Условный доступ: требуется многофакторная проверка подлинности для всех пользователей

Как упоминает Алекс Вайнерт (Alex Weinert) из подразделения корпорации Майкрософт, отвечающего за безопасность удостоверений, в своей записи блога Ваш пар0ль не важен:

Ваш пароль не важен в отличие от многофакторной проверки подлинности (MFA)! Согласно нашим исследованиям применение MFA позволяет снизить вероятность компрометации вашей учетной записи более чем на 99,9 %.

Рекомендации в этой статье помогут вашей организации создать сбалансированную политику MFA для своей среды.

Пользовательские исключения

Политики условного доступа представляют собой довольно мощные инструменты, поэтому рекомендуется исключить из политики следующие учетные записи.

  • Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать администраторскую учетную запись аварийного доступа для входа в систему арендатора, чтобы выполнить действия по восстановлению доступа.
  • Учетные записи служб и участники-службы, например учетная запись синхронизации Azure AD Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, выполняемые участниками-службами, не блокируются условным доступом.
    • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Исключения приложений

Бывает, что в организациях используется много облачных приложений. Не все эти приложения могут требовать одинакового уровня безопасности. Например, приложениям, связанным с расчетом зарплаты и учетом рабочего времени может быть нужна многофакторная проверка подлинности, а в кафе, вероятно, можно обойтись и без нее. Администраторы могут исключать определенные приложения из политики.

Создание политики условного доступа

Далее описываются действия, помогающие создать политику условного доступа, согласно которой многофакторная проверка подлинности обязательна для всех пользователей.

  1. Войдите на портал Azure с учетными данными глобального администратора, администратора безопасности или администратора условного доступа.
  2. Выберите Azure Active Directory > Безопасность > Условный доступ.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Пользователи и группы.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе Облачные приложения или действия > Включить выберите Все облачные приложения.
    1. В разделе Исключить выберите приложения, которые не нуждаются в многофакторной проверке подлинности.
  7. В разделе Условия > Клиентские приложения (предварительная версия) найдите пункт Выберите клиентские приложения, на которые будет распространяться эта политика, оставьте выбранными все значения по умолчанию и нажмите Готово.
  8. В разделе Управление доступом > Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
  10. Нажмите Создать, чтобы создать и включить политику.

Именованные расположения

Организации могут учитывать в своих политиках условного доступа известные сетевые расположения, которые называются Именованными расположениями. В число этих именованных расположений могут входить доверенные сети IPv4, такие как сети главного офиса. Дополнительные сведения о настройке именованных расположений см. в статье Что такое условие расположения в контексте условного доступа Azure Active Directory?

В организации из приведенного выше примера политики могли решить, что не нужно требовать многофакторной проверки подлинности при доступе к облачному приложению из своей корпоративной сети. При этом они могли добавить в политику следующую конфигурацию:

  1. В разделе Назначения выберите Условия > Расположения.
    1. Выберите Да.
    2. Включите Все расположения.
    3. Отключите Все надежные расположения.
    4. Нажмите кнопку Готово.
  2. Нажмите кнопку Готово.
  3. Сохраните изменения политики.

Дальнейшие действия

Распространенные политики условного доступа

Определение влияния условного доступа в режиме "только отчет"

Моделирование поведения входа с помощью средства What If условного доступа