Что собой представляет условный доступ

Современные периметры безопасности теперь выходят за пределы сети организации, чтобы включить удостоверение пользователя и устройства. Организации могут использовать сигналы идентификации как часть решений по управлению доступом.

Условный доступ объединяет сигналы для принятия решений и применения политик организации. Условный доступ Azure AD является основой новой плоскости управления, управляемой удостоверениями.

Conceptual Conditional signal plus decision to get enforcement

Политики условного доступа в своей простейшей форме — это операторы если-то; если пользователь хочет получить доступ к ресурсу, то он должен выполнить действие. Пример. Менеджер модуля "Зарплата" хочет получить доступ к приложению по платежной ведомости и должен выполнить многофакторную аутентификацию для доступа к ней.

Администраторы сталкиваются с двумя основными целями:

  • продуктивная работа пользователей в любом месте и в любое время;
  • защищать ресурсы организации.

С помощью политик условного доступа можно применять необходимые элементы управления доступом, чтобы поддерживать безопасность вашей организации.

Conceptual Conditional Access process flow

Важно!

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Общие сигналы

Общие сигналы, которые может учитывать условный доступ при принятии решения о политике, включают перечисленные ниже сигналы.

  • Пользователь или членство в группе
    • Политики могут быть нацелены на конкретных пользователей и группы, предоставляя администраторам детальный контроль над доступом.
  • Сведения о расположении IP-адреса
    • Организации могут создавать диапазоны доверенных IP-адресов, которые можно использовать при принятии решений о политике.
    • Администраторы могут указывать целые страны или регионы для обозначения диапазонов IP-адресов, с которых нужно заблокировать или разрешить трафик.
  • Устройство
    • Для применения политик условного доступа можно использовать пользователей с устройствами определенных платформ или устройствами, помеченными определенным состоянием.
    • Используйте фильтры для устройств, чтобы применять политики к конкретным устройствам, таким как рабочие станции с привилегированным доступом.
  • Приложение
    • Пользователи, пытающиеся получить доступ к конкретным приложениям, могут запускать различные политики условного доступа.
  • Обнаружение рисков в режиме реального времени, а также вычисленных рисков
    • Интеграция сигналов с защитой идентификации Azure AD позволяет использовать политики условного доступа для обнаружения опасного поведения при входе. Затем политики могут заставить пользователей изменить пароли или выполнить многофакторную проверку подлинности, чтобы уменьшить уровень риска или заблокировать доступ, пока администратор не выполнит ручное действие.
  • Microsoft Defender для облачных приложений
    • Позволяет выполнять мониторинг доступа к пользовательским приложениям и сеансов, а также контролировать их в режиме реального времени, повышая наглядность и контроль доступа и действий, выполняемых в облачной среде.

Общие решения

  • Заблокировать доступ
    • Наиболее ограничительное решение
  • Предоставление доступа
    • Для наименее ограничительного решения, все еще может потребоваться один или несколько из приведенных ниже вариантов.
      • Требование многофакторной идентификации
      • Требовать, чтобы устройство было отмечено как соответствующее
      • Требование устройства с гибридным присоединением к Azure AD
      • Требование утвержденного клиентского приложения
      • Требование политики защиты приложений (предварительная версия)

Обычно применяемые политики

Многие организации сталкиваются с типичными проблемами с доступом, в решении которых могут помочь политики условного доступа, как например:

  • по требованию многофакторной проверки подлинности для пользователей с административными ролями;
  • по требованию многофакторной проверки подлинности для задач управления Azure;
  • блокировка входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности;
  • по требованию надежных расположений для многофакторной проверки подлинности Azure AD при регистрации;
  • блокировка или предоставление доступа из конкретных расположений;
  • блокировка рискованного поведения при входе;
  • по требованию управляемых организацией устройств для определенных приложений.

Требования лицензий

Для использования этой функции требуется лицензия Azure AD Premium P1. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций Azure AD.

Клиенты с лицензиями Microsoft 365 бизнес премиум также имеют доступ к функциям условного доступа.

Политикам на основе рисков требуется доступ к Защите идентификации, компоненту Azure AD P2.

Для других продуктов и функций, которые могут взаимодействовать с политиками условного доступа, требуется соответствующее лицензирование.

Дальнейшие действия