Условный доступ. Условия

В рамках политики условного доступа администратор может использовать сигналы из таких условий, как риск, платформа устройства или расположение, чтобы усовершенствовать свои решения по политике.

Define a Conditional Access policy and specify conditions

Для создания детализированных и специальных политик условного доступа можно сочетать несколько условий.

Например, при доступе к конфиденциальному приложению администратор может учитывать сведения о рисках при входе, связанные с защитой идентификации и расположением, в дополнение к другим элементам управления, таким как многофакторная проверка подлинности.

Риск при входе

Для клиентов, имеющих доступ к защите идентификации, риск входа можно оценить как часть политики условного доступа. Риск при входе указывает на вероятность того, что данный запрос проверки подлинности отправлен не владельцем удостоверения. Дополнительные сведения о риске при входе можно найти в статьях Что такое риск и Как настроить и включить политики риска.

Риск пользователя

Для клиентов, имеющих доступ к Защите идентификации, риск для пользователей можно оценить как часть политики условного доступа. Риск для пользователя представляет вероятность компрометации данного удостоверения или учетной записи. Дополнительные сведения о риске для пользователей можно найти в статьях Что такое риск и Как настроить и включить политики риска.

Платформы устройств

Платформа устройства характеризуется операционной системой, работающей на устройстве. Azure AD определяет платформу с помощью сведений, предоставляемых устройством, например строками агента пользователя. Так как строки агента пользователя можно изменять, эти сведения не проверяются. Платформа устройства должна использоваться совместно с политиками соответствия устройств Microsoft Intune или в составе оператора блокировки. По умолчанию политика применяется ко всем платформам устройств.

Условный доступ Azure AD поддерживает следующие платформы устройств:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

Если вы блокируете устаревшую проверку подлинности с помощью условия Другие клиенты, можно также задать условие платформы устройства.

Важно!

Корпорация Майкрософт рекомендует использовать политику условного доступа для неподдерживаемых платформ устройств. Например, если вы хотите заблокировать доступ к корпоративным ресурсам из Chrome OS или других неподдерживаемых клиентов, следует настроить политику с условием платформы устройства, которое включает любое устройство и исключает поддерживаемые платформы устройств, а также предоставить набор элементов управления для блокировки доступа.

Расположения

При настройке расположения в качестве условия организации могут включать или исключать расположения. Эти именованные расположения могут включать сведения об общедоступной сети IPv4, стране или регионе или даже неизвестные области, которые не соответствуют определенным странам или регионам. Только диапазоны IP-адресов можно пометить как надежное расположение.

Параметр любого расположения включает все IP-адреса в Интернете, не настроенные как именованные расположения. При выборе любого расположения администраторы могут исключить все доверенные или выбранные расположения.

Например, некоторые организации могут не требовать многофакторной проверки подлинности, когда пользователи подключаются к сети в надежном расположении, например из их центрального офиса. Администраторы могут создать политику, включающую в себя любое расположение, но исключить выбранные расположения для сетей центрального офиса.

Дополнительные сведения о расположении можно найти в статье Каковы условия расположения в условном доступе Azure Active Directory.

Клиентские приложения

По умолчанию все вновь созданные политики условного доступа будут применяться ко всем типам клиентских приложений, даже если условие клиентских приложений не настроено.

Примечание

Поведение условия клиентских приложений было обновлено в августе 2020 г. При наличии существующих политик условного доступа они останутся без изменений. Однако если щелкнуть существующую политику, вы увидите, что переключатель настройки был удален и выбраны клиентские приложения, к которым применяется политика.

Важно!

Операции входа от устаревших клиентов проверки подлинности не поддерживают MFA и не передают сведения о состоянии устройства в Azure AD, поэтому они будут заблокированы элементами управления условным доступом, например, требуют использования MFA или соответствующих требованиям устройств. Если у вас есть учетные записи, которые должны использовать устаревшую проверку подлинности, необходимо либо исключить эти учетные записи из политики, либо настроить политику на применение только к современным клиентам проверки подлинности.

Если для переключателя Настроить задано значение Да, он применяется к отмеченным элементам, если он имеет значение Нет, он применяется ко всем клиентским приложениям, включая современные и устаревшие клиенты проверки подлинности. Этот переключатель не отображается в политиках, созданных до августа 2020 г.

  • Клиенты с современной проверкой подлинности
    • Браузер
      • К ним относятся веб-приложения, использующие такие протоколы, как SAML, WS-Federation, OpenID Connect или службы, зарегистрированные как конфиденциальный клиент OAuth.
    • Мобильные приложения и настольные клиенты
      • Этот вариант включает такие приложения, как приложения Office для настольных компьютеров и телефонов.
  • Клиенты с устаревшими версиями проверки подлинности
    • Клиенты Exchange ActiveSync
      • Сюда входят все варианты использования протокола Exchange ActiveSync (EAS).
      • Когда политика блокирует использование Exchange ActiveSync, затронутый пользователь получит одно сообщение электронной почты в карантине. Это сообщение электронной почты с информацией о том, почему они заблокированы, и инструкциями по исправлению, если это возможно.
      • Администраторы могут применять политику только к поддерживаемым платформам (например, iOS, Android и Windows) с помощью API условного доступа Microsoft Graph.
    • Другие клиенты
      • Этот параметр включает клиенты, использующие стандартные или устаревшие протоколы проверки подлинности, которые не поддерживают современную проверку подлинности.
        • SMTP с проверкой подлинности — используется клиентами POP и IMAP для отправки сообщений электронной почты.
        • Автообнаружение — используется клиентами Outlook и EAS для поиска почтовых ящиков в Exchange Online и подключения к ним.
        • PowerShell в Exchange Online — используется для подключения к Exchange Online с помощью удаленной оболочки PowerShell. Если вы заблокируете обычную аутентификацию для PowerShell в Exchange Online, для подключения понадобится использовать модуль PowerShell Exchange Online. Инструкции см. в статье Подключение к PowerShell Exchange Online с помощью многофакторной проверки подлинности.
        • Веб-службы Exchange (EWS) — программный интерфейс, используемый Outlook, Outlook для Mac и сторонними приложениями.
        • IMAP4 — используется клиентами электронной почты IMAP.
        • MAPI через HTTP (MAPI/HTTP) — используется в Outlook 2010 и более поздних версиях.
        • Автономная адресная книга (OAB) — копия коллекций списков адресов, которые скачиваются и используются в Outlook.
        • Мобильный Outlook (протокол RPC через HTTP) — используется в Outlook 2016 и более ранних версиях.
        • Служба Outlook — используется приложениями "Почта" и "Календарь" для Windows 10.
        • POP3 — используется клиентами электронной почты POP.
        • Веб-службы отчетов — используются для получения данных отчетов в Exchange Online.

Эти условия обычно используются, если необходимо управляемое устройство, блокирование устаревшей проверки подлинности и блокирование веб-приложений, но при этом нужно разрешать мобильные или классические приложения.

Поддерживаемые браузеры

Этот параметр работает со всеми браузерами. Но чтобы выполнить условия политики устройств, например требование соответствия, поддерживаются следующие операционные системы и браузеры. Операционные системы и браузеры, для которых закончилась основная фаза поддержки, в этот список не включены.

Операционные системы Браузеры
Windows 10 + Microsoft Edge, Chrome, Firefox 91+
Windows Server 2022 Microsoft Edge, Chrome
Windows Server 2019 Microsoft Edge, Chrome
iOS Microsoft Edge, Safari (см. примечания)
Android Microsoft Edge, Chrome
macOS Microsoft Edge, Chrome, Safari

Эти браузеры поддерживают аутентификацию устройств, позволяя идентифицировать устройство и проверить, соответствует ли оно политике. Если браузер работает в режиме конфиденциальности или файлы cookie отключены, проверка устройства завершится ошибкой.

Примечание

Edge 85+ требует, чтобы пользователь вошел в браузер для правильной передачи удостоверения устройства. В противном случае он ведет себя как Chrome без расширения "Учетные записи". Этот вход может не выполняться автоматически в гибридном сценарии присоединения к Azure AD.

Браузер Safari поддерживается для условного доступа на основе устройств, но он не может выполнять условия Требовать утвержденное клиентское приложение или Требовать политику защиты приложений. Управляемый браузер, такой как Microsoft Edge, будет выполнять требования утвержденных клиентских приложений и политики защиты приложений. В iOS со сторонним решением MDM только браузер Microsoft Edge поддерживает политику устройств.

Firefox 91+ поддерживается для условного доступа на основе устройств, но должен быть включен параметр "Разрешить единый вход Windows для учётных записей Microsoft, учётных записей на работе и в учебных заведениях".

Почему в браузере отображается запрос на сертификат

В Windows 7, iOS, Android и macOS Azure AD определяет устройство с помощью сертификата клиента, подготовленного при регистрации устройства в Azure AD. Когда пользователь впервые подписывается через браузер, пользователю предлагается выбрать сертификат. Конечный пользователь должен выбрать этот сертификат, прежде чем работать с браузером.

Поддержка Chrome

Для поддержки Chrome в Windows 10 Creators Update (версия 1703) или более поздней версии установите это расширение Windows 10 Accounts или Office Online. Это расширения требуются, если политика условного доступа требует сведений, относящихся к устройству.

Чтобы автоматически развернуть это расширение в браузере Chrome, создайте следующий раздел реестра:

  • Путь HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • Имя № 1
  • Тип REG_SZ (строка)
  • Data ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

Для поддержки Chrome в Windows 8.1 и Windows 7 создайте следующий раздел реестра:

  • Путь HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • Имя № 1
  • Тип REG_SZ (строка)
  • Data {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}

Поддерживаемые мобильные приложения и классические клиенты

Организации могут выбирать мобильные приложения и настольные клиенты в качестве клиентского приложения.

Этот параметр влияет на попытки доступа, предпринимаемые из следующих мобильных приложений и классических клиентов.

Клиентские приложения Целевая служба Платформа
Приложение Dynamics CRM Dynamics CRM Windows 10, Windows 8.1, iOS и Android
Приложения Почта, Календарь и Люди, Outlook 2016, Outlook 2013 (с современной аутентификацией) Exchange Online Windows 10
MFA и политика расположения для приложений Политики на основе устройств не поддерживаются. Все службы приложения "Мои приложения" Android и iOS
Microsoft Teams Services. Это клиентское приложение контролирует все службы, которые поддерживают Microsoft Teams, и все их клиентские приложения: для Windows Desktop, iOS, Android, WP, а также веб-клиент. Microsoft Teams Windows 10, Windows 8.1, Windows 7, iOS, Android и macOS
Приложения Office 2016, Office 2013 (с современной аутентификацией), клиент синхронизации OneDrive SharePoint Windows 8.1, Windows 7
Приложения Office 2016, приложения Universal Office, Office 2013 (с современной аутентификацией), клиент синхронизации OneDrive SharePoint Online Windows 10
Office 2016 (только Word, Excel, PowerPoint, OneNote). SharePoint macOS
Office 2019 SharePoint Windows 10, macOS
Мобильные приложения Office SharePoint Android, iOS
Приложение Office Yammer Yammer Windows 10, iOS, Android
Outlook 2019 SharePoint Windows 10, macOS
Outlook 2016 (Office для macOS) Exchange Online macOS
Outlook 2016, Outlook 2013 (с современной проверкой подлинности), Skype для бизнеса (с современной проверкой подлинности) Exchange Online Windows 8.1, Windows 7
Мобильное приложение Outlook Exchange Online Android, iOS
Приложение Power BI Служба Power BI Windows 10, Windows 8.1, Windows 7, Android и iOS
Skype для бизнеса Exchange Online Android, iOS
Приложение Visual Studio Team Services Visual Studio Team Services Windows 10, Windows 8.1, Windows 7, iOS и Android

Клиенты Exchange ActiveSync

  • Организации могут выбирать только клиенты Exchange ActiveSync при назначении политики пользователям или группам. Выбор всех пользователей, всех гостевых и внешних пользователей или ролей каталога приведет к тому, что все пользователи будут подвергаться политике.
  • При создании политики, назначенной клиентам Exchange ActiveSync, Exchange Online должен быть единственным облачным приложением, назначенным политике.
  • Организации могут ограничить область этой политики конкретными платформами с помощью условия платформы устройства.

Если для управления доступом, назначенного политике, требуется утвержденное клиентское приложение, пользователь будет перенаправлен на установку и использование Outlook Mobile Client. Те пользователи, для которых требуются многофакторная проверка подлинности, условия использования или пользовательские элементы управления, будут заблокированы, так как обычная проверка подлинности не поддерживает эти элементы управления.

Дополнительные сведения см. в следующих статьях:

Другие клиенты

Выберите вариант Другие клиенты, чтобы указать условие, которое влияет на приложения, использующие обычную проверку подлинности с протоколами электронной почты IMAP, MAPI, POP, SMTP, и приложения Office более ранних версий, которые не используют современные методы проверки подлинности.

Состояние устройства (не рекомендуется)

Эта предварительная версия функции признана нерекомендуемой. В сценариях, ранее реализованных с помощью условия состояния устройства (предварительная версия), клиентам следует использовать условие Фильтр для устройств в политике условного доступа.

Состояние устройства использовалось для исключения устройств с гибридным присоединением к Azure AD и устройств, помеченных как совместимые с политикой соответствия Microsoft Intune, из политик условного доступа организации.

Например, все пользователи, обращающиеся к облачному приложению Microsoft Azure Management, включая все состояние устройства, за исключением гибридного устройства, присоединенного к Azure AD и устройства, помеченные как соответствующие и для элементов управления доступом, блок.

  • В этом примере создается политика, которая разрешает доступ к управлению Microsoft Azure только с устройств, присоединенных к домену Azure AD или устройств, помеченных как соответствующие требованиям.

Описанный выше сценарий можно настроить следующим образом: в разделе Все пользователи, которые обращаются к облачному приложению Управление Microsoft Azure, укажите для параметра Фильтр для устройств режим исключения, примените правило device.trustType -eq "ServerAD" -or device.isCompliant -eq True, а для параметра Элементы управления доступом выберите значение Блокировать.

  • Этот пример создает политику, которая блокирует доступ к облачному приложению "Управление Microsoft Azure" с неуправляемых или несоответствующих устройств.

Важно!

Состояние устройства и фильтры для устройств нельзя использовать вместе в политике условного доступа. Фильтры для устройств обеспечивают более детальную целевую настройку, включая поддержку определения сведений о состоянии устройства с помощью свойства trustType и isCompliant.

Фильтр для устройств

В условном доступе появилось новое необязательное условие: фильтр для устройств. При настройке фильтра для устройств в качестве условия организации могут включать или исключать устройства, используя выражение правила на основе свойств устройств. Выражение правила для фильтра устройств можно создать с помощью построителя правил или синтаксиса правил. Этот интерфейс похож на тот, который используется для правил динамического членства в группах. Дополнительные сведения см. в статье Условный доступ: фильтр для устройств (предварительная версия).

Дальнейшие действия