Защита регистрации сведений безопасности с помощью политики условного доступа

Защита времени и способа регистрации пользователей для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля возможна с помощью действий пользователей в политике условного доступа. Эта функция доступна организациям, которые обеспечивают объединенную регистрацию. Она позволяет организациям рассматривать процесс регистрации как обычное приложение в политике условного доступа и применить к его защите всю мощь условного доступа. Эта политика действует для пользователей, которые выполняют вход в приложение Microsoft Authenticator или пользуются функцией входа без пароля с помощью телефона.

Некоторые организации в прошлом могли использовать надежное сетевое расположение или соответствие устройств в качестве средства защиты взаимодействия с регистрацией. При добавлении временного прохода доступа в идентификаторе Microsoft Entra администраторы могут предоставлять пользователям ограниченные по времени учетные данные, которые позволяют им регистрироваться с любого устройства или расположения. Учетные данные временного секретного кода соответствуют требованиям условного доступа для многофакторной проверки подлинности.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики для защиты регистрации

Следующая политика применяется к конкретным пользователям, которые выполняют регистрацию с помощью объединенной регистрации. Политика требует от пользователей находиться в надежном сетевом расположении и выполнять многофакторную проверку подлинности или использовать учетные данные временного доступа.

Предупреждение

Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления "Требовать многофакторную проверку подлинности".

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. В поле Имя введите имя политики. Например, Объединенная регистрация сведений о безопасности с поддержкой TAP.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.

      Предупреждение

      У пользователей должна быть включена объединенная регистрация.

    2. Найдите раздел Исключить.

      1. Выберите Все гости и внешние пользователи.

        Примечание.

        Временный секретный код не применяется для гостевых пользователей.

      2. Выберите Пользователи и группы, а затем выберите корпоративные учетные записи для аварийного доступа (или для обхода стандартной системы контроля).

  6. В разделе "Действия пользователей целевых ресурсов>" проверьте регистрацию сведений о безопасности.
  7. Выберите Условия>Расположения.
    1. Задайте для параметра Настроить значение Да.
      1. Включите Все расположения.
      2. Отключите Все надежные расположения.
  8. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите "Требовать силу проверки подлинности", а затем выберите соответствующую встроенную или настраиваемую силу проверки подлинности из списка.
    2. Выберите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Администраторы должны выдавать учетные данные временного доступа новым пользователям, чтобы они могли удовлетворять требованиям для многофакторной проверки подлинности для регистрации. Действия по выполнению этой задачи приведены в разделе "Создание временного прохода доступа" в Центре администрирования Microsoft Entra.

Организации могут требовать другие элементы управления предоставлением или вместо этого требовать многофакторную проверку подлинности на шаге 8a. Если вы выбираете несколько элементов управления доступом, проверьте правильность положения переключателя, который определяет, будут ли требоваться все эти элементы или один из них.

Регистрация гостевых пользователей

Для гостевых пользователей , которым требуется зарегистрировать многофакторную проверку подлинности в каталоге, можно заблокировать регистрацию за пределами доверенных сетевых расположений , используя следующее руководство.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. В поле Имя введите имя политики. Например, Объединенная регистрация сведений для защиты в доверенных сетях.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все гости и внешние пользователи.
  6. В разделе "Действия пользователей целевых ресурсов>" проверьте регистрацию сведений о безопасности.
  7. Выберите Условия>Расположения.
    1. Выберите Да.
    2. Включите Все расположения.
    3. Отключите Все надежные расположения.
  8. Выберите Элементы управления доступом>Предоставить разрешение.
    1. Выберите Заблокировать доступ.
    2. Затем выберите Выбрать.
  9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  10. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.