Поделиться через

Что такое условный доступ?

  • Статья

Современная безопасность выходит за пределы периметра сети организации, чтобы включить идентификацию пользователей и устройств. Организации теперь используют сигналы, основанные на удостоверениях, при принятии решений об управлении доступом. Условный доступ Microsoft Entra объединяет сигналы, чтобы принимать решения и применять политики организации. Условный доступ — это подсистема политики нулевого доверия Майкрософт, принимаюющая сигналы от различных источников, которые учитываются при применении решений политики.

Схема, показывающая концепцию сигналов условного доступа, а также решение о применении политики организации.

Политики условного доступа на самом простом этапе — это операторы if-then; Если пользователь хочет получить доступ к ресурсу, он должен выполнить действие. Например, если пользователь хочет получить доступ к приложению или службе, например Microsoft 365, он должен выполнить многофакторную проверку подлинности.

Перед администраторами стоят две основные задачи:

  • продуктивная работа пользователей в любом месте и в любое время;
  • Защитить активы организации

С помощью политик условного доступа можно применять необходимые элементы управления доступом, чтобы поддерживать безопасность вашей организации.

Внимание

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Общие сигналы

Условный доступ принимает сигналы из различных источников в учет при принятии решений о доступе.

схема, показывающая условный доступ как механизм политики нулевого доверия, агрегирующий сигналы из различных источников.

К таким сигналам относятся:

  • Членство пользователей или групп
    • Политики могут быть нацелены на конкретных пользователей и группы, предоставляя администраторам детальный контроль над доступом.
  • Сведения о расположении IP-адресов
    • Организации могут создавать диапазоны доверенных IP-адресов, которые можно использовать при принятии решений о политике.
    • Администраторы могут указать целые страны или диапазоны IP-адресов регионов, чтобы блокировать или разрешать трафик.
  • Устройство
    • Для применения политик условного доступа можно использовать пользователей с устройствами определенных платформ или устройствами, помеченными определенным состоянием.
    • Используйте фильтры для устройств, чтобы применять политики к конкретным устройствам, таким как рабочие станции с привилегированным доступом.
  • Приложения
    • Попытки пользователей получить доступ к определенным приложениям могут привести к срабатыванию разных политик условного доступа.
  • Обнаружение рисков в режиме реального времени и вычисляемого риска
  • Microsoft Defender for Cloud Apps
    • Позволяет пользователям отслеживать и контролировать сеансы приложений в режиме реального времени. Эта интеграция повышает видимость и контроль доступа к и действиям, выполненным в облачной среде.

Типичные решения

  • Блокировка доступа
    • Наиболее ограничительное решение
  • Предоставление доступа
  • Менее строгое решение, которое может потребовать одного или нескольких из следующих вариантов: — требовать многофакторную аутентификацию, — требовать уровень надежности аутентификации, — требовать, чтобы устройство было помечено как соответствующее, — требовать гибридное устройство Microsoft Entra, — требовать утвержденное клиентское приложение, — требовать политику защиты приложений, — требовать изменение пароля, — требовать условия использования.

Часто применяемые политики

Многие организации сталкиваются с распространенными проблемами доступа , с которыми политики условного доступа могут помочь, например:

  • Требование многофакторной проверки подлинности для пользователей с административными ролями
  • Требование многофакторной проверки подлинности для задач управления Azure
  • Блокирование входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности
  • Требование надежных расположений для регистрации сведений о безопасности
  • Блокирование или предоставление доступа из конкретных расположений
  • Блокирование рискованных действий при входе
  • Требование определенных приложений на устройствах, управляемых организацией

Администраторы могут создавать политики с нуля или начинать с политики шаблона на портале или с помощью API Microsoft Graph.

Опыт администратора

Администраторы с ролью администратора условного доступа могут управлять политиками.

Условный доступ находится в Центре администрирования Microsoft Entra в разделе Защита — Условный доступ.

Снимок экрана: страница обзора условного доступа.

  • На странице Обзор предоставляется сводка состояния политики, пользователей, устройств и приложений, а также общих и системных оповещений безопасности с предложениями.
  • Страница "Покрытие" предоставляет сводку приложений с покрытием политики условного доступа и без нее за последние семь дней.
  • Страница мониторинга позволяет администраторам просматривать график входа, который можно отфильтровать, чтобы увидеть потенциальные пробелы в охвате политики.

Политики условного доступа на странице "Политики " можно фильтровать администраторами на основе таких элементов, как субъект, целевой ресурс, условие, элемент управления, примененный, состояние или дата. Эта возможность фильтрации позволяет администраторам быстро находить определенные политики на основе их конфигурации.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей Microsoft Entra ID.

Клиенты с лицензиями Microsoft 365 бизнес премиум также имеют доступ к функциям условного доступа.

Политики на основе рисков требуют доступа к Microsoft Entra ID Protection, что требует лицензии P2.

Для других продуктов и функций, взаимодействующих с политиками условного доступа, требуется соответствующее лицензирование для этих продуктов и функций.

Когда истекает срок действия лицензий, необходимых для условного доступа, политики не отключаются и не удаляются автоматически. Это позволяет клиентам переходить от политик условного доступа без внезапного изменения состояния безопасности. Остальные политики можно просматривать и удалять, но больше не обновлять.

Параметры безопасности по умолчанию помогают защитить от атак, связанных с удостоверениями, и доступны для всех клиентов.

Концепция "Нулевого доверия"

Эта функция помогает организациям согласовывать свои удостоверения с тремя руководящими принципами этой архитектуры нулевого доверия.

  • Явная проверка
  • Использование наименьших привилегий
  • Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о нулевом доверии и других способах выравнивания организации с руководящими принципами см. в Центре рекомендаций по нулю доверия.

Следующие шаги