Поделиться через

Что такое условный доступ?

Современная безопасность выходит за пределы периметра сети организации, чтобы включить идентификацию пользователей и устройств. Организации теперь используют сигналы, основанные на удостоверениях, при принятии решений об управлении доступом. Microsoft Entra условный доступ объединяет сигналы, чтобы принимать решения и внедрять организационные политики. Условный доступ — это механизм политики Microsoft с использованием модели нулевого доверия, учитывающий сигналы из различных источников при принятии решений о политике.

Схема, показывающая концепцию сигналов условного доступа, а также решение о применении политики организации.

Политики условного доступа на самом простом этапе — это операторы if-then: если пользователь хочет получить доступ к ресурсу, то он должен выполнить действие. Например, если пользователь хочет получить доступ к приложению или службе, например Microsoft 365, он должен выполнить многофакторную проверку подлинности для получения доступа.

Администраторы сталкиваются с двумя основными целями:

  • продуктивная работа пользователей в любом месте и в любое время;
  • Защитить активы организации

Используйте политики условного доступа, чтобы применить правильные элементы управления доступом при необходимости, чтобы обеспечить безопасность организации и не влиять на производительность.

Внимание

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не предназначен для передней линии защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но он может использовать сигналы от этих событий для определения доступа.

Общие сигналы

Условный доступ использует сигналы из различных источников для принятия решений о доступе.

Диаграмма, которая показывает Conditional Access как движок политики Zero Trust, агрегирующий сигналы из различных источников.

Некоторые из этих сигналов включают:

  • Пользователь, группа или агент
    • Политики могут быть ориентированы на определенных пользователей, групп и агентов (предварительная версия), предоставляя администраторам точный контроль доступа.
    • Поддержка идентичностей агентов и пользователей агента расширяет принципы Zero Trust на нагрузки, связанные с ИИ.
  • Сведения о расположении IP-адресов
    • Организации могут создавать диапазоны IP-адресов, которые можно использовать при принятии решений о политике.
    • Администраторы могут указать целые страны или диапазоны IP-адресов регионов, чтобы блокировать или разрешать трафик.
  • Device
    • Для применения политик условного доступа можно использовать пользователей с устройствами определенных платформ или устройствами, помеченными определенным состоянием.
    • Используйте фильтры для устройств, чтобы применять политики к конкретным устройствам, таким как рабочие станции с привилегированным доступом.
  • Приложение
    • Активируйте различные политики условного доступа, когда пользователи пытаются получить доступ к определенным приложениям.
    • Применение политик к традиционным облачным приложениям, локальным приложениям и ресурсам агента.
  • Обнаружение рисков в режиме реального времени и вычисляемого риска
    • Интегрирует сигналы от Microsoft Entra ID Protection для выявления и устранения рискованных пользователей, поведения входа и действий агента.
  • Microsoft Defender for Cloud Apps
    • Отслеживает и управляет доступом и сеансами пользовательского приложения в режиме реального времени. Эта интеграция улучшает видимость и контроль доступа и действий в облачной среде.

Типичные решения

  • Блокировка доступа является самым строгим решением.
  • Предоставление доступа
  • Менее строгое решение, которое может потребовать одного или нескольких следующих вариантов:
    • Требование многофакторной проверки подлинности
    • Требовать надежность проверки подлинности
    • Требовать, чтобы устройство было помечено как соответствующее
    • Требуется гибридное присоединенное устройство Microsoft Entra
    • Требовать утвержденное клиентское приложение
    • Требовать политику защиты приложений
    • Требовать изменение пароля
    • Обязательное применение условий использования

Часто применяемые политики

Многие организации имеют распространенные проблемы с доступом, с которыми могут помочь политики условного доступа, например:

  • Требование многофакторной проверки подлинности для пользователей с административными ролями
  • Требование многофакторной проверки подлинности для задач управления Azure
  • Блокировка входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности
  • Требование надежных расположений для регистрации сведений о безопасности
  • Блокирование или предоставление доступа из конкретных расположений
  • Блокирование рискованных действий при входе
  • Требование определенных приложений на устройствах, управляемых организацией

Администраторы могут создавать политики с нуля или начинать с политики шаблона на портале или с помощью Microsoft Graph API.

интерфейс администратора

Администраторы с ролью Security Reader могут найти Условный доступ в центре администрирования Microsoft Entra в разделе Entra ID>Conditional Access.

  • На странице обзора показана сводка недавних действий, связанных с политиками условного доступа. Здесь можно увидеть, сколько политик включено по сравнению с теми, которые работают только в режиме отчета, а также узнать о действиях агентов и пользователей, приложениях, устройствах и общее положение с оповещениями системы безопасности и соответствующими предложениями. Снимок экрана: страница обзора условного доступа.

  • На вкладке "Покрытие" показана сводка приложений с покрытием политики условного доступа и без нее за последние семь дней. Снимок экрана: вкладка

  • На странице "Политики" перечислены все политики в клиенте, включая политики только в отчетах и созданные агентом оптимизации условного доступа (если применимо). Параметры фильтрации, просмотра сценариев "Что если" и создания новых политик доступны здесь. Снимок экрана: страница списка политик условного доступа.

Агент оптимизации условного доступа

Агент оптимизации доступа Conditional Access с Microsoft Security Copilot предлагает новые политики и изменения существующих на основе принципов Zero Trust и рекомендаций Майкрософт. При нажатии одного щелчка примените предложение для автоматического обновления или создания политики условного доступа. Агенту требуется по крайней мере лицензия Microsoft Entra ID P1 и единиц вычислений безопасности (SCU).

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, см. статью Сравнение общедоступных функций Microsoft Entra ID.

Клиенты с лицензиями Microsoft 365 Business Premium также могут использовать функции условного доступа.

Для других продуктов и функций, взаимодействующих с политиками условного доступа, требуется соответствующее лицензирование для этих продуктов и функций, включая Microsoft Entra Workload ID, Microsoft Entra ID Protection и Microsoft Purview.

Когда истекает срок действия лицензий, необходимых для условного доступа, политики не отключаются и не удаляются автоматически. Это плавное состояние позволяет клиентам переходить от политик условного доступа без резкого изменения их безопасности. Вы можете просматривать и удалять оставшиеся политики, но их нельзя обновить.

Параметры безопасности по умолчанию помогают защитить от атак, связанных с удостоверениями, и доступны для всех клиентов.

Zero Trust

Эта функция помогает организациям выровнять свои иденты с тремя руководящими принципами архитектуры Zero Trust:

  • Явная проверка
  • Использование наименьших привилегий
  • Предполагайте наличие бреши в системе безопасности

Узнайте подробнее о Zero Trust и других способах согласования вашей организации с руководящими принципами в Центре рекомендаций Zero Trust.

Следующие шаги

Планирование развертывания условного доступа

  • Last updated on