Настройка условий использования Microsoft Entra с условным доступом

Условия использования Microsoft Entra предоставляют простой способ предоставления пользователям сведений перед предоставлением доступа к ресурсам. В этом руководстве показано, как настроить условия использования Microsoft Entra с политиками условного доступа, чтобы требовать принятия условий использования перед доступом к приложениям и данным. Эти термины использования могут быть обобщены или зависят от групп или пользователей и предоставляются на нескольких языках. Администраторы могут определить, кто имеет или не принял условия использования с предоставленными журналами или API.

Предварительные условия

Чтобы использовать и настраивать политики использования Microsoft Entra, необходимо:

• Лицензии Microsoft Entra ID P1.
• Администраторам, которым требуется читать условия использования и политики условного доступа, требуется по крайней мере назначенная роль читателя безопасности .
• Администраторам, которым необходимо создать или изменить условия использования и политики условного доступа, требуется по крайней мере назначенная роль администратора условного доступа .
• Условия использования документа в формате PDF. PDF-файл может быть любым контентом, который вы решили отобразить. Для поддержки пользователей на мобильных устройствах в PDF-файлах рекомендуется использовать 24-й размер шрифта.

Лимиты услуг

Вы можете добавить не более 40 условий для каждого клиента.

Добавление условий использования

После завершения документа политики использования используйте следующую процедуру, чтобы добавить ее.

1. Войдите в Центр администрирования Microsoft Entra по крайней мере в качестве Администратора условного доступа.

2. Перейдите к Entra ID>условного доступа>условиям использования.

3. Выберите, новые термины.

   

4. В поле "Имя" введите имя политики использования.

5. Чтобы выбрать документ "Условия использования", найдите и откройте файл PDF с окончательными условиями использования.

6. Выберите язык для документа с условиями использования. Параметр языка позволяет отправлять несколько условий использования документов, каждый из которых имеет другой язык. Версия политики использования, которую видит конечный пользователь, зависит от своих настроек браузера.

7. В поле отображаемого имени введите название, которое пользователи видят при входе.

8. Чтобы конечные пользователи ознакомились с политикой использования перед их принятием, установите параметр Требовать расширения условий использования в положение Вкл.

9. Чтобы требовать от конечных пользователей принятия политики использования на каждом устройстве, к которому они получают доступ, задайте требование согласия пользователей на каждом устройстве в положение включено. Пользователям может потребоваться установить другие приложения, если этот параметр включен. Дополнительные сведения см. в разделе "Условия использования для каждого устройства".

10. Если вы хотите, чтобы срок действия согласия на условия использования завершался по расписанию, установите для параметра Срок действия согласия значение Включено. Когда этот параметр включен, отображаются еще два параметра расписания.

    1. Используйте параметрыначального срока действия и частоты, чтобы указать расписание истечения срока действия политики. В следующей таблице показан результат нескольких примеров настроек.

       Начало истечения срока действия	Периодичность	Результат
       Сегодняшняя дата	Ежемесячно	Начиная с сегодняшнего дня, пользователи должны принимать условия использования, а затем повторно принимать их каждый месяц.
       Дата в будущем	Ежемесячно	Начиная с сегодняшнего дня, пользователи должны принимать условия использования. Когда наступает будущая дата, срок действия согласий истекает, и затем пользователи должны снова принимать их каждый месяц.

       Например, если начало срока действия 1 января и периодичность ежемесячно, это пример того, как могут истекать сроки действия для двух пользователей.

       Пользователь	Дата первого принятия	Дата первого истечения срока действия	Дата второго истечения срока действия	Дата третьего истечения срока действия
       Алиса	1 янв	1 февраля	1 мар	1 апреля
       Борис	15 янв	1 февраля	1 мар	1 апреля

    2. Используйте параметр "Длительность" до повторного принятия (дней), чтобы указать количество дней до того, как пользователь должен повторно принять условия использования. Этот параметр позволяет пользователям следовать собственному расписанию. Например, если задать длительность 30 дней, в этом примере срок действия может истекать для двух пользователей.

       Пользователь	Дата первого принятия	Дата первого истечения срока действия	Дата второго истечения срока действия	Дата третьего истечения срока действия
       Алиса	1 янв	31 янв	2 марта	1 апреля
       Борис	15 янв	14 февраля	16 мар	15 апреля

       Параметры Истечение срока действия согласия и Период до повторного принятия (дни) можно использовать вместе, но обычно выбирают один из них.

       Внимание

       Пользователи, у которых истекает срок согласия, запрашиваются для повторного принятия условий только в том случае, если истек их сеанс, независимо от используемого параметра: истекает срок действия согласия или длительность до повторного принятия (дней).

11. В разделе "Условный доступ" используйте список шаблонов политики условного доступа , чтобы выбрать шаблон для применения политики использования.

    Шаблон	Описание
    Настраиваемая политика	Выберите пользователей, группы и приложения, к которым применяется политика использования.
    Создание политики условного доступа позже	Эта политика использования отображается в списке элементов управления предоставлением при создании политики условного доступа.

    Внимание

    Элементы управления политикой условного доступа (включая политики использования) не поддерживают применение принудительных мер к учетным записям служб. Рекомендуется исключить все учетные записи служб из политики условного доступа.

    Пользовательские политики условного доступа реализуют детализированные условия использования, вплоть до конкретного облачного приложения или группы пользователей. Дополнительные сведения см. в кратком руководстве. Требование принятия условий использования перед доступом к облачным приложениям.

12. Нажмите кнопку "Создать".

    Если выбран настраиваемый шаблон условного доступа, откроется новый экран, где можно будет создать настраиваемую политику условного доступа. Теперь вы увидите новые условия использования.

Отдельные условия использования для каждого устройства

Параметр "Требовать согласия пользователей на каждом устройстве" позволяет вам обязать конечных пользователей принимать условия вашей политики использования на каждом устройстве, с которого они получают доступ. Устройство конечного пользователя должно быть зарегистрировано в Microsoft Entra ID. Если устройство присоединено, то его идентификатор используется для принудительного применения условий использования на каждом устройстве. Их опыт зависит от разрешений на присоединение к устройствам и используемой платформы или программного обеспечения. Для получения дополнительной информации см. раздел "Удостоверение устройства" в Microsoft Entra ID.

Условия использования для каждого устройства имеют следующие ограничения:

• Приложение Microsoft Intune для регистрации Application ID: d4ebce55-015a-49b5-a083-c84d1797ae8c не поддерживается. Убедитесь, что оно исключено из любой политики условного доступа, которая требует применения условий использования.
• Пользователи Microsoft Entra B2B не поддерживаются.

Изменения политики

Политики условного доступа вступают в силу немедленно. Когда это принудительное применение произойдет, администратор может увидеть сообщения об ошибках в Центре администрирования Microsoft Entra. Администратору необходимо выйти и войти для удовлетворения требований новой политики.

Изменение условий использования

Можно изменить некоторые сведения в условиях использования, но не существующий документ. Ниже описано, как изменить эти сведения.

1. Войдите в Центр администрирования Microsoft Entra по крайней мере в качестве Администратора условного доступа.

2. Перейдите к Entra ID>условного доступа>условиям использования.

3. Выберите условия использования, которые нужно изменить.

4. Выберите "Изменить условия".

5. На панели "Изменить условия использования" можно изменить следующие параметры:

   • Имя — внутреннее название условий использования, которое не известно конечным пользователям.
   • Отображаемое имя — это имя, которое пользователи могут увидеть в условиях использования.
   • Требовать, чтобы пользователи открывали условия использования. При установке этого параметра в положение Включено конечному пользователю придется развернуть документ политик использования перед его принятием.
   • Вы можете обновить существующие условия использования документа.
   • Вы можете добавить язык в существующие условия использования.

6. После завершения нажмите кнопку "Сохранить ", чтобы сохранить изменения.

Если вы хотите изменить другие параметры, необходимо создать новую политику условий использования.

Обновление версии или PDF существующего условия использования

1. Войдите в Центр администрирования Microsoft Entra по крайней мере в качестве Администратора условного доступа.

2. Перейдите к Entra ID>условного доступа>условиям использования.

3. Выберите условия использования, которые нужно изменить.

4. Выберите "Изменить условия".

5. Для языка, который вы хотите обновить новую версию, выберите "Обновить " в столбце действия

6. В области справа загрузите pdf-файл для обновленной версии.

7. Есть также переключатель Требовать повторное согласие, если вы хотите, чтобы пользователи приняли эту новую версию при следующем входе.

   • Если требуется, чтобы пользователи повторно приняли новую версию, в следующий раз, когда они попытаются получить доступ к ресурсу, определенному в политике условного доступа, им будет предложено принять эту новую версию.
   • Если ваши пользователи не обязаны повторно принимать условия, их предыдущее согласие остается в силе, и только новые пользователи, которые не дали согласие ранее или чье согласие истекает, увидят новую версию. До истечения срока действия сеанса пользователям не требуется повторно принимать новые условия использования. Если вы хотите обеспечить повторное принятие, удалите и воссоздайте или создайте новые условия использования специально для этого случая.

   

8. После отправки нового PDF-файла и принятия решения о его принятии нажмите кнопку "Добавить" в нижней части панели.

9. Вы увидите самую последнюю версию в столбце Document.

Добавление языка

В следующей процедуре описывается, как добавить язык в условия использования.

1. Войдите в Центр администрирования Microsoft Entra по крайней мере в качестве Администратора условного доступа.

2. Перейдите к Entra ID>условного доступа>условиям использования.

3. Выберите условия использования, которые нужно изменить.

4. Выберите "Изменить условия".

5. Выберите "Добавить язык " в нижней части страницы.

6. В области "Добавление условий использования" отправьте локализованный PDF-файл и выберите язык.

   

7. Выберите "Добавить язык".

8. Нажмите кнопку "Сохранить"

9. Нажмите кнопку "Добавить ", чтобы добавить язык.

Просмотр предыдущих версий условий использования

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Читателя по безопасности.
2. Перейдите к Entra ID>условного доступа>условиям использования.
3. Выберите условия политики использования, для которых необходимо просмотреть журнал версий.
4. Выберите языки и журнал версий.
5. Выберите "Просмотреть предыдущие версии".
6. Чтобы скачать эту версию, можно выбрать имя документа.

Просмотр отчета о тех, кто принял или отклонил условия

В колонке "Условия использования" отображается количество пользователей, которые приняли и отказались. Имена и количество пользователей, которые приняли или отклонили условия, хранятся в течение жизненного цикла условий использования.

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум Читателя по безопасности.

2. Перейдите к Entra ID>условного доступа>условиям использования.

   

3. Для политики использования выберите числа в разделе "Принято " или " Отклонено ", чтобы просмотреть текущее состояние для пользователей.

   1. По умолчанию на следующей странице для каждого из пользователей отображается текущее состояние принятия условий использования.
   2. Если вы хотите просмотреть предыдущие события согласия, можно выбрать "Все " в раскрывающемся списке "Текущее состояние ". Теперь вы можете видеть события каждого пользователя с подробным описанием каждой версии и произошедшего.
   3. Кроме того, можно выбрать определенную версию в раскрывающемся списке "Версия ", чтобы узнать, кто принял эту конкретную версию.

4. Чтобы просмотреть журнал для отдельного пользователя, выберите многоточие (...) и просмотрите журнал. На панели истории просмотров отображается история всех принятий, отклонений и истечений.

Пользователь принимает удаление записи

Записи о принятии пользователей удаляются при:

• Администратор явно удаляет условия использования.
  • Когда это изменение происходит, все записи о принятии, связанные с определенными условиями использования, также удаляются.
• Клиент теряет лицензии Microsoft Entra ID P1 или P2.
• Арендатор удалён.

Просмотр журналов аудита Microsoft Entra

Если вы хотите просмотреть больше действий, условия использования Microsoft Entra включают журналы аудита. Каждое согласие пользователя активирует событие в журналах аудита, хранящихся в течение 30 дней. Эти журналы можно просмотреть на портале или загрузить в виде CSV-файла.

Чтобы приступить к работе с журналами аудита Microsoft Entra, используйте следующую процедуру:

1. Войдите в Центр администрирования Microsoft Entra по крайней мере как пользователь с правами чтения отчетов.

2. Перейдите к Entra ID>условного доступа>условиям использования.

3. Выберите условия использования.

4. Выберите просмотр журналов аудита.

5. На экране журналов аудита Microsoft Entra можно отфильтровать сведения с помощью предоставленных списков для целевых сведений журнала аудита.

   Вы также можете выбрать "Скачать" , чтобы скачать сведения в файле .csv для локального использования.

   

   Если щелкнуть журнал, отобразится область с дополнительными сведениями о действиях.

   

Как условия использования выглядят для пользователей

После создания и применения политики использования пользователи, на которых распространяется действие, видят следующий экран во время входа.

Пользователи могут просматривать условия использования и при необходимости использовать кнопки для увеличения и уменьшения масштаба. Пользователи должны принять условия использования только один раз, и они не увидят их снова при последующих входах в систему.

Каким образом пользователи могут просмотреть свои условия использования

Пользователи могут просматривать и видеть условия использования, которые они приняли, следуя следующей процедуре.

1. Выполните вход в https://myaccount.microsoft.com/.
2. Выберите параметры и конфиденциальность.
3. Выберите "Конфиденциальность".
4. В разделе "Уведомление организации" выберите "Вид " рядом с условиями использования, которые требуется просмотреть.

Удаление условий использования

Можно удалить старые условия использования следующим образом.

1. Войдите в Центр администрирования Microsoft Entra по крайней мере в качестве Администратора условного доступа.
2. Перейдите к Entra ID>условного доступа>условиям использования.
3. Выберите условия использования, которые нужно удалить.
4. Выберите "Удалить условия".
5. В появившемся сообщении с запросом на продолжение нажмите кнопку "Да".
   1. Вы больше не должны видеть ваши условия использования.

Поддержка платформы и браузера

Условия использования Microsoft Entra предназначены для оптимальной работы на следующих платформах и браузерах.

Поддерживаемые настольные и мобильные операционные системы (последние стабильные версии):

• Виндоус
• macOS
• Линукс
• Андроид
• iOS

Поддерживаемые современные веб-браузеры (последние стабильные версии):

• Microsoft Edge
• Mozilla Firefox
• Google Chrome
• Сафари

Функциональные возможности других конфигураций

Пользователи в операционных системах или браузерах, не перечисленных выше, или пользователи, использующие более старые версии поддерживаемых операционных систем или браузеров, могут по-прежнему принимать условия использования во время входа. Некоторые функции, визуализация или производительность могут снизиться при неподдерживаемых конфигурациях. Мы не активно тестируем или не предоставляем поддержку операционных систем и браузеров, не перечисленных как поддерживаемые. Это включает в себя, но не ограничивается браузерами на основе устаревших подсистем, таких как EdgeHTML и Trident/MSHTML.

Настольные и мобильные приложения с веб-интерфейсами

Приложения, использующие веб-представления на основе последних стабильных версий современных обработчиков браузеров HTML5 (например, Blink, Gecko или WebKit), обычно позволяют пользователям принимать условия использования во время входа. Тем не менее, могут возникнуть проблемы с некоторыми функциями, визуализацией или производительностью. Мы не активно тестируем или предлагаем поддержку для всех конкретных реализаций веб-представления.

Возникли проблемы?

Если возникают проблемы с принятием условий использования на конкретной операционной системе, в браузере, движке браузера или реализации веб-представления в приложении, обратитесь в службу поддержки. Мы оцениваем возможность поддержки в каждом конкретном случае.

гости B2B.

С помощью условного доступа и условий использования вы можете применять политику непосредственно к гостевым пользователям B2B. Во время потока активации приглашения пользователю предоставляются условия использования.

Политики использования отображаются только в том случае, если у пользователя есть гостевая учетная запись в идентификаторе Microsoft Entra. В настоящее время SharePoint Online имеет внешний интерфейс получателя общего доступа для предоставления общего доступа к документу или папке, которая не требует, чтобы у пользователя была гостевая учетная запись. В этом случае условия использования не отображаются.

Azure Information Protection (защита информации в Azure)

Можно настроить политику условного доступа для приложения Azure Information Protection и требовать принятия условий использования, когда пользователь открывает защищенный документ. Эта конфигурация активирует политику использования перед первым доступом пользователя к защищенному документу.

Регистрация в Microsoft Intune

Можно настроить политику условного доступа для приложения Microsoft Intune Enrollment и требовать принятия условий использования перед регистрацией устройства в Intune. Дополнительные сведения см. в блоге о выборе подходящих условий для вашей организации.

Часто задаваемые вопросы

Почему для моих пользователей отображаются два варианта входа? Одно прерывание и один успех.
Ответ. Администраторы могут видеть два входа, когда пользователи еще не приняли политику использования, этот сценарий является конструктивным. Эти записи имеют общий идентификатор корреляции.

Одна авторизация прерывается, так как пользователь не может предоставить подтверждение принятия условий использования в своем токене. Поле дополнительных сведений в журнале входа содержит следующее сообщение:

Пользователь должен удовлетворять дополнительные требования перед завершением проверки подлинности и перенаправляться на другую страницу (например, условия использования или сторонний поставщик MFA). Сам по себе этот код не указывает на то, что пользователь не смог войти в систему. Журналы авторизации могут указывать на то, что это испытание успешно пройдено или завершилось ошибкой.

Если пользователь принимает условия политики использования, второй вход будет успешным.

Вопрос. Не удается войти с помощью PowerShell при включении условий использования.
О. Условия использования могут быть приняты только при проверке подлинности в интерактивном режиме.

Вопрос. Как узнать, когда или если пользователь принял условия использования?
Ответ. В колонке "Условия использования" выберите номер в разделе "Принято". Вы также можете просмотреть или искать принятую активность в журналах аудита Microsoft Entra. Дополнительные сведения см. в разделе "Просмотр отчета о том, кто принял и отказался" и просмотр журналов аудита Microsoft Entra.

Вопрос. Сколько времени хранится информация?
Ответ: Количество пользователей включено в отчет об условиях использования, и данные о том, кто принял или отклонил условия, хранятся на весь срок действия условий использования. Журналы аудита Microsoft Entra хранятся в течение 30 дней.

Вопрос: Почему в обзоре сведений об условиях использования отображается другое число согласий по сравнению с журналами аудита Microsoft Entra?
Данные обзора условий использования хранятся в течение всего срока действия политики условий использования. Журналы аудита Microsoft Entra хранятся в течение 30 дней.

Вопрос. Почему я вижу разное количество согласий в обзоре сведений об условиях использования по сравнению с экспортированным CSV-отчетом?
Ответ. Обзор сведений об использовании отражает агрегированные принятия текущей версии политики (обновляется один раз в день). Если включена функция истечения срока действия или обновляются условия использования (с обязательным требованием повторного принятия), то счетчик на обзоре сведений сбрасывается, так как принятия истекают, и эта страница показывает количество для текущей версии. Все журналы принятия по-прежнему фиксируются в CSV-отчете.

Вопрос. Если гиперссылки находятся в формате PDF-документа политики использования, пользователи смогут щелкнуть их?
О. Да, конечные пользователи смогут открывать гиперссылки на другие страницы, но ссылки на разделы в документе не поддерживаются. Кроме того, гиперссылки в PDF файлах с условиями использования не работают при доступе с портала Microsoft Entra My Apps/MyAccount.

Вопрос. Может ли политика использования поддерживать несколько языков?
Ответ. Да. Администратор может отправить несколько PDF-документов и пометить эти документы соответствующим языком. Когда пользователь выполняет вход, мы определяем языковые параметры его браузера и отображаем соответствующий документ. Если совпадений нет, отображается документ по умолчанию, которым является первый переданный документ. Настольные приложения Windows, использующие диспетчер веб-учетных записей, такие как Microsoft Teams, будут использовать язык операционной системы для терминов, а не настройки языка конкретного приложения.

Вопрос: Когда вступают в силу условия использования?
В ходе процесса входа в систему активируется политика использования.

Вопрос. На какие приложения можно нацелить политику условий использования?
О. Можно создать политику условного доступа для корпоративных приложений, использующих современные методы проверки подлинности. Дополнительные сведения см. в корпоративных приложениях.

Вопрос. Можно ли добавить несколько политик использования для конкретного пользователя или приложения?
О. Да, путем создания нескольких политик условного доступа, предназначенных для этих групп или приложений. Если пользователь попадает в область нескольких политик использования, он должен принимать одну политику одновременно.

Вопрос. Что произойдет, если пользователь отклоняет условия использования?
О. Пользователь не сможет получить доступ к приложению. Чтобы получить доступ, ему необходимо будет повторно войти в систему и принять условия.

Вопрос. Можно ли отменить политику использования, которая была принята ранее?
Ответ. Вы можете просмотреть ранее принятые условия использования, но в настоящее время нет способа отменить принятие.

Вопрос. Что произойдет, если я также использую условия Intune?
Ответ. Если вы настраиваете условия использования Microsoft Entra и Intune, пользователь должен принять оба условия. Дополнительные сведения см. в записи блога вашей организации «Выбор подходящего решения по выбору терминов».

Вопрос. Какие конечные точки использует сервис условий использования для аутентификации?
Ответ. Условия использования используют следующие конечные точки для проверки подлинности: https://tokenprovider.termsofuse.identitygovernance.azure.com, https://myaccount.microsoft.comи https://account.activedirectory.windowsazure.com. Если у вашей организации есть список разрешенных URL-адресов для регистрации, необходимо добавить эти конечные точки в список разрешений вместе с конечными точками Microsoft Entra для входа.

Связанный контент

• Пример политики для принятия условий использования перед доступом к порталам администрирования Майкрософт