Azure AD Sync и Conditional Access Policies
Собственно, о чем бы тут хотелось. Препозиция: естьу нас тенант, который завязан на партнерский портал Microsoft. Одно из требований – настройка определенных политик безопасности, и даже (вот это поворот!) есть два пути:
- Лекго и непринужденно включаем Azure Active Directory security defaults
- Настраиваем Azure AD Conditional Access
Естественно, все изначально настраивалось в спешке и хоть и по плану, но в весьма сжатые сроки, поэтому пошли по первому пути. Но это тянет за собой некотjрые проблемы, которые рано или поздно пришлось решать с помощью политик условного доступа. Ну ок – сказано, сделано. Благо, прямо на странице описания Security Defaults есть почти полная инструкция по настройке этих самых политик. Ну, кроме того, что пользователи, конечно, слегка попаниковали, и пришлось постить в Teams сообщение с инструкцией (а ты, уважаемый читатель, сделай это заранее) в духе “Не паниковать.Читать. Подтверждать”.
Но справились, и все бы ничего, но прилетает мне вот такое письмо:
Естественно, сие вызвало легкое недоумение (“ну как так то, все аккаунты вроде добавил в исключения же!”). Однако и службы и пош – все говорит об одном, что нет пути обратно о том, что где-то я накосячил.
Ну и конечно же – всеоказалось донельзя просто и банально.
Товарищи, при настройке Conditional Access не забывайте добавить в исключения Service Principal Sync Account вот такого примерно вида:
Ну и после этого, ессно, все прошло как надо. Как-то так.
Не косячте, дорогие коллеги.