Требовать повторную проверку подлинности и отключить сохраняемость браузера

Обзор

Защита доступа пользователей на неуправляемых устройствах путем предотвращения сохранения сеансов браузера после закрытия браузера и установки частоты входа в систему до 1 часа.

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи для экстренного доступа, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
• Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.
  • Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.

Создание политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
2. Перейдите к Entra ID>Условный доступ>Политики.
3. Выберите Новая политика.
4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. Под Целевые ресурсы>Ресурсы (ранее облачные приложения)>включитевсе ресурсы (ранее 'Все облачные приложения').
7. В разделе "Фильтр условий>" для устройств установите для параметра "Настроить" значение "Да".
   1. В разделе "Устройства, соответствующие правилу", установите значение "Включить отфильтрованные устройства в политику".
   2. В разделе "Синтаксис правила " выберите карандаш "Изменить " и вставьте в поле следующее выражение, а затем нажмите кнопку "Применить".
      1. device.trustType -ne "ServerAD" -or device.isCompliant -ne True # Проверьте тип доверия устройства и его соответствие политике.
   3. Нажмите кнопку Готово.
8. В разделе "Управление доступом>Сеанс"
   1. Выберите частоту входа, укажите периодическую проверку подлинности и задайте длительность 1 и период часов.
   2. Выберите Постоянный сеанс браузера и установите для него значение Никогда не сохранять.
   3. Выбор, Выбор
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Связанный контент

Шаблоны условного доступа

Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.