Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В настоящее время политики условного доступа можно применять ко всем приложениям или отдельным приложениям. Организации с большим количеством приложений могут найти этот процесс трудным для управления в нескольких политиках условного доступа.
Фильтры приложений для условного доступа позволяют организациям помечать учетные записи служб настраиваемыми атрибутами. Затем эти настраиваемые атрибуты добавляются в свои политики условного доступа. Фильтры для приложений оцениваются во время выполнения операции выдачи токенов, и часто возникает вопрос, назначаются ли приложения во время выполнения или на этапе конфигурации.
В этом документе создается настраиваемый набор атрибутов, назначается настраиваемый атрибут безопасности приложению и создается политика условного доступа для защиты приложения.
Назначить роли
Пользовательские атрибуты безопасности являются критически важными с точки зрения безопасности и могут управляться только делегированными пользователями. Пользователям, которые управляют этими атрибутами или сообщают о них, должна быть назначена одна или несколько из следующих ролей.
| Имя роли | Описание |
|---|---|
| Администратор назначения атрибутов | Назначьте пользовательские ключи и значения атрибутов безопасности поддерживаемым объектам Microsoft Entra. |
| Средство чтения назначений атрибутов | Читайте ключи и значения пользовательских атрибутов безопасности для объектов Microsoft Entra, которые поддерживаются. |
| Администратор определения атрибутов | Определение настраиваемых атрибутов безопасности и управление ими. |
| Средство чтения определений атрибутов | Прочитайте определение настраиваемых атрибутов безопасности. |
Назначьте соответствующую роль пользователям, которые управляют или сообщают об этих атрибутах в области каталога. Подробные инструкции см. в разделе "Назначение ролей Microsoft Entra".
Внимание
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности.
Создание настраиваемых атрибутов безопасности
Следуйте инструкциям из статьи , добавьте или деактивируйте настраиваемые атрибуты безопасности в идентификаторе Microsoft Entra, чтобы добавить следующий набор атрибутов и новые атрибуты.
- Создайте набор атрибутовс именем ConditionalAccessTest.
- Создайте новые атрибуты с именем policyRequirement , которые позволяют назначать несколько значений и разрешать назначать только предопределенные значения. Мы добавим следующие предопределенные значения:
- разрешена устаревшая авторизация
- блокировать гостевых пользователей
- требуетсяМФА
- требовать совместимое устройство
- требовать гибридное подключение устройства
- требовать соответствующее приложение
Примечание.
Фильтры условного доступа для приложений работают только с пользовательскими атрибутами безопасности типа string. Настраиваемые атрибуты безопасности поддерживают создание логического типа данных, но политика условного доступа поддерживает только строку.
Создание политики условного доступа
- Войдите в центре администрирования Microsoft Entra в роли как минимум администратора условного доступа и чтеца определений атрибутов.
- Перейдите к Entra ID>Условному доступу.
- Выберите новую политику.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".
- В разделе "Включить" выберите "Все пользователи".
- В разделе Исключить выберите Пользователи и группы и выберите экстренные учетные записи или учетные записи для аварийного доступа вашей организации.
- Нажмите кнопку "Готово".
- В разделе "Целевые ресурсы" выберите следующие параметры:
- Выберите то, что эта политика применяется к облачным приложениям.
- Включить Выбрать ресурсы.
- Выберите "Изменить фильтр".
- Задайте для параметра "Настроить" значение "Да".
- Выберите атрибут , созданный ранее с именем policyRequirement.
- Задайте для операторазначение Contains.
- Установите значение в requireMFA.
- Нажмите кнопку "Готово".
- В разделе Контроль доступа>Предоставление выберите "Предоставить доступ", "Требовать многофакторную аутентификацию" и выберите "Выбор".
- Подтвердите параметры и установите политику в режим только для отчетов.
- Нажмите кнопку "Создать", чтобы включить политику.
После того как администраторы оценят параметры политики с помощью режима воздействия политики или режима только отчета, они могут переместить переключатель Включить политику из Только отчет в Вкл.
Настройка настраиваемых атрибутов
Шаг 1. Создание примера приложения
Если у вас уже есть тестовое приложение, использующее учетную запись службы, этот шаг можно пропустить.
Создайте простое приложение, которое демонстрирует, как задание или служба Windows могут выполняться с идентификатором приложения, а не пользователя. Следуйте инструкциям в статье Краткое руководство: Получение токена и вызов API Microsoft Graph, используя удостоверение консольного приложения для создания этого приложения.
Шаг 2. Назначение пользовательского атрибута безопасности приложению
Если у вас нет субъекта-службы, указанного в клиенте, он не может быть целевым. Набор Office 365 является примером одного из таких сервисных принципалов.
- Войдите в Центр администрирования Microsoft Entra в роли администратора условного доступа ~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) и в роли администратора назначения атрибутов.
- Перейдите к Entra ID>Корпоративные приложения.
- Выберите субъект-службу, к которому нужно применить настраиваемый атрибут безопасности.
- В разделе "Управление настраиваемыми>атрибутами безопасности" выберите "Добавить назначение".
- В разделе "Набор атрибутов" выберите ConditionalAccessTest.
- В разделе "Имя атрибута" выберите policyRequirement.
- В разделе "Назначенные значения" выберите "Добавить значения", выберите requireMFA в списке, а затем нажмите кнопку "Готово".
- Нажмите кнопку "Сохранить".
Шаг 3. Тестирование политики
Войдите как пользователь, к которому будет применяться политика, и проверьте, что MFA требуется при доступе к приложению.
Другие сценарии
- Блокировка устаревших методов проверки подлинности
- Блокировка внешнего доступа к приложениям
- Требование соответствующих политик защиты устройств или приложений Intune
- Внедрение контроля частоты входа для определенных приложений
- Требование рабочей станции привилегированного доступа для определенных приложений
- Требовать элементы управления сеансами для пользователей с высоким риском и конкретных приложений
Связанный контент
Определите эффект, используя режим только отчетов условного доступа