Условный доступ: фильтрация для приложений

Обзор

В настоящее время политики условного доступа можно применять ко всем приложениям или отдельным приложениям. Организации с большим количеством приложений могут найти этот процесс трудным для управления в нескольких политиках условного доступа.

Фильтры приложений для условного доступа позволяют организациям помечать учетные записи служб настраиваемыми атрибутами. Затем эти настраиваемые атрибуты добавляются в свои политики условного доступа. Фильтры для приложений оцениваются во время выполнения выдачи токенов, а не в конфигурации.

В этом документе создается настраиваемый набор атрибутов, назначается настраиваемый атрибут безопасности приложению и создается политика условного доступа для защиты приложения.

Назначить роли

Пользовательские атрибуты безопасности являются критически важными с точки зрения безопасности и могут управляться только делегированными пользователями. Пользователям, которые управляют этими атрибутами или сообщают о них, должна быть назначена одна или несколько из следующих ролей.

Имя роли Описание
Администратор назначения атрибутов Назначьте пользовательские ключи и значения атрибутов безопасности поддерживаемым объектам Microsoft Entra.
Средство чтения назначений атрибутов Чтение ключей и значений настраиваемых атрибутов безопасности для поддерживаемых объектов Microsoft Entra.
Администратор определения атрибутов Определение настраиваемых атрибутов безопасности и управление ими.
Средство чтения определений атрибутов Прочитайте определение настраиваемых атрибутов безопасности.

Назначьте соответствующую роль пользователям, которые управляют или сообщают об этих атрибутах в области каталога. Подробные инструкции см. в разделе Назначение ролей Microsoft Entra.

Внимание

По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности.

Создание настраиваемых атрибутов безопасности

Следуйте инструкциям в статье Добавьте или деактивируйте настраиваемые атрибуты безопасности в Microsoft Entra ID, чтобы добавить следующие набор атрибутов и новые атрибуты.

  • Создайте набор атрибутовс именем ConditionalAccessTest.
  • Создайте новые атрибуты с именем policyRequirement , которые позволяют назначать несколько значений и разрешать назначать только предопределенные значения. Добавьте следующие предопределенные значения:
    • разрешена устаревшая авторизация
    • блокировать гостевых пользователей
    • требуется МФА
    • требовать совместимое устройство
    • требовать гибридное подключение устройства
    • требовать соответствующее приложение

Снимок экрана, показывающий настраиваемый атрибут безопасности и предопределенные значения в Microsoft Entra ID.

Примечание.

Фильтры условного доступа для приложений работают только с пользовательскими атрибутами безопасности типа string. Пользовательские атрибуты безопасности поддерживают создание логического типа данных, но политики условного доступа поддерживают только string.

Создание политики условного доступа

Снимок экрана, показывающий политику условного доступа с окном фильтра редактирования, где отображается атрибут требования MFA.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа и читатель определения атрибутов.
  2. Перейдите к Entra ID>Conditional Access.
  3. Выберите новую политику.
  4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
  5. В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".
    1. В разделе "Включить" выберите "Все пользователи".
    2. В разделе Исключить выберите Пользователи и группы и выберите экстренные учетные записи или учетные записи для аварийного доступа вашей организации.
    3. Нажмите кнопку "Готово".
  6. В разделе "Целевые ресурсы" выберите следующие параметры:
    1. Выберите то, что эта политика применяется к ресурсам (ранее облачным приложениям).
    2. Включить Выбрать ресурсы.
    3. Выберите "Изменить фильтр".
    4. Задайте для параметра "Настроить" значение "Да".
    5. Выберите атрибут , созданный ранее с именем policyRequirement.
    6. Задайте для операторазначение Contains.
    7. Установите значение в requireMFA.
    8. Нажмите кнопку "Готово".
  7. В разделе Контроль доступа>Предоставление выберите "Предоставить доступ", "Требовать многофакторную аутентификацию" и выберите "Выбор".
  8. Подтвердите параметры и установите политику в режим только для отчетов.
  9. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Настройка настраиваемых атрибутов

Шаг 1. Создание примера приложения

Если у вас уже есть тестовое приложение, использующее учетную запись службы, этот шаг можно пропустить.

Настройте пример приложения, которое демонстрирует, как задание или служба Windows может выполняться с удостоверением приложения, а не удостоверением пользователя. Следуйте инструкциям в статье Quickstart: получите токен и вызовите Microsoft API Graph, используя идентификатор консольного приложения для создания этого приложения.

Шаг 2. Назначение пользовательского атрибута безопасности приложению

Если у вас нет субъекта-службы, указанного в клиенте, он не может быть целевым. Набор Office 365 является примером одного из таких субъектов-служб.

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли Администратора условного доступа и Администратора назначения атрибутов.
  2. Перейдите в раздел Entra ID>Корпоративные приложения.
  3. Выберите субъект-службу, к которому нужно применить настраиваемый атрибут безопасности.
  4. В разделе "Управление настраиваемыми>атрибутами безопасности" выберите "Добавить назначение".
  5. В разделе "Набор атрибутов" выберите ConditionalAccessTest.
  6. В разделе "Имя атрибута" выберите policyRequirement.
  7. В разделе "Назначенные значения" выберите "Добавить значения", выберите requireMFA в списке, а затем нажмите кнопку "Готово".
  8. Нажмите кнопку "Сохранить".

Шаг 3. Тестирование политики

Войдите как пользователь, к которому будет применяться политика, и проверьте, что MFA требуется при доступе к приложению.

Другие сценарии

  • Блокировка устаревших методов проверки подлинности
  • Блокировка внешнего доступа к приложениям
  • Требование соответствующих политик защиты устройств или приложений Intune
  • Внедрение контроля частоты входа для определенных приложений
  • Требование рабочей станции привилегированного доступа для определенных приложений
  • Требовать элементы управления сеансами для пользователей с высоким риском и конкретных приложений

Шаблоны условного доступа

Определите эффект, используя режим только отчетов условного доступа

Используйте режим только отчёта для условного доступа, чтобы определить результаты новых решений политики.