Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Защита маркеров — это элемент управления сеансом условного доступа, который стремится снизить число атак на воспроизведение маркеров, принимая только маркеры сеанса входа, привязанные к устройству, такие как Primary Refresh Tokens (PRTs), для Microsoft Entra ID, когда приложения запрашивают доступ к защищенным ресурсам.
Когда пользователь регистрирует поддерживаемое устройство с Microsoft Entra, выдается PRT и криптографически привязан к этому устройству. Эта привязка гарантирует, что даже если субъект угроз украл токен, его нельзя использовать с другого устройства. При применении защиты токенов Microsoft Entra проверяет, используются ли только связанные токены сеанса для входа в систему в поддерживаемых приложениях.
Note
Используйте защиту токенов в рамках более широкой стратегии защиты токенов от кражи. Дополнительные сведения см. в разделе Защита токенов в Microsoft Entra.
Доступность платформы
| Platform | Статус |
|---|---|
| Windows | В общем доступе |
| iOS / iPadOS | Preview |
| macOS | Preview |
Note
В настоящее время защита токенов поддерживает только нативные приложения. Приложения на основе браузера не поддерживаются.
Поддерживаемые ресурсы
Политика защиты маркеров может применяться в следующих облачных ресурсах:
- Обмен онлайн
- SharePoint Online
- Microsoft Teams
В Windows принудительное применение также поддерживается для следующих вариантов:
- Azure Virtual Desktop
- Windows 365
Поддерживаемые устройства
Windows:
- Windows 10 или новее устройства, присоединенные к Microsoft Entra, гибридно присоединенные к Microsoft Entra или зарегистрированные в Microsoft Entra. Ознакомьтесь с разделом известных ограничений в соответствующем руководстве по развертыванию для неподдерживаемых типов устройств.
- Windows Server 2019 или более поздней версии, присоединенные к гибридным Microsoft Entra.
- Подробные инструкции по регистрации устройства см. в статье "Регистрация личного устройства" в рабочей или учебной сети.
Apple (предварительная версия):
- macOS 14.0 или более поздней версии. Требуется плагин Microsoft Enterprise для единого входа (SSO). Кроме того, можно использовать единый вход платформы. Поддерживаются только устройства, управляемые MDM.
- iOS / iPadOS 16.0 или более поздней версии. Требуется подключаемый модуль единого входа Microsoft для предприятий. Поддерживаются только устройства, управляемые MDM.
- Подробные инструкции по настройке см. в статье Включение подключаемого модуля SSO Microsoft Enterprise и настройке SSO для платформы macOS.
Deployment
Чтобы свести к минимуму вероятность нарушения работы пользователей из-за несовместимости приложения или устройства, выполните следующие рекомендации.
- Начните с пилотной группы пользователей и развернитесь со временем.
- Создайте политику условного доступа в режиме только отчетов перед применением защиты токенов.
- Записывайте как интерактивные, так и неинтерактивные журналы входа.
- Выполните анализ этих журналов в течение достаточно длительного периода, чтобы охватить нормальное использование приложения.
- Добавьте известных, надежных пользователей в политику соблюдения.
Этот процесс помогает оценить совместимость приложений и клиентов ваших пользователей для применения защиты токенов.
Руководства по развертыванию
Выберите руководство для целевой платформы:
- Windows: Руководство по развертыванию защиты токенов - Windows
- IOS, iPadOS и macOS: руководство по развертыванию защиты маркеров — Apple