Включить проверку сетей на соответствие с помощью условного доступа

Организации, использующие условный доступ вместе с глобальным безопасным доступом, могут предотвратить вредоносный доступ к приложениям Майкрософт, сторонним приложениям SaaS и частным бизнес-приложениям (LoB), используя несколько условий для обеспечения защиты в глубине. Эти условия могут включать строгую аутентификацию, соответствие устройства, местоположение, и другие. Включение этих условий защищает вашу организацию от компрометации удостоверений пользователей или кражи маркеров. Глобальный безопасный доступ вводит концепцию сети, соответствующей стандартам, в условном доступе Microsoft Entra ID. Эта проверка сети обеспечивает подключение пользователей через службу глобального безопасного доступа для конкретного клиента и соответствует политикам безопасности, применяемым администраторами.

Клиент глобального безопасного доступа, установленный на устройствах или пользователях за настроенными удаленными сетями, позволяет администраторам защищать ресурсы за соответствующей сетью с расширенными элементами управления условным доступом. Эта сетевая функция упрощает администрирование политики доступа, устраняя необходимость ведения списка IP-адресов исходящего трафика и исключая требование маршрутизации трафика через VPN организации для поддержания привязки источника IP и применения политик условного доступа на основе IP. Дополнительные сведения об условном доступе см. в статье "Что такое условный доступ"?

Принудительное выполнение проверки сети на соответствие.

Применение сетевых механизмов, соответствующих требованиям, снижает риск кражи токенов и атак повторного воспроизведения. Принудительное применение контроля доступа осуществляется Microsoft Entra ID во время аутентификации пользователя. Если злоумышленник украл токен сеанса и пытается воспроизвести его с устройства, которое не подключено к совместимой сети вашей организации (например, запрашивая токен доступа с украденным токеном обновления), Entra ID немедленно отклонит запрос, и дальнейший доступ будет заблокирован. Принудительное обеспечение безопасности канала передачи данных работает со службами, интегрированными через Global Secure Access, и поддерживающими непрерывную оценку доступа (CAE), в том числе Microsoft Graph. С приложениями, поддерживающими CAE, украденные маркеры доступа, которые воспроизводящиеся за пределами соответствующей сети арендатора, будут отклонены приложением почти в режиме реального времени. Без использования расширенного контроля доступа, украденный токен доступа будет действовать до конца своего срока действия (по умолчанию — от 60 до 90 минут).

Эта проверка соответствия сети относится к арендатору, в котором она настроена. Например, если вы определяете политику условного доступа, требующую соответствия сети в contoso.com, то только пользователи с глобальным безопасным доступом или с конфигурацией удаленной сети могут передавать этот элемент управления. Пользователь из fabrikam.com не сможет соответствовать требованиям сети contoso.com.

Соответствующая сеть отличается от IPv4, IPv6 или географических расположений , которые можно настроить в Microsoft Entra. Администраторам не требуется проверять и поддерживать соответствующие сетевые IP-адреса и диапазоны, повышая уровень безопасности и минимизируя административные издержки.

Предпосылки

• Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
  • Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
  • Администратор условного доступа позволяет обеспечить сигнализацию глобального безопасного доступа в контексте условного доступа, а также создавать и взаимодействовать с политиками условного доступа и именованными местоположениями.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Известные ограничения

Эта функция имеет одно или несколько известных ограничений. Для более подробной информации об известных проблемах и ограничениях этой функции см. раздел "Известные ограничения для глобального безопасного доступа".

Включение глобальной безопасной сигнализации доступа для условного доступа

Чтобы включить необходимый параметр, разрешающий проверку соответствующей сети, администратору необходимо выполнить следующие действия.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью, в которой активирована роль глобального администратора безопасного доступа и администратора условного доступа .
2. Перейдите к Глобальный безопасный доступНастройкиУправление сеансамиАдаптивный доступ.
3. Выберите переключатель, чтобы включить сигнализацию CA для Entra ID (охватывающую все облачные приложения).
4. Перейдите к Защите>Условному доступу>Именованным расположениям.
   1. Убедитесь, что у вас есть расположение с именем Все соответствующие требованиям сети и типом Сетевой доступ. При необходимости организации могут пометить это расположение как доверенное.

Защитите ваши ресурсы за сетью, соответствующей требованиям.

Соответствующая политика условного доступа сети может использоваться для защиты приложений Майкрософт и сторонних производителей, интегрированных с единым входом Entra ID. Типичная политика будет иметь грант «Блокировка» для всех сетевых расположений, кроме соответствующей сети. В следующем примере показано, как настроить этот тип политики:

1. Войдите в Центр администрирования Microsoft Entra как минимум в роли администратора условного доступа.
2. Перейдите к Entra ID>Условному доступу.
3. Выберите команду Создать политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа, которые использует ваша организация.
6. В разделе "Целевые ресурсы>включить" и выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
   1. Если ваша организация регистрирует устройства в Microsoft Intune, рекомендуется исключить приложения Microsoft Intune Enrollment и Microsoft Intune из политики условного доступа, чтобы избежать циклической зависимости.
7. В разделе "Сеть".
   1. Задайте для параметра Настроить значение Да.
   2. В разделе Включить выберите Любое место.
   3. Выберите пункт Исключить, а затем место Все соответствующие сетевые локации.
8. В разделе "Элементы управления доступом":
   1. Разрешите, выберите "Блокировать доступ" и выберите "Выбрать".
9. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
10. Нажмите кнопку "Создать", чтобы создать и включить вашу политику.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи аварийного доступа для предотвращения блокировки из-за некорректной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учётные записи служб и субъекты-службы, такие как учётная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными субъектами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаций рабочих нагрузок, чтобы определить политики, нацеленные на сервисные принципалы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Попробуйте соответствующую политику сети

1. На устройстве конечного пользователя с установленным и запущенным клиентом Global Secure Access перейдите на https://myapps.microsoft.com или любое другое приложение, в котором используется единая аутентификация с использованием Entra ID.
2. Приостановите клиент глобального безопасного доступа, щелкнув правой кнопкой мыши приложение в области Windows и выбрав "Отключить".
3. После отключения клиента Global Secure Access получите доступ к другому приложению, интегрированному с entra ID с единым входом. Например, можно попробовать войти на портал Azure. Доступ должен быть заблокирован с помощью условного доступа Entra ID.

Следующие шаги

Ограничения универсального арендатора