Условия использования Microsoft Entra
Условия использования Microsoft Entra предоставляют простой способ предоставления сведений конечным пользователям. Организации могут использовать условия использования вместе с политиками условного доступа, чтобы сотрудники или гости приняли условия использования перед получением доступа. Эти термины использования могут быть обобщены или зависят от групп или пользователей и предоставляются на нескольких языках. Администраторы могут определить, кто имеет или не принял условия использования с предоставленными журналами или API.
Примечание.
В этой статье приведены пошаговые инструкции по удалению персональных данных с устройства или из службы. Эти сведения можно использовать для соблюдения обязательств согласно Общему регламенту по защите данных (GDPR). Общие сведения о GDPR см. в разделе GDPR Центра управления безопасностью Майкрософт и в разделе GDPR на портале Service Trust Portal.
Необходимые компоненты
Чтобы использовать и настраивать политики использования Microsoft Entra, необходимо:
- Лицензии Microsoft Entra ID P1.
- Администраторам, которым требуется читать условия использования и политики условного доступа, требуется по крайней мере назначенная роль читателя безопасности.
- Администраторам, которым необходимо создать или изменить условия использования и политики условного доступа, требуется по крайней мере назначенная роль администратора условного доступа.
- Условия использования документа в формате PDF. PDF-файл может быть любым контентом, который вы решили отобразить. Для поддержки пользователей на мобильных устройствах в PDF-файлах рекомендуется использовать 24-й размер шрифта.
Лимиты служб
Вы можете добавить не более 40 условий для каждого клиента.
Добавление условий использования
После завершения документа политики использования используйте следующую процедуру, чтобы добавить ее.
Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
Перейдите к условиям условного доступа>защиты.>
Выберите Новые условия.
В поле "Имя" введите имя политики использования.
Документ "Условия использования": перейдите к PDF-файлу с окончательными условиями использования и выберите его.
Выберите язык для документа с условиями использования. Параметр языка позволяет отправлять несколько условий использования документов, каждый из которых имеет другой язык. Версия политики использования, которую видит конечный пользователь, зависит от своих настроек браузера.
В поле Отображаемое имя введите название, которое будет отображаться для пользователей при входе.
Чтобы обязать пользователей просмотреть условия использования, прежде чем принять их, для параметра Требовать, чтобы пользователи развернули условия использования выберите значение Вкл.
Чтобы пользователи принимали условия использования на каждом устройстве, с помощью которого они осуществляют доступ, для параметра Требовать согласие пользователей для каждого устройства выберите значение Вкл. Пользователям может потребоваться установить другие приложения, если этот параметр включен. Дополнительные сведения см. в статье Условия использования для каждого устройства.
Если срок действия согласия с условиями использования истекал по расписанию, для параметра Истечение срока действия согласия выберите значение Вкл. Когда этот параметр включен, отображаются еще два параметра расписания.
Параметры Начало истечения срока действия и Частота позволяют указать расписание истечения срока действия для условий использования. В следующей таблице показан результат нескольких примеров настроек.
Начало истечения срока действия Периодичность Результат Сегодняшняя дата Ежемесячно Начиная с сегодняшнего дня, пользователи должны принимать условия использования, а затем повторно принимать их каждый месяц. Дата в будущем Ежемесячно Начиная с сегодняшнего дня, пользователи должны принимать условия использования. Когда будет происходить будущая дата, срок действия согласия истекает, а затем пользователи должны повторно действовать каждый месяц. Например, если срок действия истекает с даты на 1 января и периодичность в месяц, это пример того, как срок действия может произойти для двух пользователей:
User Дата первого принятия Дата первого истечения срока действия Дата второго истечения срока действия Дата третьего истечения срока действия Алиса 1 янв 1 февраля 1 мар 1 апреля Борис 15 янв 1 февраля 1 мар 1 апреля Параметр Период времени, после которого потребуется повторное принятие условий (в днях) позволяет указать количество дней, предшествующих обязательному повторному принятию пользователем условий использования. Этот параметр позволяет пользователям следовать собственному расписанию. Например, если задать длительность 30 дней, в этом примере может произойти срок действия для двух пользователей:
User Дата первого принятия Дата первого истечения срока действия Дата второго истечения срока действия Дата третьего истечения срока действия Алиса 1 янв 31 янв 2 марта 1 апреля Борис 15 янв 14 февраля 16 мар 15 апреля Можно использовать параметры Истечение срока действия согласия и Период времени, после которого потребуется повторное принятие условий (в днях) вместе, но обычно используется только один из них.
Внимание
Пользователи, у которых истек срок действия согласия независимо от используемого параметра, истекает срок действия согласия или длительность до повторного принятия (дней) предлагается повторно принять условия только в том случае, если срок действия сеанса истек.
В разделе Условный доступ из списка Использование шаблона политики условного доступа выберите шаблон для применения условий использования.
Template Description Настраиваемая политика Выберите пользователей, группы и приложения, к которым применяется политика использования. Создать политику условного доступа позже Эта политика использования отображается в списке элементов управления предоставлением при создании политики условного доступа. Внимание
Элементы управления политиками условного доступа (включая условия использования) не поддерживают принудительное применение в учетных записях служб. Рекомендуется исключить все учетные записи служб из политики условного доступа.
Пользовательские политики условного доступа реализуют детализированные условия использования, вплоть до конкретного облачного приложения или группы пользователей. Дополнительную информацию см. в разделе Быстрый старт: требование принятия условий использования перед доступом к облачным приложениям
Нажмите кнопку создания.
Если выбран настраиваемый шаблон условного доступа, откроется новый экран, где можно будет создать настраиваемую политику условного доступа. Теперь вы увидите новые условия использования.
Отдельные условия использования для каждого устройства
Параметр Требовать согласия пользователей для каждого устройства позволяет потребовать от пользователя принятия условий использования на каждом устройстве, через которое он осуществляет доступ. Устройство конечного пользователя должно быть зарегистрировано в Microsoft Entra ID. Если устройство присоединено, то его идентификатор используется для принудительного применения условий использования на каждом устройстве. Их опыт зависит от разрешений на присоединение к устройствам и используемой платформы или программного обеспечения. Дополнительные сведения см. в разделе "Удостоверение устройства" в идентификаторе Microsoft Entra.
Условия использования для каждого устройства имеют следующие ограничения:
- Приложение
Application ID: d4ebce55-015a-49b5-a083-c84d1797ae8c
регистрации Microsoft Intune не поддерживается. Убедитесь, что оно исключено из любой политики условного доступа, которая требует применения условий использования. - Пользователи Microsoft Entra B2B не поддерживаются.
Изменения политики
Политики условного доступа вступают в силу немедленно. При этом администратор может увидеть ошибки в Центре администрирования Microsoft Entra. Администратору необходимо выйти и войти для удовлетворения требований новой политики.
Внимание
Охватываемым пользователям необходимо выйти и снова войти для удовлетворения требований новой политики, если:
- политика условного доступа включена для условий использования;
- созданы другие условия использования;
Изменение условий использования
Можно изменить некоторые сведения в условиях использования, но не существующий документ. Ниже описано, как изменить эти сведения.
Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
Перейдите к условиям условного доступа>защиты.>
Выберите условия использования, которые нужно изменить.
Выберите Изменить условия (Edit terms).
На панели "Изменить условия использования" можно изменить следующие параметры:
- Имя — внутреннее имя условий использования, которые не используются пользователями.
- Отображаемое имя — имя , которое пользователи могут видеть при просмотре условий использования.
- Требовать, чтобы пользователи расширяли условия использования. Если этот параметр включен, пользователь должен развернуть документ политики, прежде чем принимать его.
- Вы можете обновить существующие условия использования документа.
- Вы можете добавить язык в существующие условия использования.
Когда все будет готово, нажмите кнопку Сохранить, чтобы сохранить изменения.
Если вы хотите изменить другие параметры, необходимо создать новую политику условий использования.
Обновление версии или PDF существующего условия использования
Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
Перейдите к условиям условного доступа>защиты.>
Выберите условия использования, которые нужно изменить.
Выберите Изменить условия (Edit terms).
Для языка, для которого нужно обновить новую версию, нажмите Обновить в столбце "Действие"
В области справа отправьте PDF-файл для новой версии.
Кроме того, можно выбрать переключатель Требовать повторного принятия, если вы хотите, чтобы пользователи приняли эту новую версию при следующем входе.
- Если вам требуется повторно принять эту новую версию, то при следующем попытке получить доступ к ресурсу, определенному в политике условного доступа, будет предложено принять эту новую версию.
- Если вам не требуется повторное использование пользователей, их предыдущее согласие остается текущим и только новым пользователям, которые не предоставили согласие до или срок действия согласия которого истекает, увидите новую версию. До истечения срока действия сеанса не требуется повторное принятие пользователями новых условий использования. Если вы хотите обеспечить повторное принятие, удалите и создайте новые условия использования для этого случая.
После отправки нового PDF-файла и принятия решения о его принятии нажмите кнопку "Добавить" в нижней части панели.
Вы увидите самую последнюю версию в столбце Document.
Добавление языка
В следующей процедуре описывается, как добавить язык в условия использования.
Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
Перейдите к условиям условного доступа>защиты.>
Выберите условия использования, которые нужно изменить.
Выберите "Изменить условия".
В нижней части страницы нажмите кнопку Добавить язык.
В области "Добавление условий использования" отправьте локализованный PDF-файл и выберите язык.
Выберите Добавить язык.
Выберите Сохранить
Нажмите кнопку Добавить, чтобы добавить язык.
Просмотр предыдущих версий условий использования
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к условиям условного доступа>защиты.>
- Выберите условия политики использования, для которых необходимо просмотреть журнал версий.
- Выберите языки и журнал версий.
- Щелкните См. предыдущие версии
- Чтобы скачать эту версию, можно выбрать имя документа.
Просмотр отчета о тех, кто принял или отклонил условия
В колонке "Условия использования" отображается количество пользователей, которые приняли и отказались. Имена и количество пользователей, которые приняли или отклонили условия, хранятся в течение жизненного цикла условий использования.
Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
Перейдите к условиям условного доступа>защиты.>
Чтобы просмотреть текущее состояние пользователей, в колонке "Условия использования" щелкните число рядом со счетчиком пользователей, которые приняли или отклонили условия.
- По умолчанию на следующей странице для каждого из пользователей отображается текущее состояние принятия условий использования.
- Если нужно просмотреть предыдущие события принятия, то можно выбрать Все из раскрывающегося списка Текущее состояние. Теперь можно просмотреть все события для каждого пользователя в подробных сведениях о каждой версии, вместе с содержанием события.
- Кроме того, можно выбрать определенную версию в раскрывающемся списке "Версия ", чтобы узнать, кто принял эту конкретную версию.
Чтобы просмотреть журнал для отдельного пользователя, щелкните многоточие (…) и выберите Просмотреть журнал. В области "Просмотр журнала" отобразится журнал всех принятий, отклонений и сроков действия.
Пользователь принимает удаление записи
Записи о принятии пользователей удаляются при:
- Администратор явно удаляет условия использования.
- Когда это изменение происходит, все записи о принятии, связанные с определенными условиями использования, также удаляются.
- Клиент теряет лицензии Microsoft Entra ID P1 или P2.
- Клиент удаляется.
Просмотр журналов аудита Microsoft Entra
Если вы хотите просмотреть больше действий, условия использования Microsoft Entra включают журналы аудита. Принятие условий каждым пользователем инициирует событие, которое регистрируется в журналах аудита и хранится в течение 30 дней. Эти журналы можно просмотреть на портале или загрузить в виде CSV-файла.
Чтобы приступить к работе с журналами аудита Microsoft Entra, используйте следующую процедуру:
Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
Перейдите к условиям условного доступа>защиты.>
Выберите условия использования.
Затем выберите пункт Ознакомиться с журналами аудита.
На экране журналов аудита Microsoft Entra можно отфильтровать сведения с помощью предоставленных списков для целевых сведений журнала аудита.
Вы также можете скачать данные в CSV-файл для использования на локальном компьютере, щелкнув Загрузить.
Если щелкнуть журнал, отобразится область с дополнительными сведениями о действиях.
Как условия использования выглядят для пользователей
После создания и применения политики использования пользователи, которые находятся в области, см. следующий экран во время входа.
Пользователи могут просматривать условия использования и при необходимости использовать кнопки для увеличения и увеличения масштаба. Пользователи должны принимать только условия использования один раз, и они не увидят условия использования снова на последующих входах.
Каким образом пользователи могут просмотреть свои условия использования
Чтобы изменить решение об условиях использования, принятое пользователем, ему необходимо сделать следующее.
- Выполните вход в https://myaccount.microsoft.com/.
- Выберите Параметры и конфиденциальность.
- Выберите Конфиденциальность.
- В разделе Уведомление организации выберите Представление рядом с условиями использования, которые вы хотите просмотреть.
Удаление условий использования
Можно удалить старые условия использования следующим образом.
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к условиям условного доступа>защиты.>
- Выберите условия использования, которые нужно удалить.
- Нажмите Удалить задания.
- В сообщении, которое появится на экране с вопросом о том, нужно ли продолжить, нажмите кнопку Да.
- Условия использования больше не должны отображаться.
гости B2B.
С помощью условного доступа и условий использования вы можете применять политику непосредственно к гостевым пользователям B2B. Во время потока активации приглашения пользователю предоставляются условия использования.
Политики использования отображаются только в том случае, если у пользователя есть гостевая учетная запись в идентификаторе Microsoft Entra. В настоящее время SharePoint Online имеет внешний интерфейс получателя общего доступа для предоставления общего доступа к документу или папке, которая не требует, чтобы у пользователя была гостевая учетная запись. В этом случае условия использования не отображаются.
Поддержка облачных приложений
Условия использования могут использоваться для различных облачных приложений, например Azure Information Protection и Microsoft Intune. Сейчас эта возможность доступна в предварительной версии.
Azure Information Protection
Можно настроить политику условного доступа для приложения Azure Information Protection и требовать принятия условий использования, когда пользователь открывает защищенный документ. Эта конфигурация активирует политику использования перед первым доступом пользователя к защищенному документу.
Регистрация в Microsoft Intune
Можно настроить политику условного доступа для приложения Microsoft Intune Enrollment и требовать принятия условий использования перед регистрацией устройства в Intune. Дополнительные сведения см. в записи блога о выборе правильного решения условий использования для организации.
Примечание.
Приложение Intune Enrollment не поддерживает отдельные условия использования для каждого устройства.
Для автоматической регистрации устройств iOS/iPadOS добавление пользовательского URL-адреса в политику использования Microsoft Entra не позволяет пользователям открывать политику из URL-адреса помощника по настройке. Политика может быть прочитана пользователем после завершения помощника по настройке с веб-сайта Корпоративный портал или в приложении Корпоративный портал.
Часто задаваемые вопросы
Вопрос. Почему для пользователей отображаются два входа? Один прерываний и один успех.
Ответ. Администраторы могут видеть два входа, когда пользователи еще не приняли политику использования, этот сценарий является конструктивным. Эти записи имеют общий идентификатор корреляции.
Один вход прерывается, так как пользователь не может предоставить подтверждение принятия политики условий использования в своем маркере. Поле дополнительных сведений в журнале входа содержит следующее сообщение:
Пользователь должен удовлетворять дополнительные требования перед завершением проверки подлинности и перенаправляться на другую страницу (например, условия использования или сторонний поставщик MFA). Сам по себе этот код не указывает на то, что пользователь не смог войти в систему. Журналы входа могут указывать на то, что эта проблема успешно решена или завершилась ошибкой.
Если пользователь принимает условия политики использования, второй вход будет успешным.
В. Я не могу выполнить вход через PowerShell, если условия использования включены.
О. Условия использования могут быть приняты только при проверке подлинности в интерактивном режиме.
В. Как узнать, что пользователь принял условия использования и в какое время?
Ответ. В колонке "Условия использования" щелкните число под надписью Принято. Вы также можете просмотреть или выполнить поиск принятого действия в журналах аудита Microsoft Entra. Дополнительные сведения см. в разделе "Просмотр отчета о том, кто принял и отказался" и просмотр журналов аудита Microsoft Entra.
В. Как долго хранится информация?
О. Пользователь включается в отчет "Условия использования". Списки пользователей, которые приняли или отклонили условия, хранятся в течение всего жизненного цикла условий использования. Журналы аудита Microsoft Entra хранятся в течение 30 дней.
Вопрос. Почему в журналах аудита Microsoft Entra отображается другое количество согласия в отношении сведений об использовании?
Ответ. Данные обзора сведений об использовании хранятся в течение всего времени существования политики использования. Журналы аудита Microsoft Entra хранятся в течение 30 дней.
Вопрос. Почему я вижу другое количество согласия в отношении сведений об использовании и экспортированного CSV-отчета?
Ответ. Обзор сведений об использовании отражает агрегированные принятия текущей версии политики (обновляется один раз в день). Если срок действия включен или условия использования обновляются (с обязательным требованием для повторного использования), количество сведений об этом сброшено с момента истечения срока действия, на этой странице показано количество текущей версии. Все журналы принятия по-прежнему фиксируются в CSV-отчете.
В. Если в PDF-документе условий использования имеются гиперссылки, смогут ли пользователи переходить по ним?
О. Да, конечные пользователи смогут открывать гиперссылки на другие страницы, но ссылки на разделы в документе не поддерживаются. Кроме того, гиперссылки с точки зрения использования PDF-файлов политики не работают при доступе на портале Microsoft Entra Мои приложения/MyAccount.
В. Могут ли условия отображаться на нескольких языках?
Ответ. Да. Администратор может отправить несколько PDF-документов и пометить эти документы соответствующим языком. Когда пользователь выполняет вход, мы определяем языковые параметры его браузера и отображаем соответствующий документ. Если совпадений нет, отображается документ по умолчанию, которым является первый переданный документ.
В. Когда активируются условия использования?
Ответ. Триггеры политики использования во время входа.
В. Для каких приложений можно применять условия использования?
О. Можно создать политику условного доступа для корпоративных приложений, использующих современные методы проверки подлинности. Дополнительные сведения см. в статье Просмотр всех корпоративных приложений, которыми вы можете управлять в Azure Active Directory.
В. Можно ли добавить несколько экземпляров условий использования для определенного пользователя или приложения?
О. Да, путем создания нескольких политик условного доступа, предназначенных для этих групп или приложений. Если пользователь попадает в область нескольких политик использования, он должен принимать одну политику одновременно.
В. Что произойдет, если пользователь отклонит условия использования?
О. Пользователь не сможет получить доступ к приложению. Чтобы получить доступ, ему необходимо будет повторно войти в систему и принять условия.
В. Можно ли отказаться от принятия ранее принятых условий использования?
О. Вы можете просмотреть ранее принятые условия использования, но отказаться от них в настоящее время нельзя.
В. Что произойдет, если использовать и условия Intune?
Ответ. Если вы настраиваете условия использования Microsoft Entra и Intune, пользователь должен принять оба условия. Дополнительные сведения см. в записи блога о выборе правильного решения условий использования для организации.
В. Какие конечные точки используют условия использования службы для проверки подлинности?
Ответ. Условия использования используют следующие конечные точки для проверки подлинности: https://tokenprovider.termsofuse.identitygovernance.azure.com, https://myaccount.microsoft.comи https://account.activedirectory.windowsazure.com. Если у вашей организации есть список разрешенных URL-адресов для регистрации, необходимо добавить эти конечные точки в список разрешений вместе с конечными точками Microsoft Entra для входа.