Поделиться через

Блокировать потоки проверки подлинности с помощью политики условного доступа

Следующие действия помогут создать политики условного доступа, чтобы ограничить использование потока кода устройства и аутентификации в вашей организации.

Политики потока кода для устройства

Примечание.

Чтобы повысить уровень безопасности, корпорация Майкрософт рекомендует блокировать или ограничивать поток кода устройства везде, где это возможно.

Сначала следует настроить политику в режиме только для отчетов, чтобы определить потенциальное влияние на вашу организацию.

Мы рекомендуем организациям стремиться к как можно более категоричной блокировке потока кода устройства. Организации должны рассмотреть возможность создания политики для аудита существующего использования потока кода устройства и определить, необходимо ли по-прежнему.

Для организаций, которые не используют проверку устройства с помощью кода доступа, блокировка может осуществляться с помощью следующей политики условного доступа:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к Entra ID>условному доступу>политикам.
  3. Выберите Новая политика.
  4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Включить" выберите пользователей, которым требуется быть в области политики (рекомендуется всем пользователям ).
    2. В разделе " Исключить":
      1. Выберите пользователей и группы и выберите учетные записи аварийного доступа или резервные учетные записи вашей организации, а также любых других необходимых пользователей, полный список которых должен регулярно проверяться.
  5. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)> в пункте Включить выберите приложения, которые должны быть охвачены политикой (рекомендуется выбрать все ресурсы (ранее "все облачные приложения")).
  6. В разделе "Условия">"Потоки проверки подлинности", задайте "Настроить" на "Да".
    1. Выберите поток кода устройства.
    2. Нажмите кнопку Готово.
  7. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
    1. Выберите Выберите.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После того как администраторы оценивают параметры политики с помощью режима оценки влияния политики или режима только отчетов, они могут переместить переключатель Включить политику из Только отчеты в Включено.

Политики передачи аутентификации

Используйте условие в потоках аутентификации в условном доступе для управления функцией. Возможно, вы захотите заблокировать передачу проверки подлинности, если вы не хотите, чтобы пользователи могли передавать проверку подлинности с компьютера на мобильное устройство. Например, если вы не разрешаете outlook использовать на личных устройствах определенными группами. Блокировка передачи проверки подлинности может выполняться с помощью следующей политики условного доступа:

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к Entra ID>условному доступу>политикам.
  3. Выберите Новая политика.
  4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Включить" выберите "Все пользователи" или "Группы пользователей" , которые вы хотите заблокировать для передачи проверки подлинности.
    2. В разделе " Исключить":
      1. Выберите пользователей и группы и выберите учетные записи аварийного доступа или резервные учетные записи вашей организации, а также любых других необходимых пользователей, полный список которых должен регулярно проверяться.
  5. В разделе Целевые ресурсы>ресурсы (ранее облачные приложения)>, в подразделе Включите, выберите Все ресурсы (ранее "Все облачные приложения") или приложения, которые вы хотите заблокировать для передачи проверки подлинности.
  6. В разделе "Условия">"Потоки проверки подлинности" установите Настроить в "Да"
    1. Выберите Перенос аутентификации.
    2. Нажмите кнопку Готово.
  7. В разделе Управление доступом>Предоставить разрешение выберите Блокировать доступ.
    1. Выберите Выберите.
  8. Подтвердите параметры и задайте для параметра Enable policy значение "Включено".
  9. Нажмите Создать, чтобы создать и включить политику.

Связанный контент