Налаштування MFA та умовного доступу у Windows 11

Захистіть вхід Windows 11 для бізнесу з багатофакторною автентифікацією та умовним доступом Це стало базовою вимогою для будь-якої організації, яка використовує Microsoft 365, Power Platform або хмарні сервіси. Складного пароля більше недостатньо: зловмисники навчилися їх обходити, а справжня безпека полягає в багатофакторній автентифікації та інтелектуальних політиках доступу.

Якщо ви працюєте з Пристрої Microsoft Entra ID (раніше Azure AD), Intune та Windows 11Ви, мабуть, чули про умовний доступ, але, можливо, не зовсім впевнені, як усе це поєднується: багатофакторна автентифікація (MFA), стійкість автентифікації, сумісні пристрої, зовнішні користувачі, Power Platform тощо. Цей посібник збере всі складові докупи, детально пояснивши, що робить кожен елемент керування, як вони поєднуються та з якими реальними обмеженнями ви зіткнетеся під час його застосування до Windows 11, включаючи унікальний випадок входу через веб-сервер.

Що таке умовний доступ і як він пов'язаний з багатофакторною автентифікацією (MFA) у Windows 11?

El Ідентифікатор входу в систему умовного доступу Microsoft По суті, це система правил типу «якщо це станеться, зроби те», яка визначає, чи може користувач отримати доступ до ресурсу: хмарної програми, певної дії (наприклад, реєстрації інформації безпеки) або спеціального контексту автентифікації. Політики поєднують такі сигнали, як ідентифікація користувача, пристрій, мережа, ризик входу та тип клієнта, для застосування таких елементів керування, як багатофакторна автентифікація (MFA), відповідність вимогам до пристрою або повне блокування.

Кожна директива складається з двох основних блоків: завдання (хто, що і за яких умов) y засоби контролю доступу (що обов'язково або заблоковано)Одночасно можна застосовувати кілька елементів керування, і якщо виконуються умови кількох політик, користувач повинен дотримуватися всіх застосовних вимог (наприклад, MFA + сумісний пристрій + прийняття умов використання).

У середовищах з Windows 11, Entra ID та Intune, умовний доступ діє в момент запиту токена для захищеного ресурсу. Цей пункт є ключовим.Механізм умовного доступу спрацьовує не щоразу, коли користувач вводить облікові дані, а коли програма (або система) запитує токен для певного ресурсу (Exchange, SharePoint, Power BI тощо).

Тому, навіть якщо ваша мета — «завжди вимагати багатофакторну автентифікацію під час входу у Windows 11», на практиці Технічна проблема полягає в тому, де оцінювати ці політики та які програми чи ресурси ініціюють оцінку умовного доступу.

Інтенсивність багатофакторної автентифікації та автентифікації: рівні та стратегії

У Microsoft Entra ID багатофакторна автентифікація — це не просто перемикач «так/ні». Існує дуже важлива концепція, яка називається надійність автентифікаціїякий визначає, наскільки надійним має бути метод, щоб відповідати політиці. Microsoft надає три вбудовані рівні:

Безпека багатофакторної автентифікації (Найменш обмежувальний, але рекомендований базовий у більшості сценаріїв). Він приймає стандартні методи багатофакторної автентифікації, такі як SMS, голосові дзвінки, push-сповіщення в Microsoft Authenticator, токени OATH тощо. Це найпоширеніша відправна точка для вимоги двофакторної автентифікації під час доступу до корпоративних ресурсів з Windows 11.

Безпарольний захист багатофакторної автентифікації, яка орієнтована на сучасні методи, такі як Windows Hello для бізнесу, Ключі FIDO2 або автентифікація на основі сертифікатів. Тут ви більше не покладаєтеся на пароль + код, а на облікові дані, які набагато стійкіші до фішингових атак та крадіжки облікових даних.

Стійкість MFA до фішингуНайсуворіший рівень, розроблений для критично важливих облікових записів (адміністратори, облікові записи з високими привілеями, доступ до конфіденційних даних). Цей рівень зазвичай вимагає комбінації методів, які неможливо легко перехопити (наприклад, FIDO2 або Windows Hello для бізнесу).

Окрім цих попередньо визначених опцій, ви можете створювати власні рівні інтенсивностіСтворення власного набору прийнятних методів, що дуже корисно, якщо ви хочете, наприклад, змусити своїх адміністраторів використовувати Windows Hello або FIDO2 для певних завдань у Windows 11 та заборонити їм перевірку за допомогою SMS.

Створення базової політики MFA з умовним доступом

Найчистіший спосіб запровадити багатосторонню фінансову допомогу на глобальному рівні (включно з доступом з Windows 11 до служб Microsoft 365, корпоративних програм і Power Platform) здійснюється за допомогою політики умовного доступу, яка спрямована на всіх користувачів і всі ресурси. Типовий робочий процес для створення цієї політики буде таким:

Спочатку отримайте доступ до Вхід до центру адміністрування Microsoft Використовуючи обліковий запис із роллю принаймні адміністратора умовного доступу, перейдіть до розділу Ідентифікатор входу > Умовний доступ > Політики та створіть нову політику із чіткою та стандартизованою назвою.

В Користувачі або робочі ідентифікаториВиберіть «Усі користувачі» в розділі «Включити, але виключити облікові записи break-glass та облікові записи синхронізації (наприклад, з Entra Connect), щоб уникнути блокування адміністративного доступу або синхронізації ідентифікаційних даних. Якщо ви керуєте гостями за допомогою певних політик, ви можете виключити зовнішніх користувачів із цієї глобальної політики.

En Цільові ресурси (раніше «Хмарні програми»)Виберіть «Усі ресурси». Таким чином, політика впливатиме на будь-які запити токенів до таких служб, як Exchange Online, SharePoint, Teams, Power BI, бізнес-програм і навіть Windows Azure Active Directory (00000002-0000-0000-c000-000000000000).

На Контроль доступуУ налаштуваннях надання доступу виберіть «Надати доступ» і ввімкніть опцію «Вимагати надійності автентифікації». Виберіть «Багатофакторна автентифікація» як мінімальну надійність. Спочатку наполегливо рекомендується ввімкнути політику в режимі «Тільки звітувати», щоб побачити фактичний вплив, перш ніж повністю активувати її.

Після того, як ви переглянете журнали та переконаєтеся, що випадково не виведете з ладу половину середовища, ви можете змінити статус на «Увімкнено». З цього моменту усі запити на доступ до захищених ресурсів Вони проходитимуть через цей рівень MFA, також з комп’ютерів Windows 11, підключених до каталогу, за винятком визначених вами винятків.

Розширений контроль грантів: більше, ніж «вимога багатосторонньої фінансової допомоги»

Після того, як ви опанували основи багатофакторної автентичності (MFA), ви можете почати експериментувати з рештою. контроль за концесіями який пропонує умовний доступ для пристроїв Windows 11 та інших систем. Логіка схожа: ви вирішуєте, чи блокувати доступ, чи надавати його, вимагаючи комбінації умов.

Контроль за «Заблокувати доступ» Він настільки ж потужний, наскільки й небезпечний. Якщо зіставлення (користувачі, ресурс, умови) збігається, доступ заборонено без можливості використання багатофакторної автентифікації (MFA) або інших заходів захисту. Він ідеально підходить для видалення застарілих протоколів, блокування певних країн або відключення доступу до застарілих програм, але завжди рекомендується спочатку протестувати в режимі «лише звіт» та використовувати такі інструменти, як What If.

Коли ви оберете опцію «Надати доступ», ви зможете поєднувати кілька вимогВи можете вимагати багатофакторну автентифікацію (MFA), сумісний пристрій, гібридний зв'язок Entra, схвалений клієнтський застосунок, Політику захисту застосунків, зміну пароля або зменшення ризиків. Ви можете вирішити, чи повинен користувач дотримуватися всіх вибраних елементів керування (І) чи лише одного (АБО).

Контроль за «Вимагати, щоб пристрій було позначено як сумісний» Він спирається на Intune. Пристрій має бути зареєстрований в Entra ID та відповідати політикам відповідності (антивірус, шифрування, версія ОС тощо). Він підтримує Вікна 10 / 11iOS, Android, macOS та Ubuntu Linux з Intune. Цей підхід ідеально підходить для забезпечення постійного доступу до конфіденційних даних з керованих пристроїв.

Якщо ви працюєте в гібридній організації, контроль «Потрібен гібридний пристрій, підключений до Microsoft. Увійти«Це дозволяє гарантувати, що доступ до певних ресурсів отримають лише комп’ютери, приєднані до домену, зареєстровані за допомогою Entra ID (до та поточні версії Windows 10). Такий підхід широко використовується для обмеження адміністрування корпоративними пристроями».

Ви також можете вимагати затверджені заявки клієнтів (класичний список програм Office, Outlook, OneDrive, Teams, Power BI тощо) або політика захисту програм від Intune, що гарантує відкриття даних лише в програмах, захищених MAM, переважно на iOS та Android (а також у попередній версії Edge на Windows).

Зрештою, елементи керування «Вимагати зміни пароля» Параметри «Вимагати зменшення ризиків» інтегровані з Microsoft Entra ID Protection: вони використовуються, коли користувача позначено як такого, що має високий ризик. У цих сценаріях примусово виконується безпечне скидання або процес усунення ризиків, якому завжди передує MFA, щоб зупинити компрометацію облікового запису без постійного втручання адміністратора.

Умовний доступ: призначення, умови та порядок оцінювання

Щоб політика була впроваджена, необхідно визначити хоча б одну мінімальний набір завданьКористувачі або групи, цільові ресурси та керування наданням прав доступу або блокуванням. Звідти ви можете уточнити додаткові умови.

У частині Користувачі та групи Ви вирішуєте, на кого поширюється політика: на всіх користувачів, певні групи, ролі каталогів (наприклад, глобальних адміністраторів) або ідентифікатори робочих навантажень (суб'єкти служб). Оцінювання виконується під час видачі нового токена, тому, якщо користувач приєднується до групи після отримання дійсного токена, політика не впливатиме на нього, доки він не оновить свої облікові дані.

En Ресурси призначення Ви можете позначити хмарні програми Microsoft (Office 365, API керування службами Azure, портали адміністрування тощо), програми, опубліковані через проксі-сервер програм, дії користувачів, такі як реєстрація інформації безпеки або реєстрація/приєднання пристроїв, і навіть певні контексти автентифікації, які потім використовуються з SharePoint, PIM або інших програм.

The умови мережі Вони дозволяють використовувати іменовані розташування на основі діапазонів IP-адрес або географічних розташувань. Типова схема полягає в тому, що багатофакторна автентифікація не вимагається, коли користувач перебуває в довіреній корпоративній мережі, і вимагається під час підключення через загальнодоступний Інтернет.

Крім того, у вас є додаткові умови, такі як платформи пристроїв (Windows, iOS, Android, macOS, Linux), тип клієнтського застосунку (браузер, мобільний/настільний застосунок, застарілі протоколи), фільтри пристроїв (на основі атрибутів об’єкта пристрою) та ризик входу (якщо у вас є захист Entra ID).

Коли до одного користувача та ресурсу застосовується кілька політик, Вони поєднуються кумулятивноТаким чином, якщо одна політика вимагає багатофакторної автентифікації (MFA), а інша — сумісного пристрою, користувач повинен дотримуватися обох. Порядок перевірки зазвичай відповідає логіці MFA – стан пристрою – умови використання, і ви побачите цю послідовність, відображену в журнали входу.

Обмеження багатофакторної автентифікації (MFA) з веб-входом у Windows 11

У середовищах, де Вхід через веб-сервер у Windows 11 (Для прямої автентифікації на екрані блокування) багато адміністраторів зіткнулися з проблемою: політики умовного доступу, що вимагають багатофакторної автентифікації (MFA), не оцінюються належним чином. Користувач бачить форму входу, але запит MFA не відображається.

Зазвичай це не трапляється зі входами в браузері, мобільними програмами або Office у Windows 11, де ті самі політики умовного доступу застосовуються без проблем. Якщо ви ввімкнете багатофакторну автентифікацію (MFA) для кожного користувача (класична модель) замість умовного доступу, то MFA буде примусово застосовуватися для входів через веб, що свідчить про те, що проблема полягає в тому, як цей потік взаємодіє з механізмом політик умовного доступу.

Служба підтримки Microsoft уточнила, що Технічно, наразі неможливо застосувати виклик MFA за допомогою умовного доступу до процесу входу в веб-систему.Причина полягає в самій архітектурі: умовний доступ запускається, коли запитується токен для певного захищеного ресурсу, а вхід до веб-системи не запускає цю оцінку так, як це роблять інші програми.

Отже, якщо ваша вимога полягає в тому, щоб Вхід на екрані блокування Windows 11 завжди вимагає MFAЄдиний надійний спосіб зробити це сьогодні — використовувати багатофакторну автентифікацію для кожного користувача, що примусово встановлює другий фактор автентифікації для кожного користувача, незалежно від ресурсу, до якого він згодом отримуватиме доступ. Це не так гнучко чи детально, як умовний доступ, але вирішує це конкретне обмеження.

Умовний доступ для програм, Power Platform та API

Сфера застосування умовного доступу виходить далеко за межі Windows 11 та Microsoft 365. Power Platform (Power Apps, Power Automate, Power BI, Copilot Studio тощо) Він повністю покладається на Entra ID для автентифікації та авторизації, тому ті самі політики доступу застосовуються до використання програм, потоків та конекторів.

На рівні орендаря Entra ID гарантує, що користувач має активний обліковий запис, пройшов перевірку політик доступу (MFA, розташування, пристрій, ризик) та має ліцензію. Але Для Power Platform це лише перший шарПотім у гру вступають службові ролі (Адміністратор Power Platform, Адміністратор Dynamics 365), групи безпеки, які контролюють доступ до середовищ, і, перш за все, модель безпеки Dataverse (RBAC, дозволи за таблицею, рядком і стовпцем).

Якщо ви хочете серйозно захистити свої бізнес-рішення, вам потрібно поєднувати умовний доступ із чітким дизайном ролей безпекиНаприклад, розробникам часто потрібен доступ автора в середовищах розробки, але не адміністративні дозволи у виробничому середовищі. Політики умовного доступу дозволяють вимагати багатофакторну автентифікацію (MFA), обмежувати розташування або примусово використовувати сумісні пристрої, але їхні можливості визначаються ролями та дозволами Dataverse.

Іншим актуальним моментом є безперервна оцінка доступу (Безперервна оцінка доступу). Замість того, щоб чекати закінчення терміну дії токенів (зазвичай до години), деякі сервіси, такі як Dataverse, можуть скасовувати доступ майже в режимі реального часу, коли виявляють критичні зміни: скасування дозволів, зміни місцезнаходження, зміни політик тощо. Такий підхід зменшує вікно ризику, якщо доступ користувача скасовано або виявлено ризикову подію.

Умовний доступ для зовнішніх користувачів та співпраця B2B

Багато організацій діляться ресурсами з зовнішні користувачіПартнери, постачальники, клієнти, консультанти… У цих випадках на допомогу приходить Microsoft Entra External ID, що дозволяє співпрацювати B2B та здійснювати пряме підключення B2B. Зовнішні користувачі можуть автентифікуватися у власного клієнта або у постачальників соціальної ідентифікації (Google, Facebook, SAML тощо), але клієнт ресурсу вирішує, які політики умовного доступу застосовуватимуться.

Для сценаріїв між орендарями Entra ви можете налаштувати Багатофакторна автентифікація (MFA) та довіра до вхідних даних пристроюЦе дозволяє вашому клієнту прийняти сигнал, якщо користувач вже завершив багатофакторну автентифікацію (MFA) або його пристрій було перевірено як сумісний або приєднано до Hybrid Entry у їхній вихідній організації, і не запитувати ще один запит. Якщо ви не налаштуєте цю довіру, поведінка зміниться: гостям B2B доведеться завершити багатофакторну автентифікацію (MFA) у вашому клієнті; користувачі B2B з прямим підключенням можуть бути заблоковані, якщо потрібна багатофакторна автентифікація (MFA) або відповідність пристрою вимогам, яку неможливо оцінити.

У випадку користувачів, які не є членами Entra (соціальні ідентифікаційні дані, особисті облікові записи Microsoft або автентифікація за допомогою OTP через електронну пошту), Орендар ресурсу завжди відповідає за багатофакторну автентифікацію (MFA).Іншими словами, якщо ваша політика вимагає багатофакторної автентифікації (MFA), це буде виконано у вашому каталозі; ви не можете делегувати це іншому зовнішньому постачальнику.

Ви також можете визначити певні політики на основі типу зовнішнього користувача: гості B2B (UserType=Guest), учасники B2B (які розглядаються майже як внутрішні користувачі), користувачі прямого підключення B2B (без об'єкта користувача у вашому каталозі), застарілі локальні гостьові користувачі, постачальники послуг тощо. Такий рівень деталізації дозволяє, наприклад, вимагати багатофакторну автентифікацію, стійку до фішингу, лише для зовнішніх підключень із високим рівнем ризику.

Захист каталогів, ризики та домени з низьким рівнем привілеїв

Делікатна деталь, яку часто не помічають, полягає в тому, що багато програм запитують сфери з низьким рівнем привілеїв пов’язані з каталогом, такі як User.Read, People.Read, GroupMember.Read.All тощо. Традиційно, коли ви створювали політики «Усі ресурси» з деякими винятками, ці області застосування залишалися поза увагою, щоб не порушувати роботу програм, які читають лише базовий профіль користувача або його членство в групах.

Microsoft змінила цю поведінку і тепер Ці області оцінюються як доступ до ресурсу Windows Azure Active Directory. (00000002-0000-0000-c000-000000000000). Це означає, що якщо у вас є політика, яка націлена на «Усі ресурси» з винятками, або певна політика у Windows Azure AD, запити токенів, які запитують лише ці області застосування, можуть ініціювати умовний доступ і забезпечувати відповідність MFA або пристрою.

На практиці користувачі можуть почати стикатися з проблемами багатофакторної автентифікації (MFA) під час входу в такі інструменти, як Visual Studio Code, Azure CLI або інші програми, які запитують лише openid, profile, User.Read або подібні області доступу. Якщо ваша організація також має намір захистити цей тип доступу до інформації каталогу, це логічний крок; в іншому випадку вам потрібно буде налаштувати політики або створити спеціальні політики для Windows Azure Active Directory.

Щоб визначити, які програми будуть вражені, можна скористатися Скрипти PowerShell та звіти про використання та активність Інструменти входу Microsoft дозволяють переглядати принципали служб та делеговані області доступу, які вони використовують, а також кількість нещодавніх входів, щоб виявляти програми, які запитують лише ці області доступу з низькими привілеями, та оцінювати, чи потрібні вам винятки.

Належні практики щодо безпеки та управління ідентифікацією

Налаштування багатофакторної автентифікації (MFA) та умовного доступу (Conditional Access) у Windows 11 та решті вашого середовища – це лише половина справи. Інші 50% знаходяться в... модель управління ідентифікацією: хто має дозволи, на який термін та з якими привілеями.

Серед найважливіших рекомендацій є мінімізувати кількість облікових записів із високим рівнем впливуРозділяйте ролі замість підвищення прав звичайним обліковим записам користувачів та використовуйте моделі Just-In-Time (JIT) з такими інструментами, як Microsoft Entra Privileged Identity Management (PIM), щоб надавати підвищені дозволи лише за потреби.

Також бажано уникати постійного адміністративного доступу, щоб підтримувати документовані та контрольовані рахунки за надзвичайні ситуаціїПосиліть автентифікацію адміністратора за допомогою методів без пароля або надійної багатофакторної автентифікації (MFA) та застосуйте суворіші політики умовного доступу до цих ролей (наприклад, вимагайте сумісних пристроїв та багатофакторну автентифікацію, стійку до фішингу, для будь-яких адміністративних операцій з Windows 11).

Щодо життєвого циклу ідентифікації, важливо мати чіткий процес для Вимкнення або видалення облікових записів Коли користувач змінює роль, залишає організацію або коли робоче навантаження припиняє використовувати ідентифікатор служби, періодичні перевірки доступу, особливо для ролей з високими привілеями або зовнішніх користувачів, допомагають запобігти накопиченню непотрібних дозволів.

Щодо Power Platform, розробникам наполегливо рекомендується звертатися до власні середовища розробкиОбмежте масовий обмін (наприклад, уникайте опції «Усі»), контролюйте доступ до середовищ за допомогою груп Entra ID, використовуйте Dataverse як основний репозиторій із детальним RBAC та застосовуйте політики даних, що обмежують конектори, які можна використовувати в середовищах за замовчуванням або розробки.

Коли все це поєднується — надійна багатофакторна автентифікація (MFA), добре розроблені політики умовного доступу, захист пристроїв Windows 11 через Intune, надійне управління ідентифікацією та модель дозволів з мінімальними привілеями — створюється сучасний периметр на основі ідентифікації, який виходить далеко за рамки простих паролів і традиційного мережевого брандмауера. Покращується взаємодія користувача (менша кількість паролів, які потрібно запам'ятовувати, і більше єдиного входу), і водночас ризик компрометації значно знижується, навіть під час передових фішингових атак і атак крадіжки токенів.