Создание политики условного доступа

Как сказано в статье Что такое условный доступ?, политика условного доступа — это оператор if-then для Назначений и Элементов управления доступом. Она объединяет сигналы для принятия решений и применения политик организации.

Как организация создает эти политики? Что для этого нужно? Как они применяются?

Условный доступ (сигналы + решения + выполнение = политики)

К одному пользователю можно в любой момент применить несколько политик условного доступа. В этом случае условия всех применяемых политик должны быть выполнены. Например, если для одной политики требуется многофакторная проверка подлинности (MFA), а для другой требуется совместимое устройство, необходимо пройти MFA и использовать совместимое устройство. Все назначения выполняются с помощью логического оператора AND. Если вы настроили несколько назначений, для активации политики все назначения должны быть выполнены.

Если выбрана политика "Требовать один из выбранных элементов управления", запрос отправляется в указанном порядке и как только требования политики выполнены, предоставляется доступ.

Все политики применяются в два этапа.

  • Этап 1. Получение сведений о сеансе
    • Сбор сведений о сеансе, таких как сетевое расположение и удостоверение устройства, которое будет необходимо для оценки политики.
    • Этап 1 оценки политики применяется для активных политик и политик в режиме отчетности.
  • Этап 2. Выполнение
    • Используйте сведения о сеансе, собранные на этапе 1, чтобы указать все требования, которые не были выполнены.
    • Если имеется политика, настроенная на блокировку доступа, при условии, что управление предоставлением блокировки запрещается, в этом случае пользователь будет заблокирован.
    • Пользователю будет предложено выполнить другие требования к управлению предоставлением, которые не были реализованы на этапе 1, в следующем порядке, пока политика не будет приведена в соответствие.
      • Многофакторная Идентификация
      • Утвержденные клиентские приложения и политики защиты приложений
      • Управляемое устройство (совместимое или гибридное подключение к Azure AD)
      • Условия использования
      • Пользовательские элементы управления
    • После того как соответствие всем элементам управления предоставлением достигнуто, примените элементы управления сеансом (Выполнение приложения, Microsoft Cloud App Security и Время существования токена).
    • Этап 2 вычисления политики выполняется для всех включенных политик.

Назначения

Часть назначений управляет тем, кто, что и где находится в политике условного доступа.

Пользователи и группы

Пользователи и группы определяют, кого политика будет включать или исключать. Это назначение может включать всех пользователей, определенные группы пользователей, роли каталогов или внешних гостевых пользователей.

Облачные приложения или действия

Облачные приложения или действия могут включать или исключать облачные приложения, действия пользователей или контекст проверки подлинности, на которые будет влиять политика.

Условия

Политика может содержать несколько условий.

Риск при входе

Для организаций с Защитой идентификации Azure AD созданные определения рисков могут влиять на политики условного доступа.

Платформы устройств

Организациям с несколькими платформами операционных систем устройств может потребоваться применять определенные политики на разных платформах.

Сведения, используемые для вычисления платформы устройства, берутся из непроверенных источников, таких как изменяемые строки агента пользователя.

Расположения

Данные о расположении получаются из географических данных о расположении IP-адреса. Администраторы могут определять расположения и отмечать их как доверенные, как и относящиеся к сетевым расположениям своей организации.

Клиентские приложения

По умолчанию все вновь созданные политики условного доступа будут применяться ко всем типам клиентских приложений, даже если условие клиентских приложений не настроено.

Поведение условия клиентских приложений было обновлено в августе 2020 г. При наличии политик условного доступа они останутся без изменений. Однако если выбрать существующую политику, вы увидите, что переключатель настройки удален и выбраны клиентские приложения, к которым применяется политика.

Состояние устройства

Этот элемент управления используется для исключения устройств, присоединенных к гибридной службе Azure AD или помеченных как совместимые в Intune. Это исключение можно сделать для блокировки неуправляемых устройств.

Фильтры для устройств (предварительная версия)

Этот элемент управления позволяет выбрать определенные целевые устройства на основе их атрибутов в политике.

Элементы управления доступом

Область управления доступом в политике условного доступа управляет применением политики.

Предоставить

Предоставление разрешения дает администраторам средства применения политик, которые могут блокировать или предоставлять доступ.

Заблокировать доступ

Блокировка доступа только блокирует доступ по указанным назначениям. Элемент управления блокировки является мощным инструментом, и его следует применять только обладая соответствующими знаниями.

Предоставление доступа

Элемент управления предоставлением разрешений может активировать принудительное применение одного или нескольких элементов управления.

  • Требование многофакторной проверки подлинности (многофакторная идентификация Azure AD)
  • Требование, чтобы устройство было отмечено как совместимое (Intune)
  • Требование устройства с гибридным присоединением к Azure AD
  • Требование утвержденного клиентского приложения
  • Требовать политику защиты приложений.
  • Требовать смены пароля
  • Обязательное применение условий использования

Администраторы могут выбрать один из предыдущих элементов управления или все выбранные элементы управления, используя следующие параметры. По умолчанию для нескольких элементов управления требуется все.

  • Требование всех выбранных элементов управления (визуальный элемент и элемент управления)
  • Требуется один из выбранных элементов управления (визуальный элемент или элемент управления)

Сеанс

Элементы управления сеанса могут ограничивать возможности

  • Использование примененных к приложению ограничений
    • В настоящее время работает только с Exchange Online и SharePoint Online.
      • Передает сведения об устройстве, чтобы обеспечить управление предоставлением полного или ограниченного доступа.
  • Использовать Управление условным доступом к приложениям.
    • Использует сигналы из Microsoft Cloud App Security для следующих действий:
      • блокировка загрузки, вырезание, копирование и печать конфиденциальных документов;
      • отслеживание реакции на рискованные сеансы;
      • требование пометки конфиденциальных файлов.
  • Частота входа
    • Возможность изменения частоты входа по умолчанию для современной проверки подлинности.
  • Сохраняемый сеанс браузера
    • Позволяет пользователям оставаться в системе после закрытия и повторного открытия окна браузера.

Простые политики

Для принудительного применения политика условного доступа должна содержать как минимум следующее:

  • Имя политики.
  • Назначения
    • Пользователи и (или) группы, к которым применяется политика.
    • Облачные приложения или действия, к которым применяется политика.
  • Элементы управления доступом
    • Предоставление разрешения или Блокировка элементов управления

Пустая политика условного доступа

В статье Общие политики условного доступа показаны некоторые политики, которые мы будем использовать для большинства организаций.

Дальнейшие действия

Создание политики условного доступа

Моделирование поведения входа с помощью средства What If условного доступа

Планирование развертывания облачной службы Многофакторной идентификации Azure AD

Управление соответствием устройств с помощью Intune

Microsoft Cloud App Security и условный доступ