Поделиться через

Настройка политик условного доступа

  • Статья

Условный доступ — это защита регулируемого содержимого в системе путем контроля выполнения определенных условий перед предоставлением доступа к содержимому. Простейшие политики условного доступа — это конструкции типа "если-то". Если пользователь хочет получить доступ к ресурсу, то он должен выполнить какое-то действие. Например, менеджер по заработной плате хочет получить доступ к приложению заработной платы и должен выполнить многофакторную проверку подлинности (MFA) для этого.

С помощью условного доступа можно достичь двух основных целей:

  • Предоставить пользователям возможность работать в любом месте в любое время.
  • Защитить активы своей организации.

С помощью политик условного доступа можно применять нужные элементы управления доступом, чтобы в нужных случаях защищать организацию, но не мешать пользователям, когда слишком строгая защита не нужна.

Частота запроса пользователя на повторную проверку подлинности зависит от параметров конфигурации времени существования сеанса Microsoft Entra. Хотя запоминать учетные данные удобно, это также может сделать развертывания для корпоративных сценариев с использованием личных устройств менее безопасными. Чтобы защитить пользователей, вы можете убедиться, что клиент чаще запрашивает учетные данные многофакторной проверки подлинности Microsoft Entra. Для настройки этого поведения можно использовать частоту входа условного доступа.

Назначение политики условного доступа для Облачных компьютеров

Политики условного доступа не заданы для вашего клиента по умолчанию. Вы можете нацеливать политики ЦС на собственное приложение облачного компьютера, используя одну из следующих платформ:

Какой бы метод вы ни использовали, политики будут применены для портала конечного пользователя Облачного компьютера и подключения к Облачному компьютеру.

  1. Войдите в Центр администрирования Microsoft Intune и выберите Безопасность>конечных точек Условный доступ>Создать политику.

  2. Укажите имя для конкретной политики условного доступа.

  3. В разделе Пользователи выберите 0 выбранных пользователей и групп.

  4. На вкладке Включить выберите Выбрать пользователей и группы> , установите флажок Пользователи и группы> в разделе Выбрать, выберите 0 выбранных пользователей и групп.

  5. На открывающейся новой панели найдите и выберите конкретного пользователя или группу, для которого вы хотите нацелиться с помощью политики ЦС, а затем нажмите кнопку Выбрать.

  6. В разделе Целевые ресурсы выберите Не выбраны целевые ресурсы.

  7. На вкладке Включить выберите Выберите приложения> в разделе Выбрать, а затем — Нет.

  8. На панели Выбор найдите и выберите следующие приложения в зависимости от ресурсов, которые вы пытаетесь защитить:

    • Windows 365 (идентификатор приложения 0af06dc6-e4b5-4f28-818e-e78e62d137a5). Вы также можете найти это приложение по запросу "облако". Это приложение используется при получении списка ресурсов для пользователя и при запуске пользователем действий на своем облачном компьютере, таких как перезапуск.
    • Виртуальный рабочий стол Azure (идентификатор приложения 9cdead84-a844-4324-93f2-b2e6bb768d07). Это приложение также может отображаться как Виртуальный рабочий стол Windows. Это приложение используется для проверки подлинности в шлюзе Виртуальных рабочих столов Azure во время подключения и при отправке клиентом диагностических сведений в службу.
    • Удаленный рабочий стол Майкрософт (идентификатор приложения a4a365df-50f1-4397-bc59-1a1564b8bb9c) и windows Cloud Login (идентификатор приложения 270efc09-cd0d-444b-a71f-39af4910ec45). Эти приложения необходимы только при настройке единого входа в политике подготовки. Эти приложения используются для проверки подлинности пользователей на облачном компьютере.

    Рекомендуется сопоставлять политики условного доступа между этими приложениями. Это гарантирует, что политика применяется к порталу конечного пользователя облачного компьютера, подключению к шлюзу и облачному компьютеру для согласованного взаимодействия. Если вы хотите исключить приложения, необходимо также выбрать все эти приложения.

    Важно!

    После включения единого входа проверка подлинности на облачном компьютере использует приложение Microsoft Remote Desktop Entra ID. Предстоящее изменение приведет к переносу проверки подлинности в приложение Windows Cloud Login Entra ID. Чтобы обеспечить плавный переход, необходимо добавить оба приложения Entra ID в политики ЦС.

    Примечание.

    Если приложение Windows Cloud Login не отображается при настройке политики условного доступа, выполните следующие действия, чтобы создать приложение. Чтобы внести следующие изменения, необходимо иметь разрешения владельца или участника в подписке:

    1. Войдите на портал Azure.
    2. Выберите Подписки в списке Служб Azure.
    3. Выберите имя подписки.
    4. Выберите Поставщики ресурсов , а затем — Microsoft.DesktopVirtualization.
    5. Выберите Зарегистрировать в верхней части окна.

    После регистрации поставщика ресурсов приложение Windows Cloud Login отображается в конфигурации политики условного доступа при выборе приложений для применения политики. Если вы не используете Виртуальный рабочий стол Azure, вы можете отменить регистрацию поставщика ресурсов Microsoft.DesktopVirtualization после того, как приложение Windows Cloud Login будет доступно.

  9. Если вы хотите настроить политику, в разделе Предоставление выберите 0 выбранных элементов управления.

  10. На панели Предоставление выберите параметры предоставления или блокировки доступа, которые нужно применить ко всем объектам, назначенным этой политике >Выберите.

  11. Если вы хотите сначала протестировать политику, в разделе Включить политику выберите Только отчет. Если для него задано значение Вкл., политика будет применена сразу после ее создания.

  12. Выберите Создать, чтобы создать политику.

Список активных и неактивных политик можно просмотреть в представлении Политики в пользовательском интерфейсе условного доступа.

Настройка частоты входа

Политики частоты входа позволяют настроить частоту входа пользователей при доступе к ресурсам на основе Microsoft Entra. Это может помочь защитить среду и особенно важно для личных устройств, где локальная ОС может не требовать многофакторную проверку подлинности или не блокировать автоматически после бездействия. Пользователям предлагается пройти проверку подлинности только при запросе нового маркера доступа из идентификатора Microsoft Entra при доступе к ресурсу.

Политики частоты входа приводят к по-разному в зависимости от выбранного приложения Microsoft Entra:

Название приложения ИД приложения; Поведение
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 Принудительно применяет повторную проверку подлинности, когда пользователь получает свой список облачных компьютеров и когда пользователи инициируют действия на своем облачном компьютере, например перезапуск.
Виртуальный рабочий стол Azure 9cdead84-a844-4324-93f2-b2e6bb768d07 Принудительно выполняет повторную проверку подлинности, когда пользователь проходит проверку подлинности в шлюзе Виртуальных рабочих столов Azure во время подключения.
Удаленный рабочий стол (Майкрософт)

Вход в Windows Cloud		 a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45		 Принудительно выполняет повторную проверку подлинности при входе пользователя в Cloud PC при включении единого входа .

Оба приложения должны быть настроены вместе, так как клиенты скоро переключятся с приложения "Удаленный рабочий стол Майкрософт" на приложение "Вход в облако Windows" для проверки подлинности на облачном компьютере.

Чтобы настроить период времени, по истечении которого пользователю будет предложено повторно выполнить вход, выполните следующие действия:

  1. Откройте политику, созданную ранее.
  2. В разделе Сеанс выберите 0 выбранных элементов управления.
  3. В области Сеанс выберите Частота входа.
  4. Выберите Периодическая повторная проверку подлинности или Каждый раз.
    • Если выбран параметр Периодическая повторная проверка подлинности, задайте значение для периода времени, по истечении которого пользователю будет предложено выполнить вход еще раз при выполнении действия, требующего нового маркера доступа, а затем нажмите кнопку Выбрать. Например, если установить значение 1 , а единицу — Часы, требуется многофакторная проверка подлинности, если подключение запускается более чем через час после последней проверки подлинности пользователя.
    • Параметр Каждый раз в настоящее время доступен в предварительной версии и поддерживается только при применении к приложениям Microsoft Remote Desktop и Windows Cloud Login , если для облачных компьютеров включен единый вход. При выборе параметра Каждый раз пользователям будет предложено повторно пройти проверку подлинности при запуске нового подключения через период от 5 до 10 минут с момента последней проверки подлинности.
  5. В нижней части страницы нажмите кнопку Сохранить.

Примечание.

  • Повторная проверка подлинности происходит только в том случае, если пользователь должен пройти проверку подлинности в ресурсе и требуется новый маркер доступа. После установки подключения пользователям не будет предложено, даже если подключение длится дольше настроенной частоты входа.
  • Пользователи должны повторно пройти проверку подлинности в случае сбоя сети, в результате чего сеанс будет восстановлен после настройки частоты входа. Это может привести к более частым запросам проверки подлинности в нестабильных сетях.

Дальнейшие действия

Управление перенаправлениями устройств RDP