Применение политик условного доступа к трафику глобального безопасного доступа

Обзор

Политики условного доступа применяются к трафику глобального безопасного доступа. С помощью условного доступа можно требовать многофакторную проверку подлинности и соответствие устройств для доступа к ресурсам Майкрософт.

В этой статье описывается применение политик условного доступа к интернет-трафику Global Secure Access.

Требования

• Администраторы, взаимодействующие с функциями глобального безопасного доступа , должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач.
  • Роль глобального администратора безопасного доступа для управления функциями глобального безопасного доступа.
  • Роль администратора условного доступа для создания и взаимодействия с политиками условного доступа.
• Продукту требуется лицензирование. Дополнительные сведения см. в разделе лицензирования "Что такое глобальный безопасный доступ". При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Создание политики условного доступа, предназначенной для трафика Глобального безопасного доступа в Интернете

Пример политики

В следующем примере политика охватывает всех пользователей за исключением учетных записей аварийного доступа и гостевых или внешних пользователей, и требует многофакторной аутентификации, соответствия требованиям устройства или использования гибридного устройства, зарегистрированного в Microsoft Entra, для обеспечения безопасности интернет-трафика через Global Secure Access.

1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора условного доступа.

2. Перейдите к Entra ID>Условному доступу.

3. Выберите команду Создать политику.

4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.

5. В разделе "Назначения"выберите ссылку "Пользователи и группы".

   1. В разделе Включить выберите Все пользователи.
   2. В разделе " Исключить":
      1. Выберите пользователей и группы и учетные записи вашей организации для экстренного доступа или аварийного доступа.
      2. Выберите гостевых или внешних пользователей и установите все флажки.

6. В разделе Целевые ресурсы>ресурсы (ранее облачные приложения).

   1. Выберите все интернет-ресурсы с Глобальным безопасным доступом.

   

   Заметка

   Чтобы применить только профиль пересылки трафика Internet Access и не профиль пересылки трафика Microsoft, выберите "Выбрать ресурсы" и в средстве выбора приложений выберите "Интернет ресурсы" и настройте профиль безопасности.

7. Выберите Элементы управления доступом>Предоставить разрешение.

   1. Выберите "Требовать многофакторную проверку подлинности", "Требовать, чтобы устройство было помечено как соответствующее требованиям" и "Требовать гибридное присоединенное устройство Microsoft Entra"
   2. В качестве значения параметра Для нескольких элементов управления выберите Требовать один из выбранных элементов управления.
   3. Выберите Выберите.

После того как администраторы подтвердят параметры политики, используя режим только для отчетов, администратор может переместить переключатель "Включить политику" из положения "Только для отчетов" в положение "Включено".

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

• Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и служебные субъекты, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые служебными принципалами, не блокируются политиками условного доступа, предназначенными для пользователей. Используйте условный доступ для рабочих идентификаторов, чтобы определить политики, предназначенные для сервисных субъектов.
  • Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.

Следующие шаги

Следующим шагом для начала работы с Microsoft Entra Internet Access является проверка журналов Global Secure Access.

Дополнительные сведения о переадресации трафика см. в следующих статьях:

• Сведения о профилях пересылки трафика
• Управление профилем трафика Майкрософт