параметра Enable policy значение "Включено".
- Нажмите Создать, чтобы создать и включить политику.