Поделиться через

Что такое условный доступ?

Современная безопасность выходит за пределы периметра сети организации, чтобы включить идентификацию пользователей и устройств. Организации теперь используют сигналы, основанные на удостоверениях, при принятии решений об управлении доступом. Условный доступ Microsoft Entra объединяет сигналы, чтобы принимать решения и применять политики организации. Условный доступ — это подсистема политики нулевого доверия Майкрософт, принимаюющая сигналы от различных источников, которые учитываются при применении решений политики.

Схема, показывающая концепцию сигналов условного доступа, а также решение о применении политики организации.

Политики условного доступа на самом простом этапе — это операторы if-then; Если пользователь хочет получить доступ к ресурсу , он должен выполнить действие. Например, если пользователь хочет получить доступ к приложению или службе, например Microsoft 365, он должен выполнить многофакторную проверку подлинности.

Администраторы сталкиваются с двумя основными целями:

  • продуктивная работа пользователей в любом месте и в любое время;
  • Защитить активы организации

С помощью политик условного доступа можно применять необходимые элементы управления доступом, чтобы поддерживать безопасность вашей организации.

Внимание

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не предназначен быть передовой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании", но может использовать сигналы от этих событий для принятия решения об доступе.

Общие сигналы

Условный доступ использует сигналы из различных источников для принятия решений о доступе.

Схема, показывающая условный доступ как механизм политики

К таким сигналам относятся:

  • Членство пользователей или групп
    • Политики могут быть ориентированы на конкретных пользователей и групп, предоставляя администраторам точный контроль доступа.
  • Сведения о расположении IP-адресов
    • Организации могут создавать диапазоны доверенных IP-адресов, которые можно использовать при принятии решений о политике.
    • Администраторы могут указать целые страны или диапазоны IP-адресов регионов, чтобы блокировать или разрешать трафик.
  • Устройство
    • Для применения политик условного доступа можно использовать пользователей с устройствами определенных платформ или устройствами, помеченными определенным состоянием.
    • Используйте фильтры для устройств, чтобы применять политики к конкретным устройствам, таким как рабочие станции с привилегированным доступом.
  • Приложения
    • Активируйте различные политики условного доступа, когда пользователи пытаются получить доступ к определенным приложениям.
  • Обнаружение рисков в режиме реального времени и вычисляемого риска
    • Интегрируйте сигналы из Microsoft Entra ID Protection, чтобы выявить и устранить рискованное поведение пользователей и входа.
  • Microsoft Defender для облачных приложений
    • Мониторинг и управление доступом и сеансами пользовательского приложения в режиме реального времени. Эта интеграция улучшает видимость и контроль доступа и действий в облачной среде.

Типичные решения

  • Блокировка доступа является самым строгим решением.
  • Предоставьте доступ.
  • Менее строгое решение, которое может потребовать одного или нескольких следующих вариантов:
    • Требовать многофакторную проверку подлинности.
    • Требовать надежность проверки подлинности.
    • Требовать, чтобы устройство было помечено как соответствующее.
    • Требовать гибридное устройство, присоединенное к Microsoft Entra.
    • Требовать утвержденное клиентское приложение.
    • Требовать политику защиты приложений.
    • Требовать изменения пароля.
    • Требовать условия использования.

Часто применяемые политики

Многие организации имеют распространенные проблемы с доступом, с которыми могут помочь политики условного доступа, например:

  • Требование многофакторной проверки подлинности для пользователей с административными ролями
  • Требование многофакторной проверки подлинности для задач управления Azure
  • Блокирование входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности
  • Требование надежных расположений для регистрации сведений о безопасности
  • Блокирование или предоставление доступа из конкретных расположений
  • Блокирование рискованных действий при входе
  • Требование определенных приложений на устройствах, управляемых организацией

Администраторы могут создавать политики с нуля или начинать с политики шаблона на портале или с помощью API Microsoft Graph.

интерфейс Администратор

Администраторы с ролью администратора условного доступа могут управлять политиками.

Условный доступ можно найти в Центре администрирования Microsoft Entra в разделе Entra ID>Условный доступ.

Снимок экрана: страница обзора условного доступа.

  • На странице обзора показана сводка состояния политики, пользователей, устройств и приложений, а также общих оповещений системы безопасности с предложениями.
  • На странице "Покрытие" показана сводка приложений с покрытием политики условного доступа и без нее за последние семь дней.
  • Страница мониторинга позволяет администраторам просматривать график входа, который можно отфильтровать, чтобы увидеть потенциальные пробелы в охвате политики.

Политики условного доступа на странице "Политики " можно фильтровать администраторами на основе таких элементов, как субъект, целевой ресурс, условие, элемент управления, примененный, состояние или дата. Эта возможность фильтрации позволяет администраторам быстро находить определенные политики на основе их конфигурации.

Агент оптимизации условного доступа

Агент оптимизации условного доступа (предварительная версия) с Microsoft Security Copilot предлагает новые политики и изменения существующих на основе принципов нулевого доверия и рекомендаций Майкрософт. При нажатии одного щелчка примените предложение для автоматического обновления или создания политики условного доступа. Агенту требуется по крайней мере лицензия Microsoft Entra ID P1 и вычислительные единицы безопасности (SCU).

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с общими доступными функциями идентификатора Microsoft Entra.

Клиенты с лицензиями Microsoft 365 Business Premium также могут использовать функции условного доступа.

Для других продуктов и функций, взаимодействующих с политиками условного доступа, требуется соответствующее лицензирование для этих продуктов и функций. К ним относятся удостоверение рабочей нагрузки Microsoft Entra, защита удостоверений Microsoft Entra и Microsoft Purview.

Когда истекает срок действия лицензий, необходимых для условного доступа, политики не отключаются и не удаляются автоматически. Это плавное состояние позволяет клиентам переходить от политик условного доступа без резкого изменения их безопасности. Вы можете просматривать и удалять оставшиеся политики, но их нельзя обновить.

Параметры безопасности по умолчанию помогают защитить от атак, связанных с удостоверениями, и доступны для всех клиентов.

Концепция "Нулевого доверия"

Эта функция помогает организациям согласовывать свои идентичности с тремя руководящими принципами архитектуры нулевого доверия:

  • Явная проверка
  • Использование наименьших привилегий
  • Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о нулевом доверии и других способах выравнивания организации с руководящими принципами см. в Центре рекомендаций по нулю доверия.

Следующие шаги

  • Last updated on