Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Для организаций с консервативным подходом к миграции в облако можно использовать политику "блокировать все".
Внимание
Неправильное настройка политики блоков может привести к блокировке организаций.
Такие политики могут иметь непредвиденные побочные эффекты. Правильное тестирование и проверка крайне важны перед включением. При внесении изменений администраторы должны использовать такие средства, как режим только отчетов 'Условный доступ' и инструмент 'What If' в Условном доступе.
Пользовательские исключения
Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:
-
Аварийный доступ или аварийные учетные записи для предотвращения блокировки в результате неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
- Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
- Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.
- Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.
Создание политики условного доступа
Следующие шаги помогут создать политики условного доступа для блокировки доступа ко всем приложениям, кроме Office 365 (Microsoft 365), если пользователи не в доверенной сети. Эти политики сначала помещаются в режим «только для отчетов», чтобы администраторы могли определить влияние на существующих пользователей. Когда администраторы уверены, что политики применяются так, как они планировали, они могут переключить их в положение Включено.
Первая политика блокирует доступ ко всем приложениям, кроме приложений Microsoft 365, если они находятся вне надежного местоположения.
- Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
- Перейдите к Entra ID>Условный доступ>Политики.
- Выберите Новая политика.
- Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе Исключить выберите Пользователи и группы и выберите учетные записи для экстренного доступа или аварийные учетные записи вашей организации.
- В разделе "Целевые ресурсы">(ранее облачные приложения) выберите следующие параметры:
- В разделе "Включить" выберите все ресурсы (ранее "Все облачные приложения").
- В разделе Exclude выберите Office 365 выберите Select.
- При условиях:
- В разделе Условия>Расположение.
- Задайте для параметра Настроить значение Да.
- В разделе Включить выберите Любое место.
- В разделеИсключить выберите Все надежные места.
- В разделе Клиентские приложения установите для параметра Настроить значение Да и нажмите Готово.
- В разделе Условия>Расположение.
- В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ и нажмите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Щелкните Создать, чтобы включить эту политику.
После подтверждения параметров с помощью режима влияния политики или только для отчетов переместите переключатель из Только отчет в Включено.
Следующая политика создается, чтобы требовать многофакторную проверку подлинности или соответствующее устройство для пользователей Microsoft 365.
- Выберите команду Создать политику.
- Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе Исключить выберите Пользователи и группы и выберите учетные записи для экстренного доступа или аварийные учетные записи вашей организации.
- В разделе Target resources>Resources (ранее облачные приложения)>Include>Select resources выберите Office 365, и выберите Select.
- В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
- Выберите Требовать многофакторную проверку подлинности и Требовать, чтобы устройство было помечено как соответствующее, затем нажмите Выбрать.
- Убедитесь, что выбран параметр Требовать один из выбранных элементов управления.
- Выберите Выберите.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Щелкните Создать, чтобы включить эту политику.
После подтверждения параметров с помощью режима влияния политики или только для отчетов переместите переключатель из Только отчет в Включено.
Примечание.
Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.