Планирование политики условного доступа

  • 8 мин

Планирование развертывания условного доступа очень важно для реализации стратегии доступа для приложений и ресурсов в организации.

В мире мобильных и облачных технологий пользователи могут откуда угодно обращаться к ресурсам вашей организации с помощью разных устройств и приложений. Поэтому уже недостаточно просто указать, кто имеет доступ к ресурсу. Помимо этого нужно учитывать, где находится пользователь, какое устройство он использует, к какому ресурсу он обращается и многое другое.

Microsoft Entra Условный доступ (ЦС) анализирует сигналы, такие как пользователь, устройство и расположение, для автоматизации принятия решений и применения политик доступа организации для ресурсов. Политики условного доступа можно использовать для применения таких элементов управления доступом, как многофакторная проверка подлинности (MFA). Политики условного доступа позволяют предлагать пользователям MFA, когда это необходимо для обеспечения безопасности, и не вмешиваться в работу пользователей, когда это не требуется.

Diagram of how Conditional Access works. Centralize identity provider verifies rules before access is granted.

Хотя параметры безопасности по умолчанию обеспечивают базовый уровень безопасности, ваша организация нуждается в большей гибкости, чем предложение по умолчанию. Условный доступ можно использовать для настройки параметров безопасности по умолчанию с большей степенью детализации и установки новых политик, соответствующих вашим требованиям.

Льготы

Преимущества развертывания Условного доступа следующие.

  • Повышение производительности. Пользователи будут отрываться от работы только для выполнений единого входа (например, посредством MFA), если один или несколько сигналов подтверждают такую возможность. Политики условного доступа позволяют контролировать, когда пользователям предлагается пройти MFA, когда доступ блокируется и когда они должны использовать доверенное устройство.
  • Управление риском. Автоматизация оценки рисков с помощью условий политики означает, что рискованные входы тут же обнаруживаются и исправляются или блокируются. Взаимозависимость условного доступа с Защитой идентификации позволяет выявлять аномалии и подозрительные события, что дает возможность указать, когда доступ к ресурсам блокируется или фильтруется.
  • Соответствие нормативным требованиям и система управления. Условный доступ позволяет проводить аудит доступа к приложениям, представлять условия использования для согласия и ограничивать доступ на основе политик соответствия требованиям.
  • Управление затратами. Перемещение политик доступа к идентификатору Microsoft Entra снижает зависимость от пользовательских или локальных решений для ЦС и их затрат на инфраструктуру.
  • Отсутствие доверия. Условный доступ позволяет перейти к среде с нулевым доверием.

Компоненты политики условного доступа

Политики условного доступа функционируют как операторы IF-THEN. Если выполнено заданное условие, применяются указанные элементы управления доступом. Когда администратор настраивает политики ЦС, условия называются назначениями. Политики условного доступа позволяют принудительно применять элементы управления доступом к приложениям в организации на основе определенных назначений.

Screenshot of the conditional access dialog with the create policy screen open for configuration.

Назначения определяют пользователей и группы, на которые распространяется политика, облачные приложения или действия, к которым будет применяться политика, а также условия, при которых политика будет применяться. Параметры управления доступом предоставляют или блокируют доступ к различным облачным приложениям и могут включать ограниченные возможности в конкретных облачных приложениях.

Некоторые распространенные вопросы о назначениях, элементах управления доступом и элементах управления сеансами:

  • Какие пользователи и группы будут включены в политику или исключены из нее? Включает ли эта политика всех пользователей, определенные группы пользователей, роли каталогов или внешних пользователей?
  • Облачные приложения или действия: какие приложения будут применяться к политике? Какие действия пользователя будет регулировать эта политика?
  • Какие платформы устройств будут включены в политику или исключены из нее? Какие надежные расположения есть в организации?
  • Элементы управления доступом: вы хотите предоставить доступ к ресурсам, реализуя такие требования, как MFA, устройства, помеченные как соответствующие, или гибридные устройства, присоединенные к Microsoft Entra?
  • Управление сеансами: требуется ли управлять доступом к облачным приложениям путем реализации таких требований, как принудительно заданное приложением разрешение или Управление условным доступом к приложениям?

Выдавать маркер доступа.

Маркеры доступа позволяют клиентам безопасно вызывать защищенные веб-API, и они используются веб-API для выполнения проверки подлинности и авторизации. В соответствии со спецификацией OAuth маркеры доступа являются непрозрачными строками без формата набора. Некоторые поставщики удостоверений используют идентификаторы GUID; другие используют зашифрованные большие двоичные объекты. Платформа Microsoft Identity использует различные форматы маркеров доступа в зависимости от конфигурации API, который принимает маркер.

Важно понимать, как выдаются маркеры доступа.

Diagram of the flow of issues an access token for conditional access, and how it is used.

Примечание.

Обратите особое внимание на то, что если назначение не требуется и применена политика условного доступа, то по умолчанию выдается маркер доступа.

Например, рассмотрим политику, в которой:

ЕСЛИ пользователь входит в группу 1, ТО необходимо применить MFA для доступа к приложению 1.

Если пользователь, не входящий в группу 1, пытается получить доступ к приложению, срабатывает условие "if" и выдается маркер. Чтобы исключить пользователей не из группы 1, требуется отдельная политика для блокировки всех остальных пользователей.

Применение рекомендаций

Платформа условного доступа обеспечивает исключительную гибкость конфигурации. Тем не менее исключительная гибкость также означает, что во избежание нежелательных результатов необходимо внимательно просмотреть каждую политику конфигурации, прежде чем выпускать ее.

Настройка учетных записей для аварийного доступа

Если политика настроена неправильно, она может блокировать работу организаций на портале Azure. Уменьшить риск случайного блокирования администраторов можно, создав в организации одну или две учетные записи для аварийного доступа. Дополнительную информацию об учетных записях для аварийного доступа вы получите далее в этом курсе.

Настройка режима Только отчет"

Сложно прогнозировать количество и имена пользователей, затрагиваемых общими инициативами по развертыванию, например следующими:

  • блокировка устаревших методов аутентификации;
  • требование MFA.
  • применение политик рисков при входе.

Режим "Только отчет" позволяет администраторам оценить влияние политик условного доступа до включения их в своей среде.

Исключите страны, входа в систему из которых вы не ожидаете

Идентификатор Microsoft Entra позволяет создавать именованные расположения. Создайте именованное расположение, включающее в себя все страны, из которых никогда не будет происходить вход в систему. Затем создайте политику для всех приложений, которая блокирует вход из этого обозначенного расположения. Обязательно исключите администраторов из этой политики.

Общие политики

При планировании решения на основе политик условного доступа следует оценить, нужны ли вам настраиваемые политики для достижения перечисленных ниже результатов.

  • Требовать многофакторную идентификацию. Типичные варианты использования включают использование MFA администраторами, конкретными приложениями, для всех пользователей или из сетевых расположений, которым вы не доверяете.

  • Реагирование на потенциально скомпрометированные учетные записи. Можно включить три политики по умолчанию: требовать регистрацию всех пользователей для MFA, требовать изменения пароля для пользователей с высоким риском и требовать для пользователей с средним или высоким уровнем риска при входе.

  • Требование доступа с управляемых устройств. Широкое разнообразие поддерживаемых устройств для доступа к облачным ресурсам помогает повысить эффективность работы пользователей. Вы наверняка захотите оградить некоторые ресурсы в корпоративной среде от доступа устройств с неизвестным уровнем защиты. Для таких ресурсов нужно настроить ограничение, разрешающее доступ только с управляемых устройств.

  • Требование утвержденного клиентского приложение. Ваши сотрудники используют мобильные устройства как в личных целях, так и для выполнения рабочих задач. Для сценариев BYOD необходимо решить, следует ли управлять всем устройством или только данными на нем. Для управления только данными и доступом можно требовать утвержденные облачные приложения, которые могут защищать корпоративные данные.

  • Заблокировать доступ. Блокировка доступа переопределяет все остальные назначения для пользователя и имеет возможность заблокировать вход в клиент для всей организации. Его можно использовать, например, при переносе приложения в идентификатор Microsoft Entra, но вы еще не готовы к входу в него. Вы также можете заблокировать доступ к вашим ресурсам клиента из определенных сетевых расположений или заблокировать приложения, использующие устаревшую проверку подлинности.

    Важно!

    Если вы создаете политику для блокирования доступа всех пользователей, обязательно исключите из нее учетные записи для аварийного доступа и рассмотрите возможность исключения всех администраторов.

Создание и тестирование политик

На каждом этапе развертывания обязательно оценивайте результаты, чтобы убедиться, что они соответствуют ожиданиям.

Когда новые политики будут готовы, поэтапно разверните их в рабочей среде.

  • Проинформируйте пользователей об изменениях.
  • Для начала примените политику к небольшой группе пользователей и убедитесь, что она правильно работает.
  • Развертывая политику для остальных пользователей, временно исключите из нее всех администраторов. Исключение администраторов из политики позволит сохранить доступ на случай, если потребуются изменения этой политики.
  • Примените политику ко всем пользователям только после тщательного тестирования. Убедитесь, что у вас есть по крайней мере одна учетная запись администратора, к которой политика не применяется.

Создание тестовых пользователей

Создайте набор тестовых пользователей, отражающих пользователей в рабочей среде. Создание тестовых пользователей даст вам возможность убедиться, что все политики работают правильно, до применения их к реальным пользователям и создания риска нарушения доступа к приложениям и ресурсам.

Некоторые организации используют для таких целей тестовые клиенты. Но воссоздание всех условий и приложений из реальной среды в тестовом клиенте, чтобы полностью протестировать результат применения политики, может оказаться сложной задачей.

Создание плана тестирования

План тестирования нужен для того, чтобы сравнить ожидаемые и фактически полученные результаты. Прежде, чем тестировать любые компоненты, вы должны знать, что вы ожидаете получить. В следующей таблице приведены примеры тестовых случаев. Скорректируйте эти сценарии и ожидаемые результаты с учетом параметров ваших политик условного доступа.

Имя политики Сценарий Ожидаемый результат
Требовать многофакторную проверку подлинности при работе Авторизованный пользователь входит в приложение, находясь в надежном месте (на рабочем месте) Пользователю не нужно выполнять многофакторную проверку подлинности. Пользователь авторизован для доступа. Пользователь подключается из надежного расположения. В этом случае можно выбрать требование многофакторной проверки подлинности.
Требовать многофакторную проверку подлинности при работе Авторизованный пользователь входит в приложение, находясь в ненадежном месте (не на рабочем месте) Пользователю предлагается выполнить MFA и он может успешно войти
Требовать MFA для администраторов Глобальный администратор входит в приложение Администратору предлагается выполнить MFA
Вход, представляющий риск Пользователь входит в приложение с помощью неутвержденного браузера Пользователю нужно выполнить MFA.
Управление устройствами Авторизованный пользователь пытается войти с авторизованного устройства Доступ предоставлен
Управление устройствами Авторизованный пользователь пытается войти с неавторизованного устройства Доступ блокируется
Изменение пароля для пользователей с высоким уровнем риска Авторизованный пользователь пытается войти с использованием скомпрометированных учетных данных (вход с высоким риском) В соответствии с политикой пользователю предлагается изменить пароль, иначе доступ блокируется

Требования к лицензиям

  • Бесплатный идентификатор Microsoft Entra — условный доступ отсутствует
  • Бесплатная подписка На Office 365 — условный доступ отсутствует
  • Microsoft Entra ID Premium 1 (или Microsoft 365 E3 и up) — работа условного доступа на основе стандартных правил
  • Microsoft Entra ID Premium 2 — условный доступ, и вы получаете возможность использовать рискованные входы, рискованные пользователи и параметры входа на основе рисков, а также (из защиты идентификации)