Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Майкрософт сотрудничает с исследователями, правоохранительными органами, различными группами безопасности Майкрософт и другими доверенными источниками для поиска пар "имя пользователя и пароль". Организации с лицензиями Microsoft Entra ID P2 могут создавать политики условного доступа, включая обнаружение рисков пользователей защиты идентификаторов Microsoft Entra ID.
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
-
Аварийный доступ или учетные записи для экстренного доступа, чтобы избежать блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье по управлению учетными записями аварийного доступа в Microsoft Entra ID.
-
Учетные записи служб и принципы служб, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные сервисными принципалами, не блокируются политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для рабочих учетных данных, чтобы определить политики, нацеленные на основных учетных записей.
- Если в вашей организации используются эти учетные записи в сценариях или коде, попробуйте заменить их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.
Включение с помощью политики условного доступа
- Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
- Перейдите к Entra ID>Conditional Access.
- Выберите новую политику.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
- В разделе "Включить" выберите "Все пользователи".
- В разделе Исключить выберите Пользователи и группы и выберите аварийные учетные записи или учетные записи с аварийным доступом вашей организации.
- Нажмите кнопку "Готово".
- В разделе "Облачные приложения или действия">"Включить" выберите "Все ресурсы" (прежнее название — "Все облачные приложения").
- В условиях>риска пользователя установите для параметра "Настроить" значение "Да".
- В разделе "Настройка уровней риска пользователей", необходимых для применения политики, выберите "Высокий". Это руководство основано на рекомендациях Майкрософт и может отличаться для каждой организации.
- Нажмите кнопку "Готово".
- В разделе Средства управления доступом>Предоставление выберите Предоставить доступ.
- Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
- Выберите "Требовать изменение пароля".
- Нажмите кнопку "Выбрать".
- В разделе "Сеанс".
- Выберите частоту входа.
- Убедитесь, что установлен вариант "Каждый раз".
- Нажмите кнопку "Выбрать".
- Подтвердите параметры и установите включение политики в режим только для отчетов.
- Нажмите кнопку "Создать", чтобы включить политику.
После того как администраторы оценят параметры политики с помощью режима «Влияние политики» или «Только отчёт», они могут переместить переключатель «Включить политику» из положения «Только отчёт» в «Вкл».
Сценарии без пароля
Для организаций, использующих методы проверки подлинности без пароля , внесите следующие изменения:
Обновление политики риска пользователей без пароля
- В разделе "Пользователи":
- Включите, выберите "Пользователи и группы" и нацельте пользователей без пароля.
- В разделе "Элементы управления доступом" блокировка> доступа для пользователей без пароля.
Совет
В течение некоторого времени может потребоваться иметь две политики при развертывании методов без паролей.
- Такая возможность самостоятельного исправления для тех, кто не использует методы без пароля.
- Другой вариант, который блокирует пользователей без паролей с высоким риском.
Устранение и разблокировка пользовательского риска в системе безпарольной аутентификации
- Требовать проверки и устранения администратором любого риска.
- Разблокируйте пользователя.
Связанный контент
- Требовать повторную проверку подлинности каждый раз
- Устранение рисков и разблокировка пользователей
- Общие политики условного доступа
- Условный доступ на основе риска входа
- Определите эффект с помощью режима условного доступа «только отчеты»
- Используйте режим только отчет для условного доступа, чтобы определить результаты новых политических решений