Условный доступ: пользователи, группы, агенты и служебные удостоверения.

Обзор

Политика условного доступа включает в себя идентификацию пользователя, группы, агента или рабочей нагрузки в качестве одного из сигналов в процессе принятия решения. Эти удостоверения можно включить или исключить из политик условного доступа. Microsoft Entra ID оценивает все политики и гарантирует, что все требования выполнены перед предоставлением доступа.

Добавить пользователей

Этот список обычно включает всех пользователей, на которых нацелена организация в политике условного доступа.

При создании политики условного доступа доступны следующие параметры.

  • Никакой
    • Пользователи не выбраны
  • Все пользователи
    • Все пользователи в каталоге, включая гостей B2B.
  • Выбор пользователей и групп
    • Гостевые или внешние пользователи
      • Этот выбор позволяет использовать политики условного доступа для определенных гостевых или внешних типов пользователей и клиентов, содержащих этих пользователей. Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
        • Гостевые пользователи службы совместной работы B2B
        • Пользователи участников совместной работы B2B
        • пользователи с прямым соединением B2B;
        • Локальные гостевые пользователи, например любой пользователь, принадлежащий домашнему клиенту с атрибутом типа пользователя, заданным для гостя
        • Пользователи поставщика услуг, например поставщик облачных решений (CSP)
        • Другие внешние пользователи или пользователи, не представленные другими выбранными типами пользователей
      • Один или несколько клиентов можно указать для указанных типов пользователей или указать всех клиентов.
    • Роли справочника
      • Позволяет администраторам выбирать определенные встроенные роли каталога , чтобы определить назначение политики. Например, организации могут создавать более ограничивающие правила для пользователей, имеющих привилегированную роль. Другие типы ролей, включая роли в пределах административной единицы и пользовательские роли, не поддерживаются.
        • Условный доступ позволяет администраторам выбирать некоторые роли, перечисленные как устаревшие. Эти роли по-прежнему отображаются в базовом API, и мы разрешаем администраторам применять к ним политику.
    • Пользователи и группы
      • Позволяет выбирать конкретные наборы пользователей. Например, организации могут выбрать группу, содержащую всех сотрудников отдела кадров, если приложение отдела кадров является облачным. Группа может быть любой тип группы пользователей в Microsoft Entra ID, включая динамические или назначенные группы безопасности и распространения. Политика применяется к внутренним пользователям и группам.

Внимание

При выборе пользователей и групп, включенных в политику условного доступа, существует ограничение на количество отдельных пользователей, которые можно добавить непосредственно в политику условного доступа. Если многие отдельные пользователи должны быть добавлены в политику условного доступа, поместите их в группу и назначьте группе политику.

Если пользователи или группы принадлежат более 2048 группам, их доступ может быть заблокирован. Это ограничение относится как к непосредственному членству, так и к членству во вложенных группах.

Предупреждение

Политики условного доступа не поддерживают назначение пользователям роли каталога, ограниченной административным единицам или ролям каталога, заданным непосредственно объекту, например с помощью пользовательских ролей.

Примечание.

При выборе политик для прямого подключения внешних пользователей B2B эти политики применяются к пользователям совместной работы B2B, обращающимся к Teams или SharePoint Online, которые также имеют право на прямое подключение B2B. Это же относится к политикам, предназначенным для внешних пользователей совместной работы B2B, что означает, что пользователи, обращающиеся к общим каналам Teams, применяют политики совместной работы B2B, если у них также есть присутствие гостевого пользователя в клиенте.

Исключение пользователей

Если организации включают и исключают пользователя или группу, пользователь или группа исключаются из политики. Действие исключения переопределяет действие включения в рамках политики. Исключения обычно используются для учетных записей аварийного или экстренного доступа. Дополнительную информацию об учетных записях для аварийного доступа и их важности можно найти в следующих статьях:

При создании политики условного доступа доступны следующие параметры для исключения.

  • Гостевые или внешние пользователи
    • Этот выбор предоставляет несколько вариантов, которые можно использовать для целевых политик условного доступа для определенных гостевых или внешних типов пользователей и конкретных клиентов, содержащих эти типы пользователей. Есть несколько различных типов гостевых или внешних пользователей, которые можно выбрать, и можно выбрать несколько вариантов:
      • Гостевые пользователи службы совместной работы B2B
      • Пользователи участников совместной работы B2B
      • пользователи с прямым соединением B2B;
      • Локальные гостевые пользователи, например любой пользователь, принадлежащий домашнему клиенту с атрибутом типа пользователя, заданным для гостя
      • Пользователи поставщика услуг, например поставщик облачных решений (CSP)
      • Другие внешние пользователи или пользователи, не представленные другими выбранными типами пользователей
    • Один или несколько клиентов можно указать для указанных типов пользователей или указать всех клиентов.
  • Роли справочника
    • Позволяет администраторам выбирать определенные роли каталога Microsoft Entra, используемые для определения назначения.
  • Пользователи и группы
    • Позволяет выбирать конкретные наборы пользователей. Например, организации могут выбрать группу, содержащую всех сотрудников отдела кадров, если приложение отдела кадров является облачным. Группа может быть любой тип группы в Microsoft Entra ID, включая динамические или назначенные группы безопасности и распространения. Политика применяется к внутренним пользователям и группам.

Предотвращение блокировки администратора

Чтобы предотвратить блокировку администратора, при создании политики, применяемой ко всем пользователям и всем приложениям, появится следующее предупреждение.

Не заблокируйте себя! Сначала примените политику к небольшому набору пользователей, чтобы убедиться, что она ведет себя должным образом. Кроме того, исключите хотя бы одного администратора из этой политики. Тогда вы гарантируете себе возможность доступа к политике и, при необходимости, ее изменения. Просмотрите затронутых пользователей и приложения.

По умолчанию политика предоставляет возможность исключения текущего пользователя, но администратор может переопределить его, как показано на следующем рисунке.

Внимание! Не заблокируйте себя!

Если вы нашли себя заблокированным, посмотрите , что делать, если вы заблокированы?.

Доступ внешних партнеров

Политики условного доступа, предназначенные для внешних пользователей, могут повлиять на доступ поставщика услуг, например детализированные делегированные права администратора. Дополнительные сведения см. в разделе "Общие сведения о детализированных делегированных привилегиях администратора (GDAP)". Для политик, предназначенных для целевых клиентов поставщика услуг, используйте тип внешнего пользователя поставщика услуг, доступный в параметрах выбора гостевых или внешних пользователей .

Агенты (предварительная версия)

Агенты — это учетные записи первого класса в Microsoft Entra ID, которые предоставляют уникальные возможности идентификации и проверки подлинности для агентов ИИ. Политики условного доступа, предназначенные для этих объектов, имеют определенные рекомендации, указанные в статье условный доступ и удостоверения агента.

Политика может быть определена для следующих областей:

  • Все идентичности агентов
  • Выберите агентов, выступающих в роли пользователей
  • Выберите идентичности агента на основе атрибутов
  • Выбор идентичностей отдельных агентов

Идентификации рабочей нагрузки

Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению или субъекту-службе получать доступ к ресурсам, иногда в контексте пользователя. Политики условного доступа можно применять к субъектам-службам одного клиента, зарегистрированным в клиенте. Microsoft и сторонние приложения SaaS, включая мультитенантные приложения, не охватываются этими политиками. Управляемые удостоверения не охватываются политикой безопасности.

Организации могут использовать специфические идентификаторы рабочей нагрузки для включения или исключения из политики.

Более подробную информацию см. в статье Условный доступ для удостоверений рабочей нагрузки.

Следующие шаги