Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Microsoft Entra ID развертывает улучшенную модель применения политик условного доступа, предназначенных для всех ресурсов и включающих одно или несколько исключений ресурсов. Это изменение гарантирует, что при входе, запрашивающем только исходные области, обеспечивается такая же защита условного доступа, как и при доступе к другим ресурсам.
Ранее некоторые области с низким уровнем привилегий были автоматически исключены из применения политик при наличии исключения ресурсов. При этом изменении эти области теперь оцениваются как доступ к каталогам и подвергаются политикам условного доступа.
Подробные технические сведения см. в статье "Новое поведение условного доступа", когда политика всех ресурсов имеет исключение ресурсов.
Это важно
Это обновление применения соответствует Инициативе Майкрософт по безопасному будущему и инвестициям в многоуровневую защиту. Майкрософт рекомендует внедрить новую модель принудительного применения, чтобы повысить уровень безопасности.
Кто пострадал
Это изменение затрагивает арендатора, если выполняются все следующие условия:
- У вас есть одна или несколько политик условного доступа, предназначенных для всех ресурсов.
- Эти политики имеют одно или несколько исключений ресурсов.
- Пользователи в вашем клиенте входят через приложения, запрашивающие только базовые области.
Если политики предназначены для всех ресурсов без исключений ресурсов, это изменение не влияет на вас.
Что такое исходные области охвата
Базовые области применения — это обобщающий термин для следующего набора областей:
- Сферы OpenID Connect (OIDC):
email,offline_access,openid,profile -
Базовые области каталогов:
User.Read,User.Read.All,User.ReadBasic.All,People.ReadPeople.Read.AllGroupMember.Read.AllMember.Read.Hidden
Что меняется
После развертывания следующие сценарии теперь могут вызвать проблемы условного доступа (например, MFA или соответствие устройств), когда доступ был предоставлен ранее без принудительного применения:
-
Общедоступные клиентские приложения (например, настольные приложения), запрашивающие только базовые области. Например, пользователь входит в настольный клиент Visual Studio Code, который запрашивает области
openidиprofile, или в Azure CLI, который запрашивает толькоUser.Read. -
Конфиденциальные клиентские приложения (например, веб-приложения), исключенные из политики всех ресурсов и запрашивающие только базовые области каталогов. Например, веб-приложение, исключенное из политики, которая запрашивает только
User.ReadиPeople.Read.
Точные задачи зависят от элементов управления доступом, настроенных в ваших политиках, которые нацелены на все ресурсы или явно на Windows Azure Active Directory (каталог Microsoft Entra ID) в качестве ресурса.
Что не меняется
- Если приложение (общедоступное или конфиденциальное) запрашивает любую область, превышающую базовые области (например,
Mail.Read), приложение уже подлежит принудительному применению условного доступа. Это поведение не изменится. - Для конфиденциальных клиентских приложений, исключенных из всех политик ресурсов и запрашивающих только области OIDC, изменения не ожидаются.
Что вам нужно сделать
Используйте следующую таблицу, чтобы определить необходимые действия для приложений:
| Тип приложения | Владение | Необходимые действия |
|---|---|---|
| Общедоступный клиент, запрашивающий только базовые области | Любое | Проверьте, должны ли эти приложения оставаться исключенными из применения условного доступа. Если существуют допустимые бизнес-причины для поддержания исключения, см. статью "Сохранение устаревшего поведения" с параметрами базовой области. |
| Конфиденциальный клиент, запрашивающий только базовые области каталогов, исключенный из политики всех ресурсов | Принадлежащий клиенту | Проверьте, требуется ли исключение. Обратитесь к разработчикам приложений, чтобы оценить, может ли приложение запрашивать OIDC-области (например, openid, profile) вместо областей каталогов, таких как User.Read, для получения основных сведений о пользователе. Если обновления не удается завершить до развертывания, см. статью Сохранение устаревшего поведения с параметрами базовой области. |
| Конфиденциальный клиент, запрашивающий только базовые области каталогов, исключенный из политики всех ресурсов | Принадлежащий независимому поставщику программного обеспечения | Проверьте, требуется ли исключение. Свяжитесь с вашим независимым поставщиком программного обеспечения (ISV), чтобы оценить, может ли приложение запрашивать области OIDC вместо областей каталогов. В большинстве случаев области OIDC предоставляют минимальный доступ, необходимый для этих сценариев. Если ISV не может вносить обновления вовремя, см. «Сохранить устаревшее поведение с параметрами базовой области». |
Это важно
Для общедоступных и конфиденциальных клиентских приложений, принадлежащих вашему клиенту, убедитесь, что приложение может обрабатывать проблемы условного доступа (например, MFA или соответствие устройств). В противном случае могут потребоваться обновления приложений. Сведения о том, как обновить приложение соответствующим образом, см. в руководстве разработчика по условному доступу .
Как оценить влияние
Предварительная версия изменения принудительного применения
Вы можете предварительно изучить улучшенные меры принудительного применения перед развертыванием.
- Войдите в административный центр Microsoft Entra в качестве как минимум администратора условного доступа.
- Доступ к параметрам базовых областей в условном доступе. Эта прямая ссылка необходима для просмотра параметров предварительного просмотра.
- Выберите целевой ресурс default (Windows Azure Active Directory).
- Нажмите Сохранить.
Замечание
Этот параметр немедленно включает обновленное поведение условного доступа для всех политик ресурсов с исключениями.
В результате некоторые входы пользователей, которые ранее не подвергались применению Условного доступа, теперь могут оцениваться и контролироваться с помощью Условного доступа в Windows Azure Active Directory в качестве ресурса назначения.
Чтобы вернуться к устаревшему поведению, выберите сброс из параметров базовой области.
Если пользовательский целевой ресурс не выбран, развертывание, основанное на Windows Azure Active Directory в качестве ресурса по умолчанию для базовых областей, выполняется поэтапно.
Определение затронутых приложений с помощью пользовательского целевого ресурса
Параметры базовой области можно использовать для выявления приложений, которые затронуты в вашем клиенте. После включения параметра предварительной настройки, события входа в систему, в которых приложения запрашивают базовые области, указывают пользовательское приложение как аудиторию условного доступа в журналах входа. Дополнительные сведения см. в разделе "Устранение неполадок при входе с условным доступом".
Запрос для поиска затронутых приложений
Используйте следующий запрос Microsoft Graph для перечисления приложений, запрашивающих только базовые области:
https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName
Замените <your-custom-app-id> идентификатором вашего собственного приложения.
В течение многодневного периода результат этого запроса предоставляет список клиентских приложений, запрашивающих только базовые области.
Сохранение наследуемого поведения с настройками базовой области
Замечание
Майкрософт рекомендует соответствовать новой правоприменительной модели. Используйте параметры базовой области, только если у вас есть определенные сценарии, требующие устаревшего поведения.
Настройки базовой области — это конфигурация на уровне арендатора, которая позволяет использовать пользовательское приложение, принадлежащее арендаторам, в качестве целевого ресурса для базовых областей. Исключив это пользовательское приложение из определенных политик всех ресурсов, вы можете сохранить устаревшее поведение.
Кто должен использовать этот параметр
Используйте этот параметр, если у вас есть определенные сценарии, требующие сохранения устаревшего поведения. Примеры сценариев включают:
- Все политики управления ресурсами, требующие соответствующего контроля доступа к устройствам: приложения, которые исключены из данной политики, потому что они должны быть доступны с неуправляемых устройств.
- Все политики ресурсов, включающие требование предоставления управления с помощью политики защиты приложений: клиентские приложения, которые не интегрированы с пакетом SDK Intune и не могут удовлетворить политику защиты приложений.
- Все политики ресурсов с элементом управления блоками: клиентские приложения, которые должны быть исключены из политики блокировки.
- Общедоступные клиенты, которые должны быть исключены из требований к соответствующим устройствам: из-за конкретных причин безопасности и соответствия требованиям.
Вопросы и ответы
Как я могу предварительно просмотреть введение принудительных мер перед развертыванием изменений?
Перейдите к https://aka.ms/BaselineScopesSettingsUX, выберите целевой ресурс default (Windows Azure Active Directory) и выберите Save. Этот параметр немедленно применяет улучшенное поведение. Чтобы вернуться обратно, выберите сброс. Дополнительные сведения см. в разделе "Предварительный просмотр изменений принудительного применения".
Как сохранить поведение системы в предыдущей версии после развертывания?
Используйте параметры базовой области, чтобы назначить пользовательское приложение, принадлежащее клиенту, в качестве целевого ресурса для базовых областей, а затем исключить это приложение из политик всех ресурсов. Дополнительные сведения см. в разделе "Сохранение устаревшего поведения" с параметрами базовой области.
Нужно ли обновить все приложения?
Нет. Только приложения, которые запрашивают исключительно базовые разрешения и подпадают под ваши политики "Все ресурсы" с исключениями ресурсов, требуют внимания. Приложения, запрашивающие области за пределами базовых показателей (например, Mail.Read), уже подвергаются принудительному применению условного доступа и не затрагиваются этим изменением.