Условный доступ. УсловияConditional Access: Conditions

В рамках политики условного доступа администратор может использовать сигналы из таких условий, как риск, платформа устройства или расположение, чтобы усовершенствовать свои решения по политике.Within a Conditional Access policy, an administrator can make use of signals from conditions like risk, device platform, or location to enhance their policy decisions.

Определение политики условного доступа и выбор облачных приложенийDefine a Conditional Access policy and specify conditions

Для создания детализированных и специальных политик условного доступа можно сочетать несколько условий.Multiple conditions can be combined to create fine-grained and specific Conditional Access policies.

Например, при доступе к конфиденциальному приложению администратор может учитывать сведения о рисках при входе, связанные с защитой идентификации и расположением, в дополнение к другим элементам управления, таким как многофакторная проверка подлинности.For example, when accessing a sensitive application an administrator may factor sign-in risk information from Identity Protection and location into their access decision in addition to other controls like multi-factor authentication.

Риск при входеSign-in risk

Для клиентов, имеющих доступ к защите идентификации, риск входа можно оценить как часть политики условного доступа.For customers with access to Identity Protection, sign-in risk can be evaluated as part of a Conditional Access policy. Риск при входе указывает на вероятность того, что данный запрос проверки подлинности отправлен не владельцем удостоверения.Sign-in risk represents the probability that a given authentication request isn't authorized by the identity owner. Дополнительные сведения о риске при входе можно найти в статьях Что такое риск и Как настроить и включить политики риска.More information about sign-in risk can be found in the articles, What is risk and How To: Configure and enable risk policies.

Риск пользователяUser risk

Для клиентов, имеющих доступ к Защите идентификации, риск для пользователей можно оценить как часть политики условного доступа.For customers with access to Identity Protection, user risk can be evaluated as part of a Conditional Access policy. Риск для пользователя представляет вероятность компрометации данного удостоверения или учетной записи.User risk represents the probability that a given identity or account is compromised. Дополнительные сведения о риске для пользователей можно найти в статьях Что такое риск и Как настроить и включить политики риска.More information about user risk can be found in the articles, What is risk and How To: Configure and enable risk policies.

Платформы устройствDevice platforms

Платформа устройства характеризуется операционной системой, работающей на устройстве.The device platform is characterized by the operating system that runs on a device. Azure AD определяет платформу с помощью сведений, предоставляемых устройством, например строками агента пользователя.Azure AD identifies the platform by using information provided by the device, such as user agent strings. Так как строки агента пользователя можно изменять, эти сведения не проверяются.Since user agent strings can be modified, this information is unverified. Платформа устройства должна использоваться совместно с политиками соответствия устройств Microsoft Intune или в составе оператора блокировки.Device platform should be used in concert with Microsoft Intune device compliance policies or as part of a block statement. По умолчанию политика применяется ко всем платформам устройств.The default is to apply to all device platforms.

Условный доступ Azure AD поддерживает следующие платформы устройств:Azure AD Conditional Access supports the following device platforms:

  • AndroidAndroid
  • iOSiOS
  • Windows PhoneWindows Phone
  • WindowsWindows
  • macOSmacOS

Если вы блокируете устаревшую проверку подлинности с помощью условия Другие клиенты, можно также задать условие платформы устройства.If you block legacy authentication using the Other clients condition, you can also set the device platform condition.

Важно!

Корпорация Майкрософт рекомендует использовать политику условного доступа для неподдерживаемых платформ устройств.Microsoft recommends that you have a Conditional Access policy for unsupported device platforms. Например, если вы хотите заблокировать доступ к корпоративным ресурсам с Linux или других неподдерживаемых клиентов, следует настроить политику с условием платформы устройства, которое включает любое устройство и исключает поддерживаемые платформы устройств, а также предоставить набор элементов управления для блокировки доступа.As an example, if you want to block access to your corporate resources from Linux or any other unsupported clients, you should configure a policy with a Device platforms condition that includes any device and excludes supported device platforms and Grant control set to Block access.

РасположенияLocations

При настройке расположения в качестве условия организации могут включать или исключать расположения.When configuring location as a condition, organizations can choose to include or exclude locations. Эти именованные расположения могут включать сведения об общедоступной сети IPv4, стране или регионе или даже неизвестные области, которые не соответствуют определенным странам или регионам.These named locations may include the public IPv4 network information, country or region, or even unknown areas that don't map to specific countries or regions. Только диапазоны IP-адресов можно пометить как надежное расположение.Only IP ranges can be marked as a trusted location.

Параметр любого расположения включает все IP-адреса в Интернете, не настроенные как именованные расположения.When including any location, this option includes any IP address on the internet not just configured named locations. При выборе любого расположения администраторы могут исключить все доверенные или выбранные расположения.When selecting any location, administrators can choose to exclude all trusted or selected locations.

Например, некоторые организации могут не требовать многофакторной проверки подлинности, когда пользователи подключаются к сети в надежном расположении, например из их центрального офиса.For example, some organizations may choose to not require multi-factor authentication when their users are connected to the network in a trusted location such as their physical headquarters. Администраторы могут создать политику, включающую в себя любое расположение, но исключить выбранные расположения для сетей центрального офиса.Administrators could create a policy that includes any location but excludes the selected locations for their headquarters networks.

Дополнительные сведения о расположении можно найти в статье Каковы условия расположения в условном доступе Azure Active Directory.More information about locations can be found in the article, What is the location condition in Azure Active Directory Conditional Access.

Клиентские приложенияClient apps

По умолчанию все вновь созданные политики условного доступа будут применяться ко всем типам клиентских приложений, даже если условие клиентских приложений не настроено.By default, all newly created Conditional Access policies will apply to all client app types even if the client apps condition is not configured.

Примечание

Поведение условия клиентских приложений было обновлено в августе 2020 г.The behavior of the client apps condition was updated in August 2020. При наличии существующих политик условного доступа они останутся без изменений.If you have existing Conditional Access policies, they will remain unchanged. Однако если щелкнуть существующую политику, вы увидите, что переключатель настройки был удален и выбраны клиентские приложения, к которым применяется политика.However, if you click on an existing policy, the configure toggle has been removed and the client apps the policy applies to are selected.

Важно!

Операции входа от устаревших клиентов проверки подлинности не поддерживают MFA и не передают сведения о состоянии устройства в Azure AD, поэтому они будут заблокированы элементами управления условным доступом, например, требуют использования MFA или соответствующих требованиям устройств.Sign-ins from legacy authentication clients don’t support MFA and don’t pass device state information to Azure AD, so they will be blocked by Conditional Access grant controls, like requiring MFA or compliant devices. Если у вас есть учетные записи, которые должны использовать устаревшую проверку подлинности, необходимо либо исключить эти учетные записи из политики, либо настроить политику на применение только к современным клиентам проверки подлинности.If you have accounts which must use legacy authentication, you must either exclude those accounts from the policy, or configure the policy to only apply to modern authentication clients.

Если для переключателя Настроить задано значение Да, он применяется к отмеченным элементам, если он имеет значение Нет, он применяется ко всем клиентским приложениям, включая современные и устаревшие клиенты проверки подлинности.The Configure toggle when set to Yes applies to checked items, when set to No it applies to all client apps, including modern and legacy authentication clients. Этот переключатель не отображается в политиках, созданных до августа 2020 г.This toggle does not appear in policies created before August 2020.

  • Клиенты с современной проверкой подлинностиModern authentication clients
    • БраузерBrowser
      • К ним относятся веб-приложения, использующие такие протоколы, как SAML, WS-Federation, OpenID Connect или службы, зарегистрированные как конфиденциальный клиент OAuth.These include web-based applications that use protocols like SAML, WS-Federation, OpenID Connect, or services registered as an OAuth confidential client.
    • Мобильные приложения и настольные клиентыMobile apps and desktop clients
      • Этот вариант включает такие приложения, как приложения Office для настольных компьютеров и телефонов.This option includes applications like the Office desktop and phone applications.
  • Клиенты с устаревшими версиями проверки подлинностиLegacy authentication clients
    • Клиенты Exchange ActiveSyncExchange ActiveSync clients
      • Сюда входят все варианты использования протокола Exchange ActiveSync (EAS).This includes all use of the Exchange ActiveSync (EAS) protocol.
      • Когда политика блокирует использование Exchange ActiveSync, затронутый пользователь получит одно сообщение электронной почты в карантине.When policy blocks the use of Exchange ActiveSync the affected user will receive a single quarantine email. Это сообщение электронной почты с информацией о том, почему они заблокированы, и инструкциями по исправлению, если это возможно.This email with provide information on why they are blocked and include remediation instructions if able.
      • Администраторы могут применять политику только к поддерживаемым платформам (например, iOS, Android и Windows) с помощью API-интерфейса условного доступа MS Graph.Administrators can apply policy only to supported platforms (such as iOS, Android, and Windows) through the Conditional Access MS Graph API.
    • Другие клиентыOther clients
      • Этот параметр включает клиенты, использующие стандартные или устаревшие протоколы проверки подлинности, которые не поддерживают современную проверку подлинности.This option includes clients that use basic/legacy authentication protocols that do not support modern authentication.
        • SMTP с проверкой подлинности — используется клиентами POP и IMAP для отправки сообщений электронной почты.Authenticated SMTP - Used by POP and IMAP client's to send email messages.
        • Автообнаружение — используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.Autodiscover - Used by Outlook and EAS clients to find and connect to mailboxes in Exchange Online.
        • PowerShell в Exchange Online — используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell.Exchange Online PowerShell - Used to connect to Exchange Online with remote PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online.If you block Basic authentication for Exchange Online PowerShell, you need to use the Exchange Online PowerShell Module to connect. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.For instructions, see Connect to Exchange Online PowerShell using multi-factor authentication.
        • Веб-службы Exchange (EWS) — программный интерфейс, используемый Outlook, Outlook для Mac и сторонними приложениями.Exchange Web Services (EWS) - A programming interface that's used by Outlook, Outlook for Mac, and third-party apps.
        • IMAP4 — используется клиентами электронной почты IMAP.IMAP4 - Used by IMAP email clients.
        • MAPI через HTTP (MAPI/HTTP) — используется в Outlook 2010 и более поздних версиях.MAPI over HTTP (MAPI/HTTP) - Used by Outlook 2010 and later.
        • Автономная адресная книга (OAB) — копия коллекций списков адресов, которые скачиваются и используются в Outlook.Offline Address Book (OAB) - A copy of address list collections that are downloaded and used by Outlook.
        • Мобильный Outlook (протокол RPC через HTTP) — используется в Outlook 2016 и более ранних версиях.Outlook Anywhere (RPC over HTTP) - Used by Outlook 2016 and earlier.
        • Служба Outlook — используется приложениями "Почта" и "Календарь" для Windows 10.Outlook Service - Used by the Mail and Calendar app for Windows 10.
        • POP3 — используется клиентами электронной почты POP.POP3 - Used by POP email clients.
        • Веб-службы отчетов — используются для получения данных отчетов в Exchange Online.Reporting Web Services - Used to retrieve report data in Exchange Online.

Эти условия обычно используются, если необходимо управляемое устройство, блокирование устаревшей проверки подлинности и блокирование веб-приложений, но при этом нужно разрешать мобильные или классические приложения.These conditions are commonly used when requiring a managed device, blocking legacy authentication, and blocking web applications but allowing mobile or desktop apps.

Поддерживаемые браузерыSupported browsers

Этот параметр работает со всеми браузерами.This setting works with all browsers. Но чтобы выполнить условия политики устройств, например требование соответствия, поддерживаются следующие операционные системы и браузеры:However, to satisfy a device policy, like a compliant device requirement, the following operating systems and browsers are supported:

OSOS БраузерыBrowsers
Windows 10Windows 10 Microsoft Edge, Internet Explorer, ChromeMicrosoft Edge, Internet Explorer, Chrome
Windows 8, Windows 8.1Windows 8 / 8.1 Internet Explorer, ChromeInternet Explorer, Chrome
Windows 7Windows 7 Internet Explorer, ChromeInternet Explorer, Chrome
iOSiOS Microsoft ребро, Intune Managed Browser, SafariEdgeMicrosoft Edge, Intune Managed Browser, Safari
AndroidAndroid Microsoft Edge, Intune Managed Browser, ChromeMicrosoft Edge, Intune Managed Browser, Chrome
Windows PhoneWindows Phone Microsoft Edge, Internet ExplorerMicrosoft Edge, Internet Explorer
Windows Server 2019Windows Server 2019 Microsoft Edge, Internet Explorer, ChromeMicrosoft Edge, Internet Explorer, Chrome
Windows Server 2016Windows Server 2016 Internet ExplorerInternet Explorer
Windows Server 2012 R2Windows Server 2012 R2 Internet ExplorerInternet Explorer
Windows Server 2008 R2Windows Server 2008 R2 Internet ExplorerInternet Explorer
macOSmacOS Chrome, SafariChrome, Safari

Примечание

Edge 85+ требует, чтобы пользователь вошел в браузер для правильной передачи удостоверения устройства.Edge 85+ requires the user to be signed in to the browser to properly pass device identity. В противном случае он ведет себя как Chrome без расширения "Учетные записи".Otherwise, it behaves like Chrome without the accounts extension. Этот вход может не выполняться автоматически в гибридном сценарии присоединения к Azure AD.This sign-in might not occur automatically in a Hybrid Azure AD Join scenario.

Почему в браузере отображается запрос на сертификатWhy do I see a certificate prompt in the browser

В Windows 7, iOS, Android и macOS Azure AD определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства в Azure AD.On Windows 7, iOS, Android, and macOS Azure AD identifies the device using a client certificate that is provisioned when the device is registered with Azure AD. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат.When a user first signs in through the browser the user is prompted to select the certificate. Конечный пользователь должен выбрать этот сертификат, прежде чем работать с браузером.The user must select this certificate before using the browser.

Поддержка ChromeChrome support

Для поддержки Chrome в Windows 10 Creators Update (версия 1703) или более поздней версии установите это расширение Windows 10 Accounts.For Chrome support in Windows 10 Creators Update (version 1703) or later, install the Windows 10 Accounts extension. Это расширение требуется, если политика условного доступа требует сведений, относящихся к устройству.This extension is required when a Conditional Access policy requires device-specific details.

Чтобы автоматически развернуть это расширение в браузере Chrome, создайте следующий раздел реестра:To automatically deploy this extension to Chrome browsers, create the following registry key:

  • Путь HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelistPath HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Имя № 1Name 1
  • Тип REG_SZ (строка)Type REG_SZ (String)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crxData ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Для поддержки Chrome в Windows 8.1 и Windows 7 создайте следующий раздел реестра:For Chrome support in Windows 8.1 and 7, create the following registry key:

  • Путь HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrlsPath HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Имя № 1Name 1
  • Тип REG_SZ (строка)Type REG_SZ (String)
  • Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Эти браузеры поддерживают аутентификацию устройств, позволяя идентифицировать устройство и проверить, соответствует ли оно политике.These browsers support device authentication, allowing the device to be identified and validated against a policy. Если браузер работает в частном режиме, проверка устройства завершается ошибкой.The device check fails if the browser is running in private mode.

Поддерживаемые мобильные приложения и классические клиентыSupported mobile applications and desktop clients

Организации могут выбирать мобильные приложения и настольные клиенты в качестве клиентского приложения.Organizations can select Mobile apps and desktop clients as client app.

Этот параметр влияет на попытки доступа, предпринимаемые из следующих мобильных приложений и классических клиентов.This setting has an impact on access attempts made from the following mobile apps and desktop clients:

Клиентские приложенияClient apps Целевая службаTarget Service ПлатформаPlatform
Приложение Dynamics CRMDynamics CRM app Dynamics CRMDynamics CRM Windows 10, Windows 8.1, iOS и AndroidWindows 10, Windows 8.1, iOS, and Android
Приложения Почта, Календарь и Люди, Outlook 2016, Outlook 2013 (с современной аутентификацией)Mail/Calendar/People app, Outlook 2016, Outlook 2013 (with modern authentication) Exchange OnlineExchange Online Windows 10Windows 10
MFA и политика расположения для приложенийMFA and location policy for apps. Политики на основе устройств не поддерживаются.Device-based policies are not supported. Все службы приложения "Мои приложения"Any My Apps app service Android и iOSAndroid and iOS
Microsoft Teams Services — контролируют все службы, которые поддерживают Microsoft Teams, и все их клиентские приложения: для Windows Desktop, iOS, Android, WP, а также веб-клиент.Microsoft Teams Services - this controls all services that support Microsoft Teams and all its Client Apps - Windows Desktop, iOS, Android, WP, and web client Microsoft TeamsMicrosoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android и macOSWindows 10, Windows 8.1, Windows 7, iOS, Android, and macOS
Приложения Office 2016, Office 2013 (с современной аутентификацией), клиент синхронизации OneDriveOffice 2016 apps, Office 2013 (with modern authentication), OneDrive sync client SharePointSharePoint Windows 8.1, Windows 7Windows 8.1, Windows 7
Приложения Office 2016, приложения Universal Office, Office 2013 (с современной аутентификацией), клиент синхронизации OneDriveOffice 2016 apps, Universal Office apps, Office 2013 (with modern authentication), OneDrive sync client SharePoint OnlineSharePoint Online Windows 10Windows 10
Office 2016 (только Word, Excel, PowerPoint, OneNote).Office 2016 (Word, Excel, PowerPoint, OneNote only). SharePointSharePoint macOSmacOS
Office 2019Office 2019 SharePointSharePoint Windows 10, macOSWindows 10, macOS
Мобильные приложения OfficeOffice mobile apps SharePointSharePoint Android, iOSAndroid, iOS
Приложение Office YammerOffice Yammer app YammerYammer Windows 10, iOS, AndroidWindows 10, iOS, Android
Outlook 2019Outlook 2019 SharePointSharePoint Windows 10, macOSWindows 10, macOS
Outlook 2016 (Office для macOS)Outlook 2016 (Office for macOS) Exchange OnlineExchange Online macOSmacOS
Outlook 2016, Outlook 2013 (с современной проверкой подлинности), Skype для бизнеса (с современной проверкой подлинности)Outlook 2016, Outlook 2013 (with modern authentication), Skype for Business (with modern authentication) Exchange OnlineExchange Online Windows 8.1, Windows 7Windows 8.1, Windows 7
Мобильное приложение OutlookOutlook mobile app Exchange OnlineExchange Online Android, iOSAndroid, iOS
Приложение Power BIPower BI app Служба Power BIPower BI service Windows 10, Windows 8.1, Windows 7, Android и iOSWindows 10, Windows 8.1, Windows 7, Android, and iOS
Skype для бизнесаSkype for Business Exchange OnlineExchange Online Android, iOSAndroid, iOS
Приложение Visual Studio Team ServicesVisual Studio Team Services app Visual Studio Team ServicesVisual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS и AndroidWindows 10, Windows 8.1, Windows 7, iOS, and Android

Клиенты Exchange ActiveSyncExchange ActiveSync clients

  • Организации могут выбирать только клиенты Exchange ActiveSync при назначении политики пользователям или группам.Organizations can only select Exchange ActiveSync clients when assigning policy to users or groups. Выбор всех пользователей, всех гостевых и внешних пользователей или ролей каталога приведет к тому, что все пользователи будут подвергаться политике.Selecting All users, All guest and external users, or Directory roles will cause all users to be subject of the policy.
  • При создании политики, назначенной клиентам Exchange ActiveSync, Exchange Online должен быть единственным облачным приложением, назначенным политике.When creating a policy assigned to Exchange ActiveSync clients, Exchange Online should be the only cloud application assigned to the policy.
  • Организации могут ограничить область этой политики конкретными платформами с помощью условия платформы устройства.Organizations can narrow the scope of this policy to specific platforms using the Device platforms condition.

Если для управления доступом, назначенного политике, требуется утвержденное клиентское приложение, пользователь будет перенаправлен на установку и использование Outlook Mobile Client.If the access control assigned to the policy uses Require approved client app, the user is directed to install and use the Outlook mobile client. В случае если требуется многофакторная проверка подлинности, условия использования или пользовательские элементы управления, затронутые пользователи блокируются, так как обычная проверка подлинности не поддерживает эти элементы управления.In the case that Multi-factor authentication, Terms of use, or custom controls are required, affected users are blocked, because basic authentication does not support these controls.

Дополнительные сведения см. в следующих статьях:For more information, see the following articles:

Другие клиентыOther clients

Выберите вариант Другие клиенты, чтобы указать условие, которое влияет на приложения, использующие обычную проверку подлинности с протоколами электронной почты IMAP, MAPI, POP, SMTP, и приложения Office более ранних версий, которые не используют современные методы проверки подлинности.By selecting Other clients, you can specify a condition that affects apps that use basic authentication with mail protocols like IMAP, MAPI, POP, SMTP, and older Office apps that don't use modern authentication.

Состояние устройства (предварительная версия)Device state (preview)

Состояние устройства можно использовать для исключения устройств, присоединенных к гибридной службе Azure AD или устройств, помеченных как совместимые с политикой соответствия Microsoft Intune, из политик условного доступа Организации.The device state condition can be used to exclude devices that are hybrid Azure AD joined and/or devices marked as compliant with a Microsoft Intune compliance policy from an organization's Conditional Access policies.

Например, все пользователи, обращающиеся к облачному приложению Microsoft Azure Management, включая все состояние устройства, за исключением гибридного устройства, присоединенного к Azure AD и устройства, помеченные как соответствующие и для элементов управления доступом, блок.For example, All users accessing the Microsoft Azure Management cloud app including All device state excluding Device Hybrid Azure AD joined and Device marked as compliant and for Access controls, Block.

  • В этом примере создается политика, которая разрешает доступ к управлению Microsoft Azure только с устройств, присоединенных к домену Azure AD или устройств, помеченных как соответствующие требованиям.This example would create a policy that only allows access to Microsoft Azure Management from devices that are either hybrid Azure AD joined or devices marked as compliant.

Дальнейшие действияNext steps