Прочитать на английском

Поделиться через

Условный доступ для идентичностей рабочей нагрузки

  • Статья

Ранее политики условного доступа применялись только к пользователям при доступе к приложениям и сервисам, таким как SharePoint Online. Мы добавили поддержку политик условного доступа, применяемых к служебным принципалам, принадлежащим организации. Мы называем эту функцию условным доступом для идентификаторов рабочей нагрузки.

Идентификатор рабочей нагрузки — это идентификатор, который позволяет приложению или субъекту-службе получать доступ к ресурсам, иногда в контексте пользователя. Эти идентификаторы рабочих нагрузок отличаются от традиционных учетных записей пользователей тем, что:

  • Они не могут выполнять многофакторную проверку подлинности.
  • Во многих случаях у них нет формального процесса жизненного цикла.
  • Они должны где-то хранить свои учетные данные или секреты.

Такие различия затрудняют управление объектами рабочей нагрузки и повышают риск их компрометации.

Важно!

Лицензии для удостоверений рабочих нагрузок Premium требуются для создания или изменения политик условного доступа, применяемых к субъектам-службам. В каталогах без соответствующих лицензий существующие политики условного доступа для идентификаторов рабочей нагрузки продолжают функционировать, но не могут быть изменены. Дополнительные сведения см. на странице Идентификатор рабочей нагрузки Microsoft Entra.  

Примечание

Политику можно применить к субъектам-службам одного клиента, зарегистрированным в клиенте. Сторонние приложения SaaS и мультитенантные приложения не входят в область действия. Управляемые удостоверения не охватываются политикой безопасности. Управляемые удостоверения могут быть включены в проверку доступа.

Условный доступ для идентификаций рабочих нагрузок позволяет блокировать сервисные учётные данные.

Внедрение

Создание политики условного доступа, основанной на местоположениях

Создайте политику условного доступа на основе расположения, которая применяется к субъектам-службам.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора условного доступа.
  2. Перейдите к защите>условного доступа>политикам.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе «К чему применяется эта политика?» выберите идентификаторы рабочей нагрузки.
    2. В разделе Include выберите Выбор субъектов-служб и выберите соответствующие субъекты-службы из списка.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>выберитевсе ресурсы (ранее — "Все облачные приложения"). Политика применяется только в том случае, если служебный объект запрашивает токен.
  7. В разделе Условия>Расположения добавьте Любое расположение и исключите Выбранные расположения, к которым вы хотите разрешить доступ.
  8. В разделе Предоставить единственным доступным вариантом является Блокировать доступ. Доступ блокируется, когда запрос токена выполняется вне допустимого диапазона.
  9. Политику можно сохранить в режиме Только отчет, что позволяет администраторам оценить ее последствия. Чтобы применить политику, ее нужно включить.
  10. Щелкните Создать, чтобы завершить создание политики.

Создание политики условного доступа на основе рисков

Создайте политику условного доступа на основе рисков, которая применяется к субъектам-службам.

Создание политики условного доступа с использованием идентификатора рабочей нагрузки и риска в качестве условия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора условного доступа.
  2. Перейдите к защите>условного доступа>политикам.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе «К чему применяется эта политика?» выберите идентификаторы рабочей нагрузки.
    2. В разделе Include выберите Выбор субъектов-служб и выберите соответствующие субъекты-службы из списка.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>выберитевсе ресурсы (ранее — "Все облачные приложения"). Политика применяется только в том случае, если служебный объект запрашивает токен.
  7. При условиях>основной риск службы
    1. Установите переключатель Настроить на значение Да.
    2. Выберите уровни риска, для которых должна активироваться эта политика.
    3. Нажмите кнопку Готово.
  8. В разделе Разрешения единственным доступным вариантом является Блокировать доступ. Доступ блокируется при обнаружении указанных уровней риска.
  9. Политику можно сохранить в режиме Только отчет, что позволяет администраторам оценить ее последствия. Чтобы применить политику, ее нужно включить.
  10. Щелкните Создать, чтобы завершить создание политики.

Откат

Если вы хотите выполнить откат этой функции, вы можете удалить или отключить все созданные политики.

Журналы логов входа

Журналы входа используются, чтобы узнать, как политика применяется к служебным субъектам, а также для анализа ожидаемых последствий политики при использовании режима "только отчет".

  1. Перейдите к Удостоверение>Мониторинг и работоспособность>Журналы входа>Входы для служебных объектов.
  2. Выберите запись в журнале и перейдите на вкладку Условный доступ, чтобы просмотреть результаты оценки.

Причина отказа при блокировке служебного принципала с помощью условного доступа: "Доступ заблокирован из-за политик условного доступа".

Режим "Только отчет"

Чтобы просмотреть результаты политики на основе расположения, перейдите на вкладку событий только для отчета в отчете входаили используйте рабочую книгу "Аналитика условного доступа и Отчеты".

Чтобы просмотреть результаты политики на основе рисков, обратитесь к вкладке событий Только отчет в Отчете о входе в систему.

Справочные материалы

Поиск идентификатора объекта (objectID)

Идентификатор объекта сервисного принципала можно получить из приложений Microsoft Entra Enterprise. Невозможно использовать идентификатор объекта в регистрациях приложений Microsoft Entra. Этот идентификатор является идентификатором объекта регистрации приложения, а не служебного принципала.

  1. Перейдите к ИдентификацияПриложенияКорпоративные приложения, найдите зарегистрированное приложение.
  2. На странице Обзор скопируйте идентификатор объекта приложения. Этот идентификатор уникален для принципала службы и используется политикой Conditional Access для поиска вызывающего приложения.

Microsoft Graph

Пример JSON для конфигурации, основанной на местоположении, с использованием бета-версии конечной точки Microsoft Graph.

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

Следующие шаги