Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Политика условного доступа включает назначение идентификации пользователя, группы или рабочей нагрузки как один из сигналов в процессе принятия решения. Эти удостоверения можно включить или исключить из политик условного доступа. Идентификатор Microsoft Entra оценивает все политики и гарантирует, что все требования выполнены перед предоставлением доступа.
Добавить пользователей
Этот список обычно включает всех пользователей, на которых нацелена организация в политике условного доступа.
При создании политики условного доступа доступны следующие параметры.
- Никакой
- Пользователи не выбраны
- Все пользователи
- Все пользователи в каталоге, включая гостей B2B.
- Выбор пользователей и групп
- Гостевые или внешние пользователи
- Этот выбор позволяет использовать политики условного доступа для определенных гостевых или внешних типов пользователей и клиентов, содержащих этих пользователей.
Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
- Гостевые пользователи службы совместной работы B2B
- Пользователи участников совместной работы B2B
- пользователи с прямым соединением B2B;
- Локальные гостевые пользователи, например любой пользователь, принадлежащий домашнему клиенту с атрибутом типа пользователя, заданным для гостя
- Пользователи поставщика услуг, например поставщик облачных решений (CSP)
- Другие внешние пользователи или пользователи, не представленные другими выбранными типами пользователей
- Один или несколько клиентов можно указать для указанных типов пользователей или указать всех клиентов.
- Этот выбор позволяет использовать политики условного доступа для определенных гостевых или внешних типов пользователей и клиентов, содержащих этих пользователей.
Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
- Роли справочника
- Позволяет администраторам выбирать определенные встроенные роли каталога , чтобы определить назначение политики. Например, организации могут создавать более ограничивающие правила для пользователей, имеющих привилегированную роль. Другие типы ролей, включая роли в пределах административной единицы и пользовательские роли, не поддерживаются.
- Условный доступ позволяет администраторам выбирать некоторые роли, перечисленные как устаревшие. Эти роли по-прежнему отображаются в базовом API, и мы разрешаем администраторам применять к ним политику.
- Позволяет администраторам выбирать определенные встроенные роли каталога , чтобы определить назначение политики. Например, организации могут создавать более ограничивающие правила для пользователей, имеющих привилегированную роль. Другие типы ролей, включая роли в пределах административной единицы и пользовательские роли, не поддерживаются.
- Пользователи и группы
- Позволяет выбирать конкретные наборы пользователей. Например, организации могут выбрать группу, содержащую всех сотрудников отдела кадров, если приложение отдела кадров является облачным. Группа может быть любым типом группы пользователей в идентификаторе Microsoft Entra, включая динамические или назначенные группы безопасности и распространения. Политика применяется к внутренним пользователям и группам.
- Гостевые или внешние пользователи
Внимание
При выборе пользователей и групп, включенных в политику условного доступа, существует ограничение на количество отдельных пользователей, которые можно добавить непосредственно в политику условного доступа. Если многие отдельные пользователи должны быть добавлены в политику условного доступа, поместите их в группу и назначьте группе политику.
Если пользователи или группы принадлежат более 2048 группам, их доступ может быть заблокирован. Это ограничение относится как к непосредственному членству, так и к членству во вложенных группах.
Предупреждение
Политики условного доступа не поддерживают назначение пользователям роли каталога, ограниченной административным единицам или ролям каталога, заданным непосредственно объекту, например с помощью пользовательских ролей.
Примечание.
При выборе политик для прямого подключения внешних пользователей B2B эти политики применяются к пользователям совместной работы B2B, обращающимся к Teams или SharePoint Online, которые также имеют право на прямое подключение B2B. Это же относится к политикам, предназначенным для внешних пользователей совместной работы B2B, что означает, что пользователи, обращающиеся к общим каналам Teams, применяют политики совместной работы B2B, если у них также есть присутствие гостевого пользователя в клиенте.
Исключение пользователей
Если организации включают и исключают пользователя или группу, пользователь или группа исключаются из политики. Действие исключения переопределяет действие включения в рамках политики. Исключения обычно используются для учетных записей аварийного или экстренного доступа. Дополнительную информацию об учетных записях для аварийного доступа и их важности можно найти в следующих статьях:
- Управление учетными записями для аварийного доступа в Microsoft Entra ID
- Создание устойчивой стратегии управления доступом с помощью идентификатора Microsoft Entra
При создании политики условного доступа доступны следующие параметры для исключения.
- Гостевые или внешние пользователи
- Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей.
Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
- Гостевые пользователи службы совместной работы B2B
- Пользователи участников совместной работы B2B
- пользователи с прямым соединением B2B;
- Локальные гостевые пользователи, например любой пользователь, принадлежащий домашнему клиенту с атрибутом типа пользователя, заданным для гостя
- Пользователи поставщика услуг, например поставщик облачных решений (CSP)
- Другие внешние пользователи или пользователи, не представленные другими выбранными типами пользователей
- Один или несколько клиентов можно указать для указанных типов пользователей или указать всех клиентов.
- Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей.
Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
- Роли справочника
- Позволяет администраторам выбирать определенные роли каталога Microsoft Entra , используемые для определения назначения.
- Пользователи и группы
- Позволяет выбирать конкретные наборы пользователей. Например, организации могут выбрать группу, содержащую всех сотрудников отдела кадров, если приложение отдела кадров является облачным. Группа может быть любой тип группы в идентификаторе Microsoft Entra, включая динамические или назначенные группы безопасности и распространения. Политика применяется к внутренним пользователям и группам.
Предотвращение блокировки администратора
Чтобы предотвратить блокировку администратора, при создании политики, применяемой ко всем пользователям и всем приложениям, появится следующее предупреждение.
Не заблокируйте себя! Рекомендуем сначала применить политику к небольшому числу пользователей, чтобы проверить ее действие. Мы также рекомендуем исключить по крайней мере одного администратора из этой политики. Тогда вы гарантируете себе возможность доступа к политике и, при необходимости, ее изменения. Просмотрите затронутых пользователей и приложения.
По умолчанию политика предоставляет возможность исключения текущего пользователя, но администратор может переопределить его, как показано на следующем рисунке.
Если вы нашли себя заблокированным, посмотрите , что делать, если вы заблокированы?.
Доступ внешних партнеров
Политики условного доступа, предназначенные для внешних пользователей, могут повлиять на доступ поставщика услуг, например детализированные делегированные права администратора. Дополнительные сведения см. в разделе "Общие сведения о детализированных делегированных привилегиях администратора (GDAP)". Для политик, предназначенных для целевых клиентов поставщика услуг, используйте тип внешнего пользователя поставщика услуг, доступный в параметрах выбора гостевых или внешних пользователей .
Идентификации рабочей нагрузки
Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению или субъекту-службе получать доступ к ресурсам, иногда в контексте пользователя. Политики условного доступа можно применять к субъектам-службам одного клиента, зарегистрированным в клиенте. Приложения, отличные от Microsoft SaaS и мультитенантных приложений, находятся вне области. Управляемые удостоверения не охватываются политикой безопасности.
Организации могут использовать специфические идентификаторы рабочей нагрузки для включения или исключения из политики.
Более подробную информацию см. в статье Условный доступ для удостоверений рабочей нагрузки.