Поделиться через


Условный доступ. Условия

В политике условного доступа администратор может использовать один или несколько сигналов для улучшения своих решений политики.

Снимок экрана: доступные условия политики условного доступа в Центре администрирования Microsoft Entra.

Для создания детализированных и специальных политик условного доступа можно сочетать несколько условий.

Когда пользователи получают доступ к конфиденциальному приложению, администратор может учитывать несколько условий в таких решениях доступа, как:

  • Сведения о риске входа из защиты идентификаторов
  • Сетевое расположение
  • Сведения об устройстве

Риск пользователя

Администраторы с доступом к защите идентификаторов могут оценивать риск пользователей в рамках политики условного доступа. Риск для пользователя представляет вероятность компрометации данного удостоверения или учетной записи. Дополнительные сведения о рисках пользователей см. в статьях "Что такое риск " и "Практическое руководство. Настройка и включение политик риска".

Риск при входе

Администраторы с доступом к защите идентификаторов могут оценивать риск входа в рамках политики условного доступа. Риск входа представляет вероятность того, что заданный запрос проверки подлинности не был сделан владельцем удостоверения. Дополнительные сведения о риске входа см. в статьях "Что такое риск " и "Практическое руководство. Настройка и включение политик риска".

Инсайдерские риски

Администраторы с доступом к Адаптивной защите Microsoft Purview могут включать сигналы риска от Microsoft Purview в решения политики условного доступа. Риск предварительной оценки учитывает управление данными, безопасность данных и конфигурации рисков и соответствия требованиям из Microsoft Purview. Эти сигналы основаны на контекстных факторах, таких как:

  • Действия пользователя
  • Исторические шаблоны
  • Обнаружение аномалий

Это условие позволяет администраторам использовать политики условного доступа для выполнения таких действий, как блокировка доступа, требование более строгих методов проверки подлинности или требование принятия условий использования.

Эта функция включает в себя включение параметров, которые специально устраняют потенциальные риски, возникающие в организации. Настроив условный доступ для рассмотрения риска для предварительной оценки, администраторы могут настраивать разрешения доступа на основе контекстных факторов, таких как поведение пользователя, исторические шаблоны и обнаружение аномалий.

Дополнительные сведения см. в статье "Настройка и включение политики на основе внутренних рисков".

Платформы устройств

Условный доступ определяет платформу устройства с помощью сведений, предоставляемых устройством, например строк агента пользователя. Так как строки агента пользователя можно изменять, эти сведения не проверяются. Платформа устройства должна использоваться совместно с политиками соответствия устройств Microsoft Intune или в составе оператора блокировки. По умолчанию политика применяется ко всем платформам устройств.

Условный доступ поддерживает следующие платформы устройств:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Если вы блокируете устаревшую проверку подлинности с помощью условия Другие клиенты, можно также задать условие платформы устройства.

Мы не поддерживаем выбор платформ устройств macOS или Linux при выборе утвержденного клиентского приложения или политики защиты приложений в качестве единственного элемента управления предоставления или при выборе параметра "Требовать все выбранные элементы управления".

Внимание

Корпорация Майкрософт рекомендует использовать политику условного доступа для неподдерживаемых платформ устройств. Например, если вы хотите заблокировать доступ к корпоративным ресурсам из Chrome OS или других неподдерживаемых клиентов, следует настроить политику с условием платформы устройства, которое включает любое устройство и исключает поддерживаемые платформы устройств, а также предоставить набор элементов управления для блокировки доступа.

Ячейки

Условие расположения перемещено.

Клиентские приложения

По умолчанию все созданные политики условного доступа применяются ко всем типам клиентских приложений, даже если условие клиентских приложений не настроено.

Примечание.

Поведение условия клиентских приложений было обновлено в августе 2020 г. При наличии существующих политик условного доступа они останутся без изменений. Однако если щелкнуть существующую политику, переключатель настройки удален и клиентские приложения, к которых применяется политика, выбрана.

Внимание

Входы из устаревших клиентов проверки подлинности не поддерживают многофакторную проверку подлинности (MFA) и не передают сведения о состоянии устройства, поэтому они блокируются элементами управления условным доступом, например требованиеМ MFA или совместимых устройств. Если у вас есть учетные записи, которые должны использовать устаревшую проверку подлинности, необходимо либо исключить эти учетные записи из политики, либо настроить политику на применение только к современным клиентам проверки подлинности.

Если для переключателя Настроить задано значение Да, он применяется к отмеченным элементам, если он имеет значение Нет, он применяется ко всем клиентским приложениям, включая современные и устаревшие клиенты проверки подлинности. Этот переключатель не отображается в политиках, созданных до августа 2020 г.

  • Современные клиенты проверки подлинности
    • Обозреватель
      • К ним относятся веб-приложения, использующие такие протоколы, как SAML, WS-Federation, OpenID Connect или службы, зарегистрированные как конфиденциальный клиент OAuth.
    • Мобильные приложения и классические клиенты
      • Этот вариант включает такие приложения, как приложения Office для настольных компьютеров и телефонов.
  • Устаревшие клиенты проверки подлинности
    • Клиенты Exchange ActiveSync
      • Сюда входят все варианты использования протокола Exchange ActiveSync (EAS).
      • Если политика блокирует использование Exchange ActiveSync, затронутый пользователь получает одну электронную почту карантина. Это сообщение электронной почты с информацией о том, почему они заблокированы, и инструкциями по исправлению, если это возможно.
      • Администраторы могут применять политику только к поддерживаемым платформам (например, iOS, Android и Windows) с помощью API условного доступа Microsoft Graph.
    • Другие клиенты
      • Этот параметр включает клиенты, использующие стандартные или устаревшие протоколы проверки подлинности, которые не поддерживают современную проверку подлинности.
        • SMTP — используется клиентом POP и IMAP для отправки сообщений электронной почты.
        • Автообнаружение — используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
        • PowerShell в Exchange Online — используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
        • Веб-службы Exchange (EWS) — интерфейс программирования, используемый приложениями Outlook, Outlook для Mac и сторонними приложениями.
        • IMAP4 — используется клиентами электронной почты IMAP.
        • MAPI через HTTP (MAPI/HTTP) — используется в Outlook 2010 и более поздних версиях.
        • Автономная адресная книга (OAB) — копия коллекций списков адресов, которые скачиваются и используются в Outlook.
        • Мобильный Outlook (протокол RPC через HTTP) — используется в Outlook 2016 и более ранних версиях.
        • Служба Outlook — используется приложениями "Почта" и "Календарь" для Windows 10.
        • POP3 — используется клиентами электронной почты POP.
        • Веб-службы отчетов — используются для получения данных отчетов в Exchange Online.

Эти условия обычно используются для следующих условий:

  • Требовать управляемое устройство
  • Блокировать устаревших методов проверки подлинности
  • Блокировать веб-приложения, но разрешать мобильные или классические приложения

Поддерживаемые браузеры

Этот параметр работает со всеми браузерами. Но чтобы выполнить условия политики устройств, например требование соответствия, поддерживаются следующие операционные системы и браузеры. Операционные системы и браузеры из основной поддержки не отображаются в этом списке:

Операционные системы Браузеры
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (см. примечания)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari
Настольный компьютер Linux Microsoft Edge

Эти браузеры поддерживают аутентификацию устройств, позволяя идентифицировать устройство и проверить, соответствует ли оно политике. Если браузер работает в режиме конфиденциальности или файлы cookie отключены, проверка устройства завершится ошибкой.

Примечание.

Edge 85+ требует, чтобы пользователь вошел в браузер для правильной передачи удостоверения устройства. В противном случае он ведет себя как Chrome без расширения Microsoft Единый вход. Этот вход может не происходить автоматически в сценарии присоединения гибридных устройств.

Safari поддерживается для условного доступа на основе устройств на управляемом устройстве, но он не может удовлетворить утвержденные клиентские приложения или требовать условия политики защиты приложений. Управляемый браузер, такой как Microsoft Edge, будет выполнять требования утвержденных клиентских приложений и политики защиты приложений. В iOS со сторонним решением MDM только браузер Microsoft Edge поддерживает политику устройств.

Firefox 91+ поддерживается для условного доступа на основе устройств, но должен быть включен параметр "Разрешить единый вход Windows для учётных записей Microsoft, учётных записей на работе и в учебных заведениях".

Chrome 111+ поддерживается для условного доступа на основе устройств, но необходимо включить CloudApAuthEnabled.

Устройства macOS с помощью подключаемого модуля единого входа Enterprise требуют расширения Microsoft Единый вход для поддержки единого входа и условного доступа на основе устройств в Google Chrome.

Почему в браузере отображается запрос на сертификат

На устройствах Windows 7, iOS, Android и macOS определяются с помощью сертификата клиента. Этот сертификат подготавливается при регистрации устройства. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем работать с браузером.

Поддержка Chrome

Windows

Для поддержки Chrome в Windows 10 Creators Update (версия 1703) или более поздней версии установите расширение Microsoft Единый вход или включите Chrome CloudAPAuthEnabled. Эти конфигурации необходимы, если для политики условного доступа требуются сведения о конкретных устройствах для платформ Windows.

Чтобы включить политику CloudAPAuthEnabled в Chrome, создайте следующий раздел реестра:

  • Путь: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome.
  • Имя: CloudAPAuthEnabled
  • Значение: 0x00000001
  • PropertyType: DWORD

Чтобы автоматически развернуть расширение Microsoft Единый вход в браузерах Chrome, создайте следующий раздел реестра с помощью политики ExtensionInstallForcelist в Chrome:

  • Путь: HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist.
  • Имя: 1
  • Тип: REG_SZ (String)
  • Данные: ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Для поддержки Chrome в Windows 8.1 и Windows 7 создайте следующий раздел реестра:

  • Путь: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls.
  • Имя: 1
  • Тип: REG_SZ (String)
  • Данные: {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS

Устройства macOS с помощью подключаемого модуля единого входа Enterprise требуют расширения Microsoft Единый вход для поддержки единого входа и условного доступа на основе устройств в Google Chrome.

Для развертываний на основе MDM google Chrome и управления расширениями см. инструкции по настройке браузера Chrome в Mac и ExtensionInstallForcelist.

Поддерживаемые мобильные приложения и классические клиенты

Администраторы могут выбирать мобильные приложения и классические клиенты в качестве клиентского приложения.

Этот параметр влияет на попытки доступа, сделанные из следующих мобильных приложений и классических клиентов:

Клиентские приложения Целевая служба Платформа
Приложение Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS и Android
Приложения Почта, Календарь и Люди, Outlook 2016, Outlook 2013 (с современной аутентификацией) Exchange Online Windows 10
MFA и политика расположения для приложений Политики на основе устройств не поддерживаются. Все службы приложения "Мои приложения" Android и iOS
Microsoft Teams Services. Это клиентское приложение контролирует все службы, которые поддерживают Microsoft Teams, и все их клиентские приложения: для Windows Desktop, iOS, Android, WP, а также веб-клиент. Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android и macOS
Приложения Office 2016, Office 2013 (с современной аутентификацией), клиент синхронизации OneDrive SharePoint Windows 8.1, Windows 7
Приложения Office 2016, приложения Universal Office, Office 2013 (с современной аутентификацией), клиент синхронизации OneDrive SharePoint Online Windows 10
Office 2016 (только Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Приложения Office Mobile SharePoint Android, iOS
Приложение Office Yammer Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office для macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (с современной проверкой подлинности), Skype для бизнеса (с современной проверкой подлинности) Exchange Online Windows 8.1, Windows 7
Приложение Outlook Mobile Exchange Online Android, iOS
Приложение Power BI Служба Power BI Windows 10, Windows 8.1, Windows 7, Android и iOS
Skype для бизнеса Exchange Online Android, iOS
Приложение Azure DevOps Services (прежнее название — Visual Studio Team Services или VSTS) Azure DevOps Services (ранее Visual Studio Team Services или VSTS) Windows 10, Windows 8.1, Windows 7, iOS и Android

Клиенты Exchange ActiveSync

  • Администраторы могут выбирать только клиенты Exchange ActiveSync при назначении политики пользователям или группам. Выбор всех пользователей, всех гостевых и внешних пользователей или ролей каталога приводит к тому, что все пользователи будут подвергаться политике.
  • Когда администраторы создают политику, назначенную клиентам Exchange ActiveSync, Exchange Online должна быть единственным облачным приложением, назначенным политике.
  • Администраторы могут сузить область этой политики на определенные платформы с помощью условия платформ устройств.

Если для управления доступом, назначенного политике, требуется утвержденное клиентское приложение, пользователь будет перенаправлен на установку и использование Outlook Mobile Client. Если требуется многофакторная проверка подлинности, условия использования или пользовательские элементы управления, затронутые пользователи блокируются, так как обычная проверка подлинности не поддерживает эти элементы управления.

Дополнительные сведения см. в следующих статьях:

Другие клиенты

Выберите вариант Другие клиенты, чтобы указать условие, которое влияет на приложения, использующие обычную проверку подлинности с протоколами электронной почты IMAP, MAPI, POP, SMTP, и приложения Office более ранних версий, которые не используют современные методы проверки подлинности.

Состояние устройства (не рекомендуется)

Это условие устарело. Клиенты должны использовать условие фильтра для устройств в политике условного доступа для удовлетворения сценариев, ранее достигнутых с помощью условия состояния устройства.

Внимание

Состояние устройства и фильтры для устройств нельзя использовать вместе в политике условного доступа. Фильтры для устройств обеспечивают более детальную целевую настройку, включая поддержку определения сведений о состоянии устройства с помощью свойства trustType и isCompliant.

Фильтр для устройств

Когда администраторы настраивают фильтр для устройств в качестве условия, они могут включать или исключать устройства на основе фильтра с помощью выражения правила в свойствах устройства. Выражение правила для фильтра устройств можно создать с помощью построителя правил или синтаксиса правил. Этот интерфейс похож на тот, который используется для правил для динамических групп членства для групп. Дополнительные сведения см. в статье "Условный доступ: фильтрация для устройств".

Потоки проверки подлинности (предварительная версия)

Потоки проверки подлинности управляют использованием определенных протоколов проверки подлинности и авторизации в организации. Эти потоки могут обеспечить простой интерфейс для устройств, которые могут не использовать локальные устройства ввода, такие как общие устройства или цифровые подписи. Используйте этот элемент управления для настройки методов передачи, таких как поток кода устройства или передача проверки подлинности.

Следующие шаги