Vyžadování vícefaktorového ověřování pro všechny uživatele

Jako Alex Weinert, ředitel identity security v Microsoftu, zmínil ve svém blogovém příspěvku Váš Pa$$word nezáleží:

Na vašem heslu nezáleží, ale vícefaktorové ověřování to dělá! Na základě našich studií je váš účet více než 99,9 % méně pravděpodobné, že bude ohrožen, pokud používáte vícefaktorové ověřování.

Síla ověřování

Pokyny v tomto článku pomáhají vaší organizaci vytvořit zásadu vícefaktorového ověřování pro vaše prostředí s využitím silných stránek ověřování. Microsoft Entra ID poskytuje tři předdefinované síly ověřování:

• Síla vícefaktorového ověřování (méně omezující) doporučená v tomto článku
• Síla vícefaktorového ověřování bez hesla
• Síla MFA odolná proti útokům phishing (nejvíce omezující)

Můžete použít některou z předdefinovaných silných stránek nebo vytvořit vlastní sílu ověřování na základě metod ověřování, které chcete vyžadovat.

V případě scénářů externích uživatelů se metody ověřování vícefaktorového ověřování, které tenant prostředku může přijmout, liší v závislosti na tom, jestli uživatel provádí vícefaktorové ověřování ve svém domovském tenantovi nebo v tenantovi prostředku. Další informace najdete v tématu Síla ověřování pro externí uživatele.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Nasazení šablon

Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.

Vytvořte zásady podmíněného přístupu

Následující kroky vám pomohou vytvořit zásadu podmíněného přístupu, která vyžaduje, aby všichni uživatelé prováděli vícefaktorové ověřování pomocí zásad síly ověřování, bez vyloučení aplikací.

Upozorňující

Pokud používáte metody externího ověřování, tyto metody jsou momentálně nekompatibilní s silou ověřování a měli byste použít řízení udělení vícefaktorového ověřování .

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

2. Přejděte k zásadám podmíněného přístupu ochrany>

3. Vyberte Možnost Nová zásada.

4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

5. V části Přiřazení vyberte Uživatelé nebo identity úloh.

   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů vaší organizace.
      1. Můžete se rozhodnout vyloučit uživatele typu host, pokud na ně cílíte pomocí zásad specifických pro uživatele typu host.

6. V části Cílové prostředky>(dříve cloudové aplikace)>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).

   Spropitné

   Microsoft doporučuje všem organizacím vytvořit základní zásady podmíněného přístupu, které cílí: Všichni uživatelé, všechny prostředky bez vyloučení aplikací a vyžadují vícefaktorové ověřování.

7. V části Řízení>přístupu udělte možnost Udělit přístup.

   1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování.
   2. Zvolte Zvolit.

8. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.

9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Pojmenovaná umístění

Organizace se můžou rozhodnout, že do zásad podmíněného přístupu začlení známá síťová umístění známá jako Pojmenovaná umístění . Tato pojmenovaná umístění můžou zahrnovat důvěryhodné IP sítě, jako jsou sítě pro hlavní pobočku. Další informace o konfiguraci pojmenovaných umístění najdete v článku Co je podmínka umístění v podmíněném přístupu Microsoft Entra?

V předchozích ukázkových zásadách se organizace může rozhodnout, že při přístupu ke cloudové aplikaci z podnikové sítě nevyžaduje vícefaktorové ověřování. V takovém případě by do zásady mohli přidat následující konfiguraci:

1. V části Přiřazení vyberte Síť.
   1. Konfigurovat ano.
   2. Zahrnout jakoukoli síť nebo umístění.
   3. Vyloučit všechny důvěryhodné sítě a umístění.
2. Uložte změny zásad.

Související obsah

• Šablony podmíněného přístupu
• Pomocí režimu jen pro podmíněný přístup můžete určit výsledky nových rozhodnutí o zásadách.
• Aktivace předplatného Windows