Общая политика условного доступа: защита регистрации сведений о безопасности

Защита времени и способа регистрации пользователей для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля возможна с помощью действий пользователей в политике условного доступа. Эта возможность доступна для тех организаций, которые включили объединенную регистрацию. Она позволяет организациям рассматривать процесс регистрации как обычное приложение в политике условного доступа и применить к его защите всю мощь условного доступа. Эта политика действует для пользователей, которые выполняют вход в приложение Microsoft Authenticator или пользуются функцией входа без пароля с помощью телефона.

Некоторые организации раньше использовали для защиты процесса регистрации политики надежного сетевого расположения или соответствия устройств. При добавлении временного прохода доступа в идентификаторе Microsoft Entra администраторы могут предоставлять пользователям ограниченные по времени учетные данные, которые позволяют им регистрироваться с любого устройства или расположения. Учетные данные временного секретного кода соответствуют требованиям условного доступа для многофакторной проверки подлинности.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики для защиты регистрации

Следующая политика применяется к конкретным пользователям, которые выполняют регистрацию с помощью объединенной регистрации. Согласно политике пользователи должны находиться в надежном расположении в сети, проходить многофакторную проверку подлинности или использовать учетные данные временного секретного кода.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите команду Создать политику.
4. В поле Имя введите имя политики. Например, Объединенная регистрация сведений о безопасности с поддержкой TAP.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

   1. В разделе Включить выберите Все пользователи.

      Предупреждение

      У пользователей должна быть включена объединенная регистрация.

   2. Найдите раздел Исключить.

      1. Выберите Все гости и внешние пользователи.

         Примечание.

         Временный секретный код не применяется для гостевых пользователей.

      2. Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).

6. В разделе "Действия пользователей целевых ресурсов>" проверка Зарегистрировать сведения о безопасности.
7. Выберите Условия>Расположения.
   1. Задайте для параметра Настроить значение Да.
      1. Включите Все расположения.
      2. Отключите Все надежные расположения.
8. Выберите Элементы управления доступом>Предоставить разрешение.
   1. Выберите Разрешить доступ с параметром Требовать многофакторной проверки подлинности.
   2. Выберите Выбрать.
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Теперь администраторам нужно выдавать новым пользователям учетные данные в формате временного секретного кода, чтобы они могли выполнить требования прохождения многофакторной проверки подлинности для регистрации. Действия по выполнению этой задачи приведены в разделе "Создание временного прохода доступа" в Центре администрирования Microsoft Entra.

Организации могут требовать другие элементы управления предоставлением или вместо многофакторной проверки подлинности на шаге 8a. Если вы выбираете несколько элементов управления доступом, проверьте правильность положения переключателя, который определяет, будут ли требоваться все эти элементы или один из них.

Регистрация гостевых пользователей

Для гостевых пользователей, которым для применения многофакторной проверки подлинности нужно зарегистрироваться в каталоге, можно заблокировать регистрацию вне доверенных расположений в сети по инструкциям из следующего руководства.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите команду Создать политику.
4. В поле Имя введите имя политики. Например, Объединенная регистрация сведений для защиты в доверенных сетях.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все гости и внешние пользователи.
6. В разделе "Действия пользователей целевых ресурсов>" проверка Зарегистрировать сведения о безопасности.
7. Выберите Условия>Расположения.
   1. Выберите Да.
   2. Включите Все расположения.
   3. Отключите Все надежные расположения.
8. Выберите Элементы управления доступом>Предоставить разрешение.
   1. Выберите Заблокировать доступ.
   2. Затем щелкните Выбрать.
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Связанный контент

• Встроенные роли Microsoft Entra
• Шаблоны условного доступа
• Установка требования повторного подтверждения пользователями сведений о проверке подлинности