Поделиться через

Условный доступ для идентичностей рабочей нагрузки

Ранее политики условного доступа применялись только к пользователям при доступе к приложениям и сервисам, таким как SharePoint Online. Мы добавили поддержку политик условного доступа, применяемых к служебным принципалам, принадлежащим организации. Мы называем эту функцию условным доступом для идентификаторов рабочей нагрузки.

Удостоверение рабочей нагрузки — это удостоверение, позволяющее приложению или служебному принципалу получать доступ к ресурсам, иногда в контексте пользователя. Эти идентификаторы рабочих нагрузок отличаются от традиционных учетных записей пользователей тем, что:

  • Они не могут выполнять многофакторную проверку подлинности.
  • Во многих случаях у них нет формального процесса жизненного цикла.
  • Они должны где-то хранить свои учетные данные или секреты.

Такие различия затрудняют управление объектами рабочей нагрузки и повышают риск их компрометации.

Внимание

Лицензии для удостоверений рабочих нагрузок Premium требуются для создания или изменения политик условного доступа, применяемых к субъектам-службам. В каталогах без соответствующих лицензий существующие политики условного доступа для идентификаторов рабочей нагрузки продолжают функционировать, но не могут быть изменены. Дополнительные сведения см. в разделе Идентификатор рабочей нагрузки Microsoft Entra.  

Примечание.

Политику можно применить к субъектам-службам одного клиента, зарегистрированным в клиенте. Сторонние приложения SaaS и мультитенантные приложения не входят в область действия. Управляемые удостоверения не охватываются политикой безопасности. Вместо этого управляемые удостоверения можно включить в проверку доступа.

Условный доступ для идентификаций рабочих нагрузок позволяет блокировать сервисные учётные данные.

Внедрение

Создание политики условного доступа, основанной на местоположениях

Создайте политику условного доступа на основе расположения, которая применяется к субъектам-службам.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
  2. Перейдите к Entra ID>условного доступа>политикам.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочих нагрузок".
    1. В разделе "К чему применяется эта политика?", выберите идентификаторы рабочих нагрузок.
    2. В разделе "Включить" выберите "Выбрать субъекты-службы" и выберите соответствующие субъекты-службы из списка.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>, выберите включитьвсе ресурсы (ранее 'Все облачные приложения'). Политика применяется только в том случае, если служебный объект запрашивает токен.
  7. В разделе «Условия»>«Расположения», включите любое расположение и исключите выбранные расположения, где вы хотите разрешить доступ.
  8. В разделе "Предоставление"блокировка доступа является единственным доступным вариантом. Доступ блокируется, когда запрос токена выполняется вне допустимого диапазона.
  9. Политика может быть сохранена в режиме только для отчетов , что позволяет администраторам оценивать последствия или применять политику, включив политику включено.
  10. Нажмите кнопку "Создать" , чтобы завершить политику.

Создание политики условного доступа на основе рисков

Создайте политику условного доступа на основе рисков, которая применяется к субъектам-службам.

Создание политики условного доступа с идентификатором нагрузки и риском в качестве условия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
  2. Перейдите к Entra ID>условного доступа>политикам.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочих нагрузок".
    1. В разделе "К чему применяется эта политика?", выберите идентификаторы рабочих нагрузок.
    2. В разделе "Включить" выберите "Выбрать субъекты-службы" и выберите соответствующие субъекты-службы из списка.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>, выберите включитьвсе ресурсы (ранее 'Все облачные приложения'). Политика применяется только в том случае, если служебный объект запрашивает токен.
  7. В условиях>основного риска службы
    1. Задайте для параметра "Настройка" значение "Да".
    2. Выберите уровни риска, для которых должна активироваться эта политика.
    3. Нажмите кнопку "Готово".
  8. В разделе "Предоставление"блокировка доступа является единственным доступным вариантом. Доступ блокируется при обнаружении указанных уровней риска.
  9. Политика может быть сохранена в режиме только для отчетов , что позволяет администраторам оценивать последствия или применять политику, включив политику включено.
  10. Нажмите кнопку "Создать" , чтобы завершить политику.

Откат

Если вы хотите выполнить откат этой функции, вы можете удалить или отключить все созданные политики.

Журналы логов входа

Журналы входа используются, чтобы узнать, как политика применяется к служебным субъектам, а также для анализа ожидаемых последствий политики при использовании режима "только отчет".

  1. Перейдите к Entra ID>Мониторинг и работоспособность>Журналы входа>входы сервиса.
  2. Выберите запись журнала и перейдите на вкладку условного доступа , чтобы просмотреть сведения об оценке.

Причина отказа при блокировке служебного принципала с помощью условного доступа: "Доступ заблокирован из-за политик условного доступа".

Режим "Только отчет"

Чтобы просмотреть результаты политики, основанной на местоположении, перейдите на вкладку Только для отчета в Отчете о входах или используйте рабочую книгу Аналитика и отчеты по условному доступу.

Чтобы просмотреть результаты политики на основе рисков, перейдите на вкладку " Только отчет " событий в отчете о входе.

Справочные материалы

Поиск идентификатора объекта (objectID)

Идентификатор объекта сервисного принципала можно получить из приложений Microsoft Entra Enterprise. Невозможно использовать идентификатор объекта в регистрациях приложений Microsoft Entra. Этот идентификатор является идентификатором объекта регистрации приложения, а не служебного принципала.

  1. Перейдите к приложениям Entra ID>Enterprise, найдите зарегистрированное приложение.
  2. На вкладке "Обзор" скопируйте идентификатор объекта приложения. Этот идентификатор уникален для принципала службы и используется политикой Conditional Access для поиска вызывающего приложения.

Microsoft Graph

Пример JSON для конфигурации, основанной на местоположении, с использованием бета-версии конечной точки Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Следующие шаги