Поддержка приложений для клиентов и служб Microsoft 365Microsoft 365 client and services app support

Корпорация Майкрософт поддерживает широкий спектр функций безопасности, проверки подлинности и соответствия требованиям для обеспечения безопасности данных клиентов и позволяет ИТ-администраторам настраивать политики в центре администрирования Microsoft 365 для своих пользователей.Microsoft supports a wide range of security, authentication, and compliance features to keep customer data safe and allows IT administrators to customize policies within the Microsoft 365 admin center for their users. Следующие функции — это всего лишь подмножество многих корпоративных функций, которые можно настроить в зависимости от подписки Microsoft 365.The following features are just a subset of the many enterprise features that you can configure depending on your Microsoft 365 subscription.

Поддержка клиентов и службClient and service support

Оценка непрерывного доступа (предварительный просмотр)Continuous access evaluation (preview)

Оценка непрерывного доступа реализуется путем включения служб, таких как Exchange Online, SharePoint Online и Teams, для подписки на критически важные события в Azure Active Directory, чтобы эти события могли быть оценены и реализованы в режиме реального времени.Continuous access evaluation is implemented by enabling services, like Exchange Online, SharePoint Online, and Teams, to subscribe to critical events in Azure Active Directory so that those events can be evaluated and enforced near real time. Оценка критически важных событий не зависит от политик условного доступа, поэтому доступна в любом клиенте.Critical event evaluation does not rely on Conditional Access policies so is available in any tenant.

В настоящее время оцениваются следующие события:The following events are currently evaluated:

  • Учетная запись пользователя удалена или отключенаA user account is deleted or disabled
  • Пароль для пользователя изменен или сброшенThe password for a user is changed or reset
  • Для пользователя включена многофакторная проверка подлинностиMulti-factor authentication is enabled for the user
  • Администратор явно отменяет все маркеры обновления для пользователяAdministrator explicitly revokes all refresh tokens for a user
  • Повышенный риск пользователя, обнаруженный службой Azure AD Identity ProtectionElevated user risk detected by Azure AD Identity Protection

Дополнительные сведения о непрерывной оценке доступа для поддержки приложений для клиентов и служб см. в обзоре "Оценка непрерывного доступа".For more information about continuous access evaluation for client and services app support, see Continuous access evaluation (preview).

Поддержка клиентаClient support

Проверка подлинности на основе сертификатовCertificate-based authentication

Проверка подлинности на основе сертификатов (CBA) — это использование цифрового сертификата для идентификации пользователя, машины или устройства перед предоставлением доступа к ресурсу, сети, приложению или службе.Certificate-based authentication (CBA) is the use of a digital certificate to identify a user, machine, or device before granting access to a resource, network, application, or service. При проверке подлинности пользователей он часто развертывается в координации с традиционными методами, такими как имена пользователей и пароли.In user authentication, it is often deployed in coordination with traditional methods such as usernames and passwords.

Некоторые традиционные решения работают только для пользователей, таких как биометрия и одноразовые пароли (OTP).Some traditional solutions only work for users, such as biometrics and one-time passwords (OTP). При проверке подлинности на основе сертификатов одно и то же решение можно использовать для всех конечных точек; пользователей, устройств и растущего Интернета вещей (IoT).With certificate-based authentication, the same solution can be used for all endpoints; users, devices, and the growing Internet of Things (IoT).

Дополнительные сведения о проверке подлинности на основе сертификатов для поддержки приложений для клиентов и служб см. в справке Microsoft 365 Client App Support: Certificate-based Authentication.For more information about certificate-based authentication for client and services app support, see Microsoft 365 Client App Support: Certificate-based Authentication.

Условный доступConditional Access

Условный доступ — это средство, используемое Azure Active Directory для слаживки сигналов, принятия решений и обеспечения политики организационного доступа.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational access policies. Условный доступ — это сердце новой модели управления, управляемой удостоверением.Conditional Access is at the heart of the new identity-driven control model.

Политики условного доступа — это утверждения if-then для предоставления доступа к ресурсам.Conditional Access policies are if-then statements for granting access to resources. Если пользователь хочет получить доступ к ресурсу, он должен выполнить действие.If a user wants to access a resource, then the user must complete an action. Общие сигналы, которые может использовать условный доступ при принятии решения о доступе к политике:Common signals that Conditional Access can use when making a policy access decision include:

  • Членство пользователя или группыUser or group membership
  • Сведения о расположении IPIP location information
  • Сведения об устройствах.Device information
  • Сведения о приложенияхApplication information
  • Обнаружение рисков в режиме реального времени и расчетReal-time and calculated risk detection
  • Microsoft Cloud App Security (MCAS)Microsoft Cloud App Security (MCAS)

При принятии этих решений о доступе политики могут принимать различные действия:When making these access decisions, the policies can take different actions:

  • Политика может блокировать доступ: эта конфигурация является самым ограничительным действием и не позволяет пользователю получить доступ к ресурсу.The policy can block access: This configuration is the most restrictive action and prevents the user from accessing the resource.

  • Политика может предоставить доступ: эта конфигурация является менее ограничительным решением и может по-прежнему требовать один или несколько следующих вариантов:The policy can grant access: This configuration is a less restrictive decision and may still require one or more of the following options:

    • Многофакторная проверка подлинностиMulti-factor authentication
    • Устройство, которое будет помечено как совместимыйThe device to be marked as compliant
    • Устройство является гибридным Azure AD, к нему присоединилисьThe device is hybrid Azure AD joined
    • Утвержденное клиентские приложенияAn approved client app
    • Политика защиты приложений, настроенная (предварительный просмотр)App protection policy configured (preview)

Дополнительные сведения об условном доступе для поддержки приложений для клиентов и служб см. в этой информации:For more information about Conditional Access for client and services app support, see:

управление мобильными приложениями;Mobile application management

Пользователи часто имеют доступ как к документам организации, так и к личным документам, электронной почте и данным с одного и того же мобильного устройства.Users often access both organization and personal documents, email, and data from the same mobile device. Эти устройства часто принадлежат лично и должны быть настроены для защиты данных организации и личной конфиденциальности пользователя.Those devices are often personally owned and should be configured to protect both organization data and the user's personal privacy.

Когда пользователь получает доступ к данным организации, организация должна быть уверена в том, что политики организации, такие как политики конфигурации и политики защиты, применяются для защиты данных организации на устройстве.When a user accesses organization data, the organization must be confident that organization policies, such as configuration policies and protection policies, are applied to help protect organization data on the device. Кроме того, личный контент пользователя на устройстве должен оставаться вне контроля организации.Additionally, the user's personal content on the device should remain outside of the organization's control.

Для контента, управляемого организацией, можно применять политики управления приложениями для управления доступом к данным, общим доступом и использованием с помощью Microsoft Intune.For organization-managed content, you can apply application management policies to control how data is accessed, shared, and used by using Microsoft Intune. Например, поддерживаются следующие действия:For example, the following actions are supported:

  • Удаленная стирка управляемого контента организации (также ссылаемая на данные орг.Remote wipe the managed organization content (also referred to org data)
  • Предотвращение вклейки содержимого организации в расположения, не внося их в организациюPrevent pasting organization content into non-organization locations
  • Требуется ПИН-код для доступа к контенту организацииRequire a PIN to access organization content
  • Предотвращение запуска управляемых приложений на устройствах с побегом из тюрьмы или на корневых устройствахPrevent managed apps from running on jailbroken or rooted devices
  • Предотвращение сэкономленного контента организации для неодобренных поставщиков облачных хранилищаPrevent organization content from being saved to unapproved cloud storage providers
  • Предотвращение переноса неодобренного контента в управляемые приложенияPrevent unapproved content from being transferred into managed applications
  • Разрешить доступ к контенту организации только после примененных политикAllow access to organization content only after policies have been applied
  • Доставка конфигурации приложения для управления поведением и настройками приложенияDeliver application configuration to manage the application's behavior and settings
  • Ограничить управляемое приложение определенным удостоверением путем отключения возможностей нескольких удостоверений или личного использованияRestrict the managed application to a defined identity by disabling multi-identity capabilities or personal usage

Дополнительные сведения об управлении мобильными приложениями в Microsoft Intune см. в приложении Microsoft Intune?For more information about mobile application management with Microsoft Intune, see What is Microsoft Intune app management?

Многофакторная проверка подлинностиMulti-factor authentication

[Многофакторная проверка подлинности ( MFA) — это метод управления доступом к компьютеру, при котором пользователю предоставляется доступ только после успешного предоставления нескольких отдельных фрагментов доказательств механизму проверки подлинности.[Multi-factor authentication (MFA) is a method of computer access control in which a user is granted access only after successfully presenting several separate pieces of evidence to an authentication mechanism. Этот метод обычно использует по крайней мере две из следующих категорий:This method typically uses at least two of the following categories:

  • Знания (что-то, что они знают)Knowledge (something they know)
  • Владение (то, что у них есть)Possession (something they have)
  • Негерентность (то, что они есть)Inherence (something they are)

Дополнительные сведения о многофакторной проверке подлинности для поддержки приложений для клиентов и служб см. в веб-сайте Microsoft 365 Client App Support: Multi-factor authentication.For more information about multi-factor authentication for client and services app support, see Microsoft 365 Client App Support: Multi-factor authentication.

Единый входSingle sign-on

Один вход (SSO) добавляет безопасность и удобство при входе пользователей в приложения в Azure Active Directory.Single sign-on (SSO) adds security and convenience when your users sign-on to applications in Azure Active Directory. С одним входом пользователи один раз вступали с одной учетной записью, чтобы получить доступ к устройствам доменных служб Active Directory Domain Services (AD DS), программному обеспечению в качестве приложений службы (SaaS) и веб-приложениям в вашей организации.With single sign-on, users sign in once with one account to access on-premises Active Directory Domain Services (AD DS) domain-joined devices, software as a service (SaaS) applications, and web applications in your organization.

Дополнительные сведения о едином входе для поддержки приложений для клиентов и служб см. в документе Microsoft 365 Client App Support: Single sign-on.For more information about single sign-on for client and services app support, see Microsoft 365 Client App Support: Single sign-on.

Поддержка службServices support

Современная проверка подлинностиModern authentication

Современная проверка подлинности позволяет клиентам выполнять проверку подлинности в отношении Office 365, а администраторам клиентов — применять определенные требования к проверке подлинности в аренде Office 365, например:Modern authentication enables new scenarios for customers to authenticate against Office 365 and for tenant admins to enforce specific authentication requirements across the Office 365 tenancy, such as:

  • Поддержка многофакторной проверки подлинности для административного взаимодействия с арендой и службами, а также взаимодействия конечных пользователей с приложениями и их даннымиMulti-factor authentication support for administrative interaction with the tenancy and services, and end-user interaction with applications and their data
  • Условный доступConditional access
  • Вход сторонних поставщиков удостоверений на основе SAMLSAML-based third-party identity provider sign-in
  • Журнал Smartcard на персональных компьютерахSmartcard log on personal computers
  • Проверка подлинности на основе сертификатов на мобильных устройствахCertificate-based authentication on mobile devices
  • Больше не требуется передача учетных данных по базовой проверке подлинности.No longer require the transmission of credentials over basic authentication.

Дополнительные сведения о поддержке современных служб проверки подлинности см. в дополнительных сведениях о проверке подлинности и авторизации.For more information about modern authentication services support, see Authentication vs. authorization.

Условный доступ Azure Active DirectoryAzure Active Directory Conditional Access

Правила условного доступа Azure Active Directory (Azure AD) позволяют клиентам контролировать доступ к онлайн-службам на основе таких атрибутов, как соответствие требованиям устройства или расположение сети.Azure Active Directory (Azure AD) Conditional Access rules allow customers to control access to online services, based on attributes such as device compliance or network location. Можно использовать следующие решения:The following solutions may be used:

  • Условный доступ на основе многофакторной проверки подлинности Azure ADAzure AD multi-factor authentication-based Conditional Access
  • Условный доступ на основе расположения Azure ADAzure AD location-based Conditional Access
  • Условный доступ на основе устройств Azure ADAzure AD device-based Conditional Access

Правила условного доступа Azure AD применяются для каждого приложения и доступны клиентам для управления доступом в зависимости от различных условий.Azure AD Conditional access rules are applied per-application and are available for customers to control access based on different conditions. С помощью управления мобильными устройствами (MDM) или Intuneклиенты должны иметь возможность ограничивать доступ к Microsoft 365 только тем пользователям, которые используют устройство организации или зарегистрировали свое личное устройство для управления.Using Mobile Device Management (MDM) or Intune, customers must be able to restrict access to Microsoft 365 to only those users who are using an organization device or who have enrolled their personal device for management. Например, клиенты могут настроить правила условного доступа, чтобы обеспечить выполнение таких элементов управления, как:For example, customers may configure Conditional Access rules to enforce controls such as:

  • Разрешить доступ только с устройств, присоединенных к домену или совместимых с доменом.Only allow access from devices that are domain joined or domain compliant
  • Обеспечение многофакторной проверки подлинности для всего доступа к службам Exchange OnlineEnforce multi-factor authentication for all access to Exchange Online services

Дополнительные сведения о условном доступе Azure Active Directory см. в дополнительных сведениях о условном доступе?For more information about Azure Active Directory Conditional Access, see What is Conditional Access?

Поддержка TLS 1.2TLS 1.2 support

Чтобы обеспечить наилучшее шифрование в своем классе для наших клиентов, Корпорация Майкрософт планирует прекратить поддержку версий безопасности транспортных слоев (TLS) 1.0 и 1.1 в Office 365 и Office 365 GCC.To provide the best-in-class encryption to our customers, Microsoft plans to discontinue support for Transport Layer Security (TLS) versions 1.0 and 1.1 in Office 365 and Office 365 GCC.

Мы понимаем, что безопасность ваших данных важна, и мы стремимся к прозрачности изменений, которые могут повлиять на использование службы TLS.We understand that the security of your data is important, and we're committed to transparency about changes that may affect your use of the TLS service. Мы рекомендуем всем комбинациям клиент-сервер и браузер-сервер использовать TLS 1.2 (или более поздний вариант) для поддержания подключения к службам Office 365.We recommend that all client-server and browser-server combinations use TLS 1.2 (or a later version) to maintain connection to Office 365 services. Возможно, придется обновить определенные сочетания клиент-сервер и браузер-сервер.You might have to update certain client-server and browser-server combinations.

Дополнительные сведения о поддержке и поддержке служб TLS 1.2 см. в рублях Подготовка к TLS 1.2 в Office 365 и Office 365 GCC.For more information about TLS 1.2 support and services support, see Preparing for TLS 1.2 in Office 365 and Office 365 GCC.