Что такое условный доступ?

Современная безопасность выходит за рамки периметра сети организации, чтобы включить удостоверение пользователя и устройства. Организации теперь используют сигналы на основе удостоверений в рамках принятия решений по управлению доступом. Условный доступ Microsoft Entra объединяет сигналы, принимать решения и применять политики организации. Условный доступ — это подсистема политики нулевого доверия Майкрософт, принимаюющая сигналы от различных источников, которые учитываются при применении решений политики.

Схема, показывающая концепцию сигналов условного доступа, а также решение о применении политики организации.

Политики условного доступа на самом простом этапе — это операторы if-then; Если пользователь хочет получить доступ к ресурсу, он должен выполнить действие. Например, если пользователь хочет получить доступ к приложению или службе, например Microsoft 365, он должен выполнить многофакторную проверку подлинности.

Перед администраторами стоят две основные задачи:

  • продуктивная работа пользователей в любом месте и в любое время;
  • Защитить активы организации

С помощью политик условного доступа можно применять необходимые элементы управления доступом, чтобы поддерживать безопасность вашей организации.

Маңызды

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Общие сигналы

Условный доступ принимает сигналы из различных источников в учет при принятии решений о доступе.

Схема с условным доступом как подсистема политики

К таким сигналам относятся:

  • Членство пользователей или групп
    • Политики могут быть нацелены на конкретных пользователей и группы, предоставляя администраторам детальный контроль над доступом.
  • Сведения о расположении IP-адресов
    • Организации могут создавать диапазоны доверенных IP-адресов, которые можно использовать при принятии решений о политике.
    • Администраторы могут указывать целые страны или регионы для обозначения диапазонов IP-адресов, с которых нужно заблокировать или разрешить трафик.
  • Устройство
    • Для применения политик условного доступа можно использовать пользователей с устройствами определенных платформ или устройствами, помеченными определенным состоянием.
    • Используйте фильтры для устройств, чтобы применять политики к конкретным устройствам, таким как рабочие станции с привилегированным доступом.
  • Приложения
    • Попытки пользователей получить доступ к определенным приложениям могут привести к срабатыванию разных политик условного доступа.
  • Обнаружение рисков в режиме реального времени и вычисляемого риска
    • Интеграция сигналов с Защита идентификации Microsoft Entra позволяет политикам условного доступа выявлять и устранять рискованные пользователи и поведение входа.
  • Microsoft Defender for Cloud Apps
    • Позволяет отслеживать и контролировать доступ к приложениям пользователей и сеансы в режиме реального времени. Эта интеграция повышает видимость и контроль доступа к и действиям, выполненным в облачной среде.

Распространенные решения

  • Блокировка доступа
    • Наиболее ограничительное решение
  • Предоставление доступа
    • Менее строгое решение может потребовать одного или нескольких следующих вариантов:
      • Требование многофакторной проверки подлинности
      • Требовать надежность проверки подлинности
      • Требовать, чтобы устройство было отмечено как соответствующее
      • Требовать гибридное устройство, присоединенное к Microsoft Entra
      • Требовать утвержденное клиентское приложение
      • Требование политики защиты приложений
      • Требовать смены пароля
      • Обязательное применение условий использования

Часто применяемые политики

Многие организации сталкиваются с типичными проблемами с доступом, в решении которых могут помочь политики условного доступа, как например:

  • Требование многофакторной проверки подлинности для пользователей с административными ролями
  • Требование многофакторной проверки подлинности для задач управления Azure
  • Блокирование входа для пользователей, пытающихся использовать устаревшие протоколы проверки подлинности
  • Требование надежных расположений для регистрации сведений о безопасности
  • Блокирование или предоставление доступа из конкретных расположений
  • Блокирование рискованных входов
  • Требование определенных приложений на устройствах, управляемых организацией

Администраторы могут создавать политики с нуля или начинать с политики шаблона на портале или с помощью API Microsoft Graph.

Режим администратора

Администраторы с ролью администратора условного доступа могут управлять политиками.

Условный доступ найден в Центре администрирования Microsoft Entra в разделе "Условный доступ защиты>".

Снимок экрана: страница обзора условного доступа.

  • На странице обзора представлена сводка состояния политики, пользователей, устройств и приложений, а также общих и оповещений системы безопасности с предложениями.
  • Страница "Покрытие" предоставляет сводку приложений с покрытием политики условного доступа и без нее за последние семь дней.
  • Страница мониторинга позволяет администраторам просматривать график входа, который можно отфильтровать, чтобы увидеть потенциальные пробелы в охвате политики.

Политики условного доступа на странице "Политики " можно фильтровать администраторами на основе таких элементов, как субъект, целевой ресурс, условие, элемент управления, примененный, состояние или дата. Эта возможность фильтрации позволяет администраторам быстро находить определенные политики на основе их конфигурации.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей Microsoft Entra ID.

Клиенты с лицензиями Microsoft 365 бизнес премиум также имеют доступ к функциям условного доступа.

Политики на основе рисков требуют доступа к Защита идентификации Microsoft Entra, для которых требуются лицензии P2.

Для других продуктов и функций, взаимодействующих с политиками условного доступа, требуется соответствующее лицензирование для этих продуктов и функций.

Если срок действия лицензий, необходимых для условного доступа, политики не будут автоматически отключены или удалены. Это дает клиентам возможность переходить от политик условного доступа без внезапного изменения состояния безопасности. Остальные политики можно просматривать и удалять, но больше не обновлять.

Параметры безопасности по умолчанию помогают защитить от атак, связанных с удостоверениями, и доступны для всех клиентов.

Решение "Никому не доверяй"

Эта функция помогает организациям выравнивать свои удостоверения с тремя руководящими принципами архитектуры нулевого доверия:

  • Прямая проверка
  • Использование наименьших привилегий
  • Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о нулевом доверии и других способах выравнивания организации с руководящими принципами см. в Центре рекомендаций по нулю доверия.

Следующие шаги