Защита регистрации сведений безопасности с помощью политики условного доступа

Защита времени и способа регистрации пользователей для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля возможна с помощью действий пользователей в политике условного доступа. Эта функция доступна организациям, которые обеспечивают объединенную регистрацию. Она позволяет организациям рассматривать процесс регистрации как обычное приложение в политике условного доступа и применить к его защите всю мощь условного доступа. Эта политика действует для пользователей, которые выполняют вход в приложение Microsoft Authenticator или пользуются функцией входа без пароля с помощью телефона.

Некоторые организации в прошлом могли использовать надежное сетевое расположение или соответствие устройств в качестве средства защиты процесса регистрации. При добавлении временного доступа в Microsoft Entra ID администраторы могут предоставлять пользователям временные учетные данные, которые позволяют им регистрироваться с любого устройства и из любой точки. Учетные данные временного пропуска доступа соответствуют требованиям условного доступа для многофакторной аутентификации.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учётные записи служб и служебные принципы, такие как учётная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочей нагрузки, чтобы определить политики, нацеленные на сервисные учетные записи.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики для защиты регистрации

Следующая политика применяется к конкретным пользователям, которые выполняют регистрацию с помощью объединенной регистрации. Политика требует от пользователей находиться в надежном сетевом расположении и выполнять многофакторную проверку подлинности или использовать учетные данные временного доступа.

1. Войдите в систему Центра администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
2. Перейдите к Защита>Условный доступ>Политики.
3. Выберите Новая политика.
4. В поле "Имя" введите название этой политики. Например, Объединенная регистрация сведений о безопасности совместно с TAP.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

   1. В разделе Включить выберите Все пользователи.

      Предупреждение

      У пользователей должна быть включена объединенная регистрация.

   2. Под Исключить.

      1. Выберите Все гости и внешние пользователи.

         Примечание.

         Временный секретный код не применяется для гостевых пользователей.

      2. Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).

6. В разделе Целевые ресурсы>Действия пользователей проверьте регистрацию сведений о безопасности.
7. В разделе Условия>Расположения.
   1. Задайте для параметра Настроить значение Да.
      1. Включите Любое расположение.
      2. Исключите Все надежные расположения.
8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
   1. Выберите "Требовать силу проверки подлинности", а затем выберите соответствующую встроенную или настраиваемую силу проверки подлинности из списка.
   2. Выберите Выберите.
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После того как администраторы оценивают параметры политики с помощью режима оценки влияния политики или режима только отчетов, они могут переместить переключатель Включить политику из Только отчеты в Включено.

Администраторы должны выдавать учетные данные временного доступа новым пользователям, чтобы они могли удовлетворять требованиям для многофакторной проверки подлинности для регистрации. Действия по выполнению этой задачи приведены в разделе "Создание временного прохода доступа" в Центре администрирования Microsoft Entra.

Организации могут требовать другие элементы управления предоставлением или вместо этого требовать многофакторную проверку подлинности на шаге 8a. При выборе нескольких элементов управления убедитесь, что выбран правильный переключатель, чтобы требовались все или один из выбранных элементов управления.

Регистрация гостевых пользователей

Для гостевых пользователей , которым требуется зарегистрировать многофакторную проверку подлинности в каталоге, можно заблокировать регистрацию за пределами доверенных сетевых расположений , используя следующее руководство.

1. Войдите в систему Центра администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
2. Перейдите к Защита>Условный доступ>Политики.
3. Выберите Новая политика.
4. В поле "Имя" введите название этой политики. Например, Объединенная регистрация сведений для защиты в доверенных сетях.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все гости и внешние пользователи.
6. В разделе Целевые ресурсы>Действия пользователей проверьте регистрацию сведений о безопасности.
7. В разделе Условия>Расположения.
   1. Выберите Да.
   2. Включите Любое расположение.
   3. Исключите Все надежные расположения.
8. Выберите Управление доступом>Разрешения.
   1. Выберите Заблокировать доступ.
   2. Затем выберите Выбрать.
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После того как администраторы оценивают параметры политики с помощью режима оценки влияния политики или режима только отчетов, они могут переместить переключатель Включить политику из Только отчеты в Включено.

Связанный контент

• Встроенные роли Microsoft Entra
• Шаблоны условного доступа
• Установка требования повторного подтверждения пользователями сведений о проверке подлинности