Настройка политик условного доступа

Условный доступ — это защита регулируемого содержимого в системе путем контроля выполнения определенных условий перед предоставлением доступа к содержимому. Простейшие политики условного доступа — это конструкции типа "если-то". Если пользователь хочет получить доступ к ресурсу, то он должен выполнить какое-то действие. Например, менеджер по заработной плате хочет получить доступ к приложению заработной платы и должен выполнить многофакторную проверку подлинности (MFA) для этого.

С помощью условного доступа можно достичь двух основных целей:

• Предоставить пользователям возможность работать в любом месте в любое время.
• Защитить активы своей организации.

С помощью политик условного доступа можно применять нужные элементы управления доступом, чтобы в нужных случаях защищать организацию, но не мешать пользователям, когда слишком строгая защита не нужна.

Частота запроса пользователя на повторную проверку подлинности зависит от Microsoft Entra параметров конфигурации времени существования сеанса. Хотя запоминать учетные данные удобно, это также может сделать развертывания для корпоративных сценариев с использованием личных устройств менее безопасными. Чтобы защитить пользователей, вы можете убедиться, что клиент чаще запрашивает Microsoft Entra учетные данные многофакторной проверки подлинности. Для настройки этого поведения можно использовать частоту входа условного доступа.

Назначение политики условного доступа для Облачных компьютеров

Политики условного доступа не заданы для вашего клиента по умолчанию. Вы можете нацеливать политики ЦС на собственное приложение облачного компьютера, используя одну из следующих платформ:

• Azure. Дополнительные сведения см. в разделе условный доступ Microsoft Entra.
• Microsoft Intune. Ниже описаны этапы этого процесса. Дополнительные сведения см. в статье Сведения об условном доступе и Intune.

Какой бы метод вы ни использовали, политики будут применены для портала конечного пользователя Облачного компьютера и подключения к Облачному компьютеру.

1. Войдите в Центр администрирования Microsoft Intune, выберите Безопасность>конечных точек Условный доступ>Создать политику.

2. Укажите имя для конкретной политики условного доступа.

3. В разделе Пользователи выберите 0 выбранных пользователей и групп.

4. На вкладке Включить выберите Выбрать пользователей и группы> проверка Пользователи и группы> в разделе Выбрать, выберите 0 выбранных пользователей и групп.

5. На открывающейся новой панели найдите и выберите конкретного пользователя или группу, для которого вы хотите нацелиться с помощью политики ЦС, а затем нажмите кнопку Выбрать.

6. В разделе Целевые ресурсы выберите Не выбраны целевые ресурсы.

7. На вкладке Включить выберите Выберите приложения> в разделе Выбрать, а затем — Нет.

8. На панели Выбор найдите и выберите следующие приложения в зависимости от ресурсов, которые вы пытаетесь защитить:

   • Windows 365 (идентификатор приложения 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Вы также можете найти это приложение по запросу "облако". Это приложение используется при получении списка ресурсов для пользователя и при запуске пользователем действий на своем облачном компьютере, таких как перезапуск.
   • Виртуальный рабочий стол Azure (идентификатор приложения 9cdead84-a844-4324-93f2-b2e6bb768d07). Это приложение также может отображаться как Виртуальный рабочий стол Windows. Это приложение используется для проверки подлинности в шлюзе Виртуальных рабочих столов Azure во время подключения и при отправке клиентом диагностических сведений в службу.
   • Удаленный рабочий стол (Майкрософт) (идентификатор приложения a4a365df-50f1-4397-bc59-1a1564b8bb9c) и Windows Cloud Login (идентификатор приложения 270efc09-cd0d-444b-a71f-39af4910ec45). Эти приложения необходимы только при настройке единого входа в политике подготовки. Эти приложения используются для проверки подлинности пользователей на облачном компьютере.

   Рекомендуется сопоставлять политики условного доступа между этими приложениями. Это гарантирует, что политика применяется к порталу конечного пользователя облачного компьютера, подключению к шлюзу и облачному компьютеру для согласованного взаимодействия. Если вы хотите исключить приложения, необходимо также выбрать все эти приложения.

   Важно!

   При включении единого входа проверка подлинности на облачном компьютере использует приложение Удаленный рабочий стол (Майкрософт) Entra ID. Предстоящее изменение приведет к переносу проверки подлинности в приложение Windows Cloud Login Entra ID. Чтобы обеспечить плавный переход, необходимо добавить оба приложения Entra ID в политики ЦС.

   Примечание.

   Если приложение Windows Cloud Login не отображается при настройке политики условного доступа, выполните следующие действия, чтобы создать приложение. Чтобы внести следующие изменения, необходимо иметь разрешения владельца или участника в подписке:

   1. Войдите на портал Azure.
   2. Выберите Подписки в списке Служб Azure.
   3. Выберите имя подписки.
   4. Выберите Поставщики ресурсов , а затем — Microsoft.DesktopVirtualization.
   5. Выберите Зарегистрировать в верхней части окна.

   После регистрации поставщика ресурсов приложение Windows Cloud Login отображается в конфигурации политики условного доступа при выборе приложений для применения политики. Если вы не используете Виртуальный рабочий стол Azure, вы можете отменить регистрацию поставщика ресурсов Microsoft.DesktopVirtualization после того, как приложение Windows Cloud Login будет доступно.

9. Если вы хотите настроить политику, в разделе Предоставление выберите 0 выбранных элементов управления.

10. На панели Предоставление выберите параметры предоставления или блокировки доступа, которые нужно применить ко всем объектам, назначенным этой политике >Выберите.

11. Если вы хотите сначала протестировать политику, в разделе Включить политику выберите Только отчет. Если для него задано значение Вкл., политика будет применена сразу после ее создания.

12. Выберите Создать, чтобы создать политику.

Список активных и неактивных политик можно просмотреть в представлении Политики в пользовательском интерфейсе условного доступа.

Настройка частоты входа

Политики частоты входа позволяют задать период времени, по истечении которого пользователь должен еще раз подтвердить свою личность при доступе к ресурсам на основе Microsoft Entra. Это может помочь защитить среду и особенно важно для личных устройств, где локальная ОС может не требовать многофакторную проверку подлинности или не блокировать автоматически после бездействия.

Политики частоты входа приводят к по-разному в зависимости от выбранного Microsoft Entra приложения:

Название приложения	ИД приложения;	Поведение
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Принудительно применяет повторную проверку подлинности, когда пользователь получает свой список облачных компьютеров и когда пользователи инициируют действия на своем облачном компьютере, например перезапуск.
Виртуальный рабочий стол Azure	9cdead84-a844-4324-93f2-b2e6bb768d07	Принудительно выполняет повторную проверку подлинности, когда пользователь проходит проверку подлинности в шлюзе Виртуальных рабочих столов Azure во время подключения.
Удаленный рабочий стол (Майкрософт) Вход в Windows Cloud	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Принудительно выполняет повторную проверку подлинности при входе пользователя в Cloud PC при включении единого входа . Оба приложения должны быть настроены вместе, так как клиенты скоро переключятся с Удаленный рабочий стол (Майкрософт) приложения на приложение Windows Cloud Login для проверки подлинности на облачном компьютере.

Чтобы настроить период времени, по истечении которого пользователю будет предложено повторно выполнить вход, выполните следующие действия:

1. Откройте политику, созданную ранее.
2. В разделе Сеанс выберите 0 выбранных элементов управления.
3. В области Сеанс выберите Частота входа.
4. Выберите Периодическая повторная проверку подлинности или Каждый раз.
   • Если выбран параметр Периодическая повторная проверка подлинности, задайте значение для периода времени, по истечении которого пользователю будет предложено войти в систему еще раз >Выберите. Например, если установить значение 1 , а единице — Часы, требуется многофакторная проверка подлинности, если подключение запускается более чем через час после последнего.
   • Параметр Каждый раз в настоящее время доступен в общедоступной предварительной версии и поддерживается только при применении к приложениям Удаленный рабочий стол (Майкрософт) и Windows Cloud Login, если для облачных компьютеров включен единый вход. При выборе параметра Каждый раз пользователям будет предложено выполнить повторную проверку подлинности через 10–15 минут после последней проверки подлинности для приложений Удаленный рабочий стол (Майкрософт) и Windows Cloud Login.
5. В нижней части страницы нажмите кнопку Сохранить.

Примечание.

• Повторная проверка подлинности происходит только в том случае, если пользователь должен пройти проверку подлинности в ресурсе. После установки подключения пользователям не будет предложено, даже если подключение длится дольше настроенной частоты входа.
• Пользователи должны повторно пройти проверку подлинности при перебое в сети, в результате чего сеанс будет восстановлен после частоты входа. Это может привести к более частым запросам проверки подлинности в нестабильных сетях.

Дальнейшие действия

Управление перенаправлениями устройств RDP