Планирование политики условного доступа

  • 8 мин

Планирование развертывания условного доступа очень важно для реализации стратегии доступа для приложений и ресурсов в организации.

В мире мобильных и облачных технологий пользователи могут откуда угодно обращаться к ресурсам вашей организации с помощью разных устройств и приложений. Поэтому уже недостаточно просто указать, кто имеет доступ к ресурсу. Помимо этого нужно учитывать, где находится пользователь, какое устройство он использует, к какому ресурсу он обращается и многое другое.

Microsoft Entra Условный доступ (УД) анализирует сигналы, такие как пользователь, устройство и местоположение, для автоматизации принятия решений и применения политик организационного доступа к ресурсам. Политики условного доступа можно использовать для применения таких элементов управления доступом, как многофакторная проверка подлинности (MFA). Политики условного доступа позволяют предлагать пользователям MFA, когда это необходимо для обеспечения безопасности, и не вмешиваться в работу пользователей, когда это не требуется.

Схема работы условного доступа. Центральный поставщик удостоверений проверяет правила, прежде чем предоставить доступ.

Хотя параметры безопасности по умолчанию обеспечивают базовый уровень защиты, вашей организации нужна большая гибкость, чем могут предложить эти параметры. Вы можете использовать ЦС для настройки значений безопасности по умолчанию с более подробной степенью детализации и настройки новых политик, удовлетворяющих вашим требованиям.

Льготы

Преимущества развертывания Центра сертификации следующие.

  • Увеличьте производительность — прерывайте пользователей с условиями входа, такими как MFA, только если один или несколько сигналов оправдывают это. Политики условного доступа позволяют контролировать, когда пользователям предлагается пройти MFA, когда доступ блокируется и когда они должны использовать доверенное устройство.
  • Управление рисками . Автоматизация оценки рисков с условиями политики означает, что рискованные входы одновременно определены и исправлены или заблокированы. Взаимозависимость условного доступа с Защитой идентификации позволяет выявлять аномалии и подозрительные события, что дает возможность указать, когда доступ к ресурсам блокируется или фильтруется.
  • Устранение соответствия требованиям и управления. Условный доступ позволяет проверять доступ к приложениям, предоставлять условия использования для согласия и ограничивать доступ на основе политик соответствия требованиям.
  • Управление затратами: перенос политик доступа в Microsoft Entra ID снижает зависимость от пользовательских или локальных решений для условного доступа и их затрат на инфраструктуру.
  • Нулевое доверие — условный доступ помогает перейти к среде нулевого доверия.

Понимание компонентов политики условного доступа

Политики условного доступа функционируют как операторы IF-THEN. Если выполнено заданное условие, применяются указанные элементы управления доступом. Когда администратор настраивает политики ЦС, условия называются назначениями. Политики условного доступа позволяют применять принудительно элементы управления доступом к приложениям в организации в соответствии с определёнными назначениями.

Снимок экрана: диалоговое окно условного доступа с открытым окном создания политики для настройки.

Назначения определяют пользователей и группы, на которые распространяется политика, облачные приложения или действия, к которым будет применяться политика, а также условия, при которых политика будет применяться. Параметры управления доступом предоставляют или блокируют доступ к различным облачным приложениям и могут включать ограниченные возможности в конкретных облачных приложениях.

Некоторые распространенные вопросы о назначениях, элементах управления доступом и элементах управления сеансами:

  • Какие пользователи и группы будут включены в политику или исключены из нее? Включает ли эта политика всех пользователей, определённые группы пользователей, роли в каталоге или внешних пользователей?
  • Облачные приложения или действия: какие приложения будут применяться к политике? Какие действия пользователя будет регулировать эта политика?
  • Какие платформы устройств будут включены в политику или исключены из нее? Какие надежные места есть в организации?
  • Элементы управления доступом: вы хотите предоставить доступ к ресурсам, реализуя такие требования, как MFA, устройства, помеченные как соответствующие, или гибридные устройства, присоединенные к Microsoft Entra?
  • Управление сеансами: требуется ли управлять доступом к облачным приложениям путем реализации таких требований, как принудительно заданное приложением разрешение или Управление условным доступом к приложениям?

Выпуск токена доступа.

Маркеры доступа позволяют клиентам безопасно вызывать защищенные веб-API, и они используются веб-API для выполнения проверки подлинности и авторизации. В соответствии со спецификацией OAuth маркеры доступа являются непрозрачными строками без формата набора. Некоторые поставщики удостоверений используют идентификаторы GUID; другие используют зашифрованные блоки данных. Платформа Microsoft Identity использует различные форматы маркеров доступа в зависимости от конфигурации API, который принимает маркер.

Важно понимать, как выдаются маркеры доступа.

Схема потока выдачи токенов доступа для условного доступа и их использования.

Примечание.

Если назначение не требуется и политика условного доступа не действует, по умолчанию выдается токен доступа.

Например, рассмотрим политику, в которой:

ЕСЛИ пользователь входит в группу 1, ТО необходимо применить MFA для доступа к приложению 1.

Если пользователь, не входящий в группу 1, пытается получить доступ к приложению, срабатывает условие "if" и выдается маркер. Чтобы исключить пользователей не из группы 1, требуется отдельная политика для блокировки всех остальных пользователей.

Следуйте лучшим практикам

Платформа условного доступа обеспечивает исключительную гибкость конфигурации. Тем не менее исключительная гибкость также означает, что во избежание нежелательных результатов необходимо внимательно просмотреть каждую политику конфигурации, прежде чем выпускать ее.

Настройка учетных записей для аварийного доступа

Если политика настроена неправильно, она может блокировать работу организаций на портале Azure. Уменьшить риск случайного блокирования администраторов можно, создав в организации одну или две учетные записи для аварийного доступа. Дополнительные сведения о учетных записях аварийного доступа см. далее в этом курсе.

Настройка режима "Только отчет"

Сложно прогнозировать количество и имена пользователей, затрагиваемых общими инициативами по развертыванию, например следующими:

  • блокировка устаревших методов аутентификации;
  • требование MFA.
  • реализация политик управления рисками при входе.

Режим "Только отчет" позволяет администраторам оценить влияние политик условного доступа до включения их в своей среде.

Исключите страны, входа в систему из которых вы не ожидаете

Microsoft Entra ID позволяет создавать именованные местоположения. Создайте именованное расположение, включающее в себя все страны, из которых никогда не будет происходить вход в систему. Затем создайте политику для всех приложений, которая блокирует вход из этого обозначенного расположения. Обязательно исключите администраторов из этой политики.

Общие политики

При планировании решения для политик условного доступа следует оценить, нужно ли вам создавать политики для достижения этих результатов.

  • Требовать многофакторную аутентификацию. Типичные варианты использования включают требование MFA для администраторов, конкретных приложений, для всех пользователей или из сетевых расположений, которым вы не доверяете.

  • Реагирование на потенциально скомпрометированные учетные записи. Можно включить три политики по умолчанию: требовать от всех пользователей регистрации для MFA, требовать, чтобы пользователи с высоким риском изменили пароль, и требовать MFA для пользователей со средним или высоким риском при входе.

  • Требование доступа с управляемых устройств. Широкое разнообразие поддерживаемых устройств для доступа к облачным ресурсам помогает повысить эффективность работы пользователей. Вы наверняка захотите оградить некоторые ресурсы в корпоративной среде от доступа устройств с неизвестным уровнем защиты. Для таких ресурсов нужно настроить ограничение, разрешающее доступ только с управляемых устройств.

  • Требовать утвержденные клиентские приложения. Ваши сотрудники используют мобильные устройства как в личных целях, так и для выполнения рабочих задач. Для сценариев BYOD необходимо решить, следует ли управлять всем устройством или только данными на нем. Для управления только данными и доступом можно требовать утвержденные облачные приложения, которые могут защищать корпоративные данные.

  • Заблокировать доступ. Блокировка доступа переопределяет все остальные назначения для пользователя и может заблокировать всей организации доступ к вашему арендатору. Его можно использовать, например, при переносе приложения на идентификатор Microsoft Entra, но вы еще не готовы к входу в него. Вы также можете заблокировать доступ к вашим ресурсам клиента из определенных сетевых расположений или заблокировать приложения, использующие устаревшую проверку подлинности.

    Внимание

    Если вы создаете политику для блокирования доступа всех пользователей, обязательно исключите из нее учетные записи для аварийного доступа и рассмотрите возможность исключения всех администраторов.

Создание и тестирование политик

На каждом этапе развертывания обязательно оценивайте результаты, чтобы убедиться, что они соответствуют ожиданиям.

Когда новые политики будут готовы, поэтапно разверните их в рабочей среде.

  • Проинформируйте пользователей об изменениях.
  • Для начала примените политику к небольшой группе пользователей и убедитесь, что она правильно работает.
  • При расширении политики для включения большего числа пользователей, продолжайте исключать всех администраторов. Исключение администраторов из политики позволит сохранить доступ на случай, если потребуются изменения этой политики.
  • Примените политику ко всем пользователям только после тщательного тестирования. Убедитесь, что у вас есть по крайней мере одна учетная запись администратора, к которой политика не применяется.

Создание тестовых пользователей

Создайте набор тестовых пользователей, отражающих пользователей в рабочей среде. Создание тестовых пользователей даст вам возможность убедиться, что все политики работают правильно, до применения их к реальным пользователям и создания риска нарушения доступа к приложениям и ресурсам.

Некоторые организации используют для таких целей тестовые клиенты. Но воссоздание всех условий и приложений из реальной среды в тестовом клиенте, чтобы полностью протестировать результат применения политики, может оказаться сложной задачей.

Создание плана тестирования

План тестирования нужен для того, чтобы сравнить ожидаемые и фактически полученные результаты. У вас всегда должны быть ожидания перед началом тестирования чего-либо. В следующей таблице приведены примеры тестовых случаев. Скорректируйте эти сценарии и ожидаемые результаты с учетом параметров ваших политик условного доступа.

Имя политики Сценарий Ожидаемый результат
Требовать многофакторную проверку подлинности при работе Авторизованный пользователь входит в приложение, находясь в надежном месте (на рабочем месте) Пользователю не требуется многофакторная аутентификация. Пользователь авторизован для доступа. Пользователь подключается из надежного расположения. В этом случае можно выбрать требование многофакторной проверки подлинности.
Требовать использования многофакторной аутентификации при работе Авторизованный пользователь входит в приложение, находясь в ненадежном месте (не на рабочем месте) Пользователю предлагается выполнить MFA и он может успешно войти
Требовать многофакторную аутентификацию для администратора Глобальный администратор входит в приложение Администратору предлагается пройти многофакторную аутентификацию.
Рискованные входы Пользователь входит в приложение с помощью неутвержденного браузера Пользователю предлагается использовать многофакторную аутентификацию.
Управление устройствами Авторизованный пользователь пытается войти с авторизованного устройства Доступ предоставлен
Управление устройствами Авторизованный пользователь пытается войти с неавторизованного устройства Доступ блокируется
Изменение пароля для пользователей с высоким уровнем риска Авторизованный пользователь пытается войти с использованием скомпрометированных учетных данных (вход с высоким риском) В соответствии с политикой пользователю предлагается изменить пароль, иначе доступ блокируется

Требования к лицензиям

  • Бесплатный идентификатор Microsoft Entra — условный доступ отсутствует
  • Бесплатная подписка На Office 365 — условный доступ отсутствует
  • Microsoft Entra ID Premium 1 (или Microsoft 365 E3 и выше) — условный доступ работает на основе стандартных правил
  • Microsoft Entra ID Premium 2 — Условный доступ, и вы получаете возможность использовать входы в систему с высоким риском, рискованных пользователей и параметры входа на основе риска в рамках функции защиты идентификации.