Защита регистрации сведений безопасности с помощью политики условного доступа

Защита времени и способа регистрации пользователей для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля возможна с помощью действий пользователей в политике условного доступа. Эта функция доступна организациям, которые обеспечивают объединенную регистрацию. Она позволяет организациям рассматривать процесс регистрации как обычное приложение в политике условного доступа и применить к его защите всю мощь условного доступа. Эта политика действует для пользователей, которые выполняют вход в приложение Microsoft Authenticator или пользуются функцией входа без пароля с помощью телефона.

Некоторые организации в прошлом могли использовать надежное сетевое расположение или соответствие устройств в качестве средства защиты процесса регистрации. При добавлении временного прохода доступа в идентификаторе Microsoft Entra администраторы могут предоставлять пользователям ограниченные по времени учетные данные, которые позволяют им регистрироваться с любого устройства или расположения. Учетные данные временного пропуска доступа соответствуют требованиям условного доступа для многофакторной аутентификации.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи для экстренного доступа, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
• Учетные записи служб и служебные учетные записи, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочей нагрузки, чтобы определить политики, нацеленные на сервисные учетные записи.
  • Если в вашей организации используются эти учетные записи в сценариях или коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики для защиты регистрации

Следующая политика применяется к конкретным пользователям, которые выполняют регистрацию с помощью объединенной регистрации. Политика требует от пользователей находиться в надежном сетевом расположении и выполнять многофакторную проверку подлинности или использовать учетные данные временного доступа.

1. Как минимум, войдите в Центр администрирования Microsoft Entra как Администратор условного доступа.
2. Перейдите к Entra ID>условного доступа>политикам.
3. Выберите новую политику.
4. В поле "Имя" введите название этой политики. Например, объединенная регистрация сведений о безопасности с помощью TAP.
5. В разделе "Назначения" выберите "Пользователи" или "Идентификации рабочей нагрузки".

   1. В разделе "Включить" выберите "Все пользователи".

      Предупреждение

      Пользователи должны быть включены для объединенной регистрации.

   2. В разделе "Исключить".

      1. Выберите всех гостевых и внешних пользователей.

         Примечание.

         Временный секретный код не применяется для гостевых пользователей.

      2. Выберите пользователей и группы и учетные записи аварийного или резервного доступа вашей организации.

6. В разделе Целевые ресурсы>Действия пользователей проверьте регистрацию данных безопасности.
7. В условиях>расположения.
   1. Задайте для параметра "Настроить" значение "Да".
      1. Включите любое место.
      2. Исключите все доверенные расположения.
8. В разделе "Контроль доступа">"Предоставление" выберите "Предоставить доступ".
   1. Выберите "Требовать силу проверки подлинности", а затем выберите соответствующую встроенную или настраиваемую силу проверки подлинности из списка.
   2. Нажмите кнопку "Выбрать".
9. Подтвердите параметры и установите политику включения на только отчет.
10. Нажмите кнопку "Создать", чтобы включить политику.

После того как администраторы оценивают параметры политики с помощью режима влияния политики или режима только отчета, они могут переместить переключатель " Включить политику " из " Только отчет " в "Вкл".

Администраторы должны выдавать учетные данные временного доступа новым пользователям, чтобы они могли удовлетворять требованиям для многофакторной проверки подлинности для регистрации. Действия по выполнению этой задачи приведены в разделе "Создание временного прохода доступа" в Центре администрирования Microsoft Entra.

Организации могут требовать другие элементы контроля предоставления доступа или вместо этого требовать многофакторную аутентификацию на шаге 8a. При выборе нескольких элементов управления, убедитесь, что выбрали соответствующий переключатель радиокнопок, чтобы требовать все или один из выбранных элементов управления при внесении этого изменения.

Регистрация гостевых пользователей

Для гостевых пользователей , которым требуется зарегистрировать многофакторную проверку подлинности в каталоге, можно заблокировать регистрацию за пределами доверенных сетевых расположений , используя следующее руководство.

1. Войдите в Центр администрирования Microsoft Entra в роли Администратора условного доступа или выше.
2. Перейдите к Entra IDусловного доступаполитикам.
3. Выберите новую политику.
4. В поле "Имя" введите название этой политики. Например, объединенная регистрация сведений о безопасности в доверенных сетях.
5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
   1. В разделе "Включить" выберите "Все гостевые и внешние пользователи".
6. В разделе Целевые ресурсы>Действия пользователей, проверьте Register security information.
7. В условиях>местоположениях.
   1. Настройка "Да".
   2. Включите любое местоположение.
   3. Исключите все надежные местоположения.
8. В разделе "Предоставлениеэлементов управления доступом>".
   1. Выберите "Блокировать доступ".
   2. Затем нажмите кнопку "Выбрать".
9. Подтвердите параметры и установите включение политики в режим Только для отчетов.
10. Нажмите кнопку "Создать", чтобы включить политику.

После того как администраторы оценивают параметры политики с помощью режима влияния политики или режима только для отчетов, они могут переместить переключатель Включить политику из состояния Только для отчетов в состояние Вкл.

Связанный контент

• Встроенные роли Microsoft Entra
• Шаблоны условного доступа
• Требовать от пользователей повторного подтверждения сведений о проверке подлинности