Практическое занятие: Условный доступ в Microsoft Entra

Это практическое занятие выполняется на основе следующего содержимого Learn:

  • Схема обучения. Описание возможностей Microsoft Entra
  • Модуль: Описание возможностей управления доступом в Microsoft Entra
  • Урок. Описание условного доступа

Сценарий практической работы

На этом практическом занятии вы изучите условный доступ с многофакторной проверкой подлинности с точки зрения администратора и пользователя. В качестве администратора вы создадите политику, которая будет требовать многофакторной проверки подлинности пользователя при доступе к любым порталам Microsoft Admin. С точки зрения пользователя вы увидите влияние политики условного доступа, включая процесс регистрации для многофакторной проверки подлинности.

Предполагаемое время: 30 минут

Задача 1

В этой задаче вы, как администратор, сбросите пароль для пользователя Debra Berger. Этот шаг необходим, чтобы сначала войти в систему в качестве пользователя в последующих задачах.

  1. Откройте Microsoft Edge. В адресной строке введите https://entra.microsoft.com и войдите с использованием своих учетных данных администратора.
    1. В окне входа введите admin@WWLxZZZZZZ.onmicrosoft.com (где ZZZZZZ — уникальный идентификатор клиента, предоставленный поставщиком размещения практических занятий), затем нажмите кнопку Далее.
    2. Введите пароль администратора, который должен быть предоставлен поставщиком услуг размещения практических занятий. Выберите Вход.
    3. В зависимости от хост-сервера лаборатории и при первом входе в клиент может потребоваться завершить процесс регистрации MFA. В этом случае следуйте инструкциям на экране, чтобы настроить MFA.
    4. После входа вы перейдете на страницу Центр администрирования Microsoft 365.

  2. В области навигации слева разверните Identity, разверните Пользователи, а затем выберите Все пользователи.

  3. Выберите пользователя Debra Berger из списка.

  4. Выберите Сброс пароля в верхней части страницы. Поскольку вы еще не выполняли вход в качестве пользователя Debra Berger и не знаете ее пароль, необходимо сбросить пароль.

  5. В окне сброса пароля выберите Сбросить пароль. ВАЖНО! Запишите новый пароль, так как он понадобится далее, чтобы выполнить вход в качестве пользователя.

  6. Закройте окно сброса пароля, выбрав X в правом верхнем углу страницы, а затем закройте окно Debra Berger, выбрав X в правом верхнем углу страницы.

  7. На панели навигации слева выберите Главная, чтобы вернуться в центр администрирования Microsoft Entra.

  8. Оставьте это окно открытым.

Задача 2

В рамках этой задачи вам необходимо будет создать политику условного доступа в Microsoft Entra ID.

  1. Откройте вкладку браузера на главной странице центра администрирования Microsoft Entra. Если вы ранее закрыли эту вкладку браузера, откройте Microsoft Edge и в адресной строке введите https://entra.microsoft.com, а затем выполните вход в Microsoft 365 с использованием учетных данных администратора, предоставленных полномочным поставщиком услуг размещения заданий (ALH).

  2. В области навигации слева разверните узел Защита и выберите Условный доступ.

  3. Откроется страница “Обзор” в разделе “Условный доступ”. При переходе на страницу обзора выбрана вкладка “Начало работы “ (подчеркнутая). Перейдите на вкладку “Обзор “. Здесь вы увидите плитки с сводками политики и общими оповещениями. На панели навигации слева выберите Политики.

  4. На панели навигации слева выберите Политики. Здесь будут перечислены все существующие политики условного доступа. Щелкните + Создать политику.

  5. В поле “Имя” введите порталы администрирования блокировки.

  6. В разделе “Пользователи” выберите Выбрано пользователей и групп: 0.

  7. Появится возможность включения или исключения пользователей и групп. Убедитесь, что выбран параметр Включить (подчеркнут).

  8. Выберите параметр для Выбрать пользователей и группы и выберите Пользователи и группы. Откроется окно выбора пользователей и групп.

  9. Введите Debra в строке поиска. Выберите Debra Berger под панелью поиска, а затем нажмите кнопку Выбрать в нижней части страницы. Обратите внимание, что обычно политика назначается пользователям в группе. В целях более быстрого выполнения этого практического занятия мы назначим политику определенному пользователю.

  10. В разделе “Целевые ресурсы” выберите Нет выбранных целевых ресурсов.

  11. В поле ниже, где говорится Выберите, к чему применяется эта политика, выберите стрелку вниз и запишите доступные параметры. Оставьте параметр по умолчанию Облачные приложения. Убедитесь, что вкладка Включить подчеркнута. Выберите Выбрать приложения, а затем ниже, где говорится Выбрать, выберите Нет. Откроется окно выбора облачных приложений.

  12. Выберите порталы администрирования Майкрософт, а затем нажмите клавишу SELECT в нижней части страницы. Обратите внимание на предупреждение.

  13. В разделе “Сеть” выберите любую сеть или расположение. Просмотрите параметры, но не выбирайте параметры.

  14. В разделе “Условия” выберите Выбрано условий: 0. Обратите внимание на различные параметры, которые можно настроить. С помощью политики вы можете управлять доступом пользователей на основе сигналов от условий, включая риск пользователя, риск при входе, платформу устройств, расположение, клиентские приложения или фильтр для устройств. Изучите эти настраиваемые параметры, но не устанавливайте никаких условий.

  15. Теперь необходимо задать элементы управления доступом. В разделе “Предоставить” выберите Выбрано элементов управления: 0.

  16. Откроется окно “Предоставление”. Выберите Заблокировать доступ. В нижней части страницы нажмите Выбрать.

  17. Под надписью «Включить политику» в нижней части страницы выберите Вкл., затем нажмите кнопку Создать.

  18. Выберите Политики на панели навигации слева. Политика “Блокировать порталы администрирования”, которую вы только что создали, должна отображаться в списке политик условного доступа (при необходимости выберите значок “Обновить” в строке команд в верхней части страницы).

  19. Выйдите из системы, нажав пиктограмму пользователя рядом с адресом электронной почты в правом верхнем углу экрана и кнопку Выйти. Затем закройте все окна браузера

Задача 3

В рамках этой задачи вы увидите влияние политики условного доступа с точки зрения пользователя Debra Berger. Сначала необходимо выполнить вход в приложение, которое не включено в политику условного доступа (портал Microsoft 365 по адресу https://login.microsoftonline.com). Затем нужно повторить эту процедуру для приложения, которое включено в политику условного доступа (портал Azure по адресу https://portal.azure.com). Помните, что политика блокирует доступ к любому из порталов администрирования Майкрософт, включая портал Azure. ПРИМЕЧАНИЕ. По соображениям безопасности все учетные записи пользователей, обращающиеся к любому порталу, необходимы для использования MFA. Требование MFA не зависит от этого упражнения лаборатории.

  1. Откройте Microsoft Edge. В адресной строке введите https://login.microsoftonline.com.
    1. Войдите как DebraB@WWLxZZZZZZ.onmicrosoft.com (где ZZZZZZ — уникальный идентификатор вашего клиента, предоставленный поставщиком услуг размещения для лабораторного задания), а затем нажмите Далее.
    2. Введите пароль, который вы указали в предыдущей задаче. Выберите Вход.
    3. Так как пароль, предоставленный администратором, сброс пароля является временным, необходимо обновить пароль. Введите текущий пароль, введите новый пароль и подтвердите новый пароль. Запишите новый пароль, так как он потребуется вам для выполнения задачи.
    4. Так как это первый раз, когда вы войдете в систему как Debra Berger, вам может быть предложено настроить MFA. Следуйте инструкциям на экране, чтобы настроить MFA.
    5. При появлении предложения не выходить из системы выберите Да. Вы должны успешно войти в свою учетную запись Microsoft 365.

  2. Теперь вы попытаетесь войти в приложение, соответствующее критериям политики условного доступа. Откройте новую вкладку браузера и введите https://portal.azure.com, который является порталом администрирования для Azure. Появится всплывающее окно с сообщением “У вас нет доступа к этому”. Это результат политики условного доступа, которая блокирует доступ ко всем порталам администрирования Майкрософт.

  3. Выйдите из системы, нажав значок пользователя рядом с адресом эл. почты в правом верхнем углу экрана и выбрав «Выход». Затем закройте все окна браузера.

Отзыв

В этой лаборатории вы прошли процесс настройки политики условного доступа, которая блокирует доступ к порталам администрирования Майкрософт для всех пользователей, включенных в политику. Затем, когда пользователь испытал влияние политики условного доступа при доступе к портал Azure.