Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
В настоящее время политики условного доступа можно применять ко всем приложениям или отдельным приложениям. Организации с большим количеством приложений могут найти этот процесс трудным для управления в нескольких политиках условного доступа.
Фильтры приложений для условного доступа позволяют организациям помечать учетные записи служб настраиваемыми атрибутами. Затем эти настраиваемые атрибуты добавляются в свои политики условного доступа. Фильтры для приложений оцениваются во время выполнения выдачи токенов, а не в конфигурации.
В этом документе создается настраиваемый набор атрибутов, назначается настраиваемый атрибут безопасности приложению и создается политика условного доступа для защиты приложения.
Назначить роли
Пользовательские атрибуты безопасности являются критически важными с точки зрения безопасности и могут управляться только делегированными пользователями. Пользователям, которые управляют этими атрибутами или сообщают о них, должна быть назначена одна или несколько из следующих ролей.
| Имя роли | Описание |
|---|---|
| Администратор назначения атрибутов | Назначьте пользовательские ключи и значения атрибутов безопасности поддерживаемым объектам Microsoft Entra. |
| Средство чтения назначений атрибутов | Чтение ключей и значений настраиваемых атрибутов безопасности для поддерживаемых объектов Microsoft Entra. |
| Администратор определения атрибутов | Определение настраиваемых атрибутов безопасности и управление ими. |
| Средство чтения определений атрибутов | Прочитайте определение настраиваемых атрибутов безопасности. |
Назначьте соответствующую роль пользователям, которые управляют или сообщают об этих атрибутах в области каталога. Подробные инструкции см. в разделе Назначение ролей Microsoft Entra.
Внимание
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности.
Создание настраиваемых атрибутов безопасности
Следуйте инструкциям в статье Добавьте или деактивируйте настраиваемые атрибуты безопасности в Microsoft Entra ID, чтобы добавить следующие набор атрибутов и новые атрибуты.
- Создайте набор атрибутовс именем ConditionalAccessTest.
- Создайте новые атрибуты с именем policyRequirement , которые позволяют назначать несколько значений и разрешать назначать только предопределенные значения. Добавьте следующие предопределенные значения:
- разрешена устаревшая авторизация
- блокировать гостевых пользователей
- требуется МФА
- требовать совместимое устройство
- требовать гибридное подключение устройства
- требовать соответствующее приложение
Примечание.
Фильтры условного доступа для приложений работают только с пользовательскими атрибутами безопасности типа string. Пользовательские атрибуты безопасности поддерживают создание логического типа данных, но политики условного доступа поддерживают только string.
Создание политики условного доступа
- Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа и читатель определения атрибутов.
- Перейдите к Entra ID>Conditional Access.
- Выберите новую политику.
- Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
- В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".
- В разделе "Включить" выберите "Все пользователи".
- В разделе Исключить выберите Пользователи и группы и выберите экстренные учетные записи или учетные записи для аварийного доступа вашей организации.
- Нажмите кнопку "Готово".
- В разделе "Целевые ресурсы" выберите следующие параметры:
- Выберите то, что эта политика применяется к ресурсам (ранее облачным приложениям).
- Включить Выбрать ресурсы.
- Выберите "Изменить фильтр".
- Задайте для параметра "Настроить" значение "Да".
- Выберите атрибут , созданный ранее с именем policyRequirement.
- Задайте для операторазначение Contains.
- Установите значение в requireMFA.
- Нажмите кнопку "Готово".
- В разделе Контроль доступа>Предоставление выберите "Предоставить доступ", "Требовать многофакторную аутентификацию" и выберите "Выбор".
- Подтвердите параметры и установите политику в режим только для отчетов.
- Щелкните Создать, чтобы включить эту политику.
После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".
Настройка настраиваемых атрибутов
Шаг 1. Создание примера приложения
Если у вас уже есть тестовое приложение, использующее учетную запись службы, этот шаг можно пропустить.
Настройте пример приложения, которое демонстрирует, как задание или служба Windows может выполняться с удостоверением приложения, а не удостоверением пользователя. Следуйте инструкциям в статье Quickstart: получите токен и вызовите Microsoft API Graph, используя идентификатор консольного приложения для создания этого приложения.
Шаг 2. Назначение пользовательского атрибута безопасности приложению
Если у вас нет субъекта-службы, указанного в клиенте, он не может быть целевым. Набор Office 365 является примером одного из таких субъектов-служб.
- Войдите в центр администрирования Microsoft Entra как минимум в роли Администратора условного доступа и Администратора назначения атрибутов.
- Перейдите в раздел Entra ID>Корпоративные приложения.
- Выберите субъект-службу, к которому нужно применить настраиваемый атрибут безопасности.
- В разделе "Управление настраиваемыми>атрибутами безопасности" выберите "Добавить назначение".
- В разделе "Набор атрибутов" выберите ConditionalAccessTest.
- В разделе "Имя атрибута" выберите policyRequirement.
- В разделе "Назначенные значения" выберите "Добавить значения", выберите requireMFA в списке, а затем нажмите кнопку "Готово".
- Нажмите кнопку "Сохранить".
Шаг 3. Тестирование политики
Войдите как пользователь, к которому будет применяться политика, и проверьте, что MFA требуется при доступе к приложению.
Другие сценарии
- Блокировка устаревших методов проверки подлинности
- Блокировка внешнего доступа к приложениям
- Требование соответствующих политик защиты устройств или приложений Intune
- Внедрение контроля частоты входа для определенных приложений
- Требование рабочей станции привилегированного доступа для определенных приложений
- Требовать элементы управления сеансами для пользователей с высоким риском и конкретных приложений
Связанный контент
Определите эффект, используя режим только отчетов условного доступа