Бөлісу құралы:

Условный доступ для идентичностей рабочей нагрузки

  • Мақала

Ранее политики условного доступа применялись только к пользователям при доступе к приложениям и сервисам, таким как SharePoint Online. Мы добавили поддержку политик условного доступа, применяемых к служебным принципалам, принадлежащим организации. Мы называем эту функцию условным доступом для идентификаторов рабочей нагрузки.

Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению или субъекту-службе получать доступ к ресурсам, иногда в контексте пользователя. Такие удостоверения рабочей нагрузки отличаются от традиционных учетных записей пользователей, так как:

  • Они не могут выполнять многофакторную проверку подлинности.
  • Во многих случаях у них нет формального процесса жизненного цикла.
  • Они должны где-то хранить свои учетные данные или секреты.

Такие различия затрудняют управление объектами рабочей нагрузки и повышают риск их компрометации.

Внимание

Лицензии для удостоверений рабочих нагрузок Premium требуются для создания или изменения политик условного доступа, применяемых к субъектам-службам. В каталогах без соответствующих лицензий существующие политики условного доступа для рабочих нагрузок будут продолжать функционировать, но не могут быть изменены. Дополнительные сведения см. на странице Идентификатор рабочей нагрузки Microsoft Entra.  

Примечание.

Политику можно применить к субъектам службы одиночного арендатора, зарегистрированным у вас в арендаторе. Сторонние приложения SaaS и мультитенантные приложения не входят в область действия. Управляемые идентификаторы не охватываются политикой.

Условный доступ для идентификаций рабочих нагрузок позволяет блокировать сервисные учётные данные.

Внедрение

Создание политики условного доступа, основанной на местоположениях

Создайте политику условного доступа на основе расположения, которая применяется к субъектам-службам.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора условного доступа.
  2. Перейдите к защите>условного доступа>политикам.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе «К чему применяется эта политика?» выберите идентификаторы рабочей нагрузки.
    2. В разделе Include выберите Выбор субъектов-служб и выберите соответствующие субъекты-службы из списка.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>выберитевсе ресурсы (ранее — "Все облачные приложения"). Политика применяется только в том случае, если служебный объект запрашивает токен.
  7. В разделе Условия>Расположения добавьте Любое расположение и исключите Выбранные расположения, к которым вы хотите разрешить доступ.
  8. В разделе Предоставить единственным доступным вариантом является Блокировать доступ. Доступ блокируется, когда запрос токена выполняется вне допустимого диапазона.
  9. Политику можно сохранить в режиме Только отчет, что позволяет администраторам оценить ее последствия. Чтобы применить политику, ее нужно включить.
  10. Щелкните Создать, чтобы завершить создание политики.

Создание политики условного доступа на основе рисков

Создайте политику условного доступа на основе рисков, которая применяется к субъектам-службам.

Создание политики условного доступа с использованием идентификатора рабочей нагрузки и риска в качестве условия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Политики.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе «Что применяется к этой политике?» выберите Удостоверения рабочей нагрузки.
    2. В разделе Включить нажмите Выберите субъекты-службы и укажите соответствующие субъекты-службы в списке.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>включитевсе ресурсы (ранее "Все облачные приложения"). Политика применяется только в том случае, если субъект-служба запрашивает маркер.
  7. При условиях>основной риск службы
    1. Установите переключатель Настроить на значение Да.
    2. Выберите уровни риска, для которых должна активироваться эта политика.
    3. Нажмите кнопку Готово.
  8. В разделе Предоставить единственным доступным вариантом является Блокировать доступ. Доступ блокируется при обнаружении указанных уровней риска.
  9. Политику можно сохранить в режиме Только отчет, что позволяет администраторам оценить ее последствия. Чтобы применить политику, ее нужно включить.
  10. Щелкните Создать, чтобы завершить создание политики.

Откат

Если вы хотите выполнить откат этой функции, вы можете удалить или отключить все созданные политики.

Журналы логов входа

Журналы входа используются, чтобы узнать, как политика применяется к субъектам-службам, а также проанализировать предполагаемые последствия политики при использовании режима "только отчет".

  1. Перейдите к Удостоверение>Мониторинг и работоспособность>Журналы входа>Входы для служебных объектов.
  2. Выберите запись в журнале и перейдите на вкладку Условный доступ, чтобы просмотреть результаты оценки.

Причина отказа при блокировке служебного принципала с помощью условного доступа: "Доступ заблокирован из-за политик условного доступа".

Режим "Только отчет"

Чтобы просмотреть результаты политики на основе расположения, откройте вкладку 'Только для отчета' в Отчете о входе или воспользуйтесь документом Сведения и отчетность об условном доступе.

Чтобы просмотреть результаты политики на основе рисков, обратитесь к вкладке событий Только отчет в Отчете о входе в систему.

Справочные материалы

Поиск objectID

Идентификатор объекта субъекта-службы можно получить из приложений Microsoft Entra Enterprise. Невозможно использовать идентификатор объекта в регистрациях приложений Microsoft Entra. Этот идентификатор является идентификатором объекта регистрации приложения, а не служебного принципала.

  1. Перейдите к ИдентификацияПриложенияКорпоративные приложения, найдите зарегистрированное приложение.
  2. На странице Обзор скопируйте идентификатор объекта приложения. Этот идентификатор является уникальным для субъекта-службы и используется политикой условного доступа для поиска вызывающего приложения.

Microsoft Graph

Пример JSON для конфигурации, основанной на местоположении, с использованием бета-версии конечной точки Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Следующие шаги