Vyžadování vícefaktorového ověřování pro všechny uživatele

Jako Alex Weinert, ředitel identity security v Microsoftu, zmínil ve svém blogovém příspěvku Váš Pa$$word nezáleží:

Na vašem heslu nezáleží, ale vícefaktorové ověřování to dělá! Na základě našich studií je váš účet více než 99,9 % méně pravděpodobné, že bude ohrožen, pokud používáte vícefaktorové ověřování.

Síla ověřování

Pokyny v tomto článku pomáhají vaší organizaci vytvořit politiku vícefaktorového ověřování pro vaše prostředí využívající silné stránky autentizace. Microsoft Entra ID poskytuje tři předdefinované síly ověřování:

• Síla vícefaktorového ověřování (méně omezující) doporučená v tomto článku
• Síla vícefaktorového ověřování bez hesla
• Síla MFA odolná proti útokům phishing (nejvíce omezující)

Můžete použít některou z vestavěných úrovní zabezpečení nebo vytvořit vlastní úroveň zabezpečení pro ověřování podle metod ověřování, které chcete vyžadovat.

Pro scénáře externích uživatelů se metody vícefaktorového ověřování, které může tenant prostředku přijmout, liší v závislosti na tom, zda uživatel provádí vícefaktorové ověřování ve svém domovském tenantovi nebo v tenantovi prostředku. Další informace najdete v tématu Síla ověřování pro externí uživatele.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo nouzové účty, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Služební účty a služební principály, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání principálů služby nebudou blokována zásadami podmíněného přístupu vymezenými pro uživatele. Použijte podmíněný přístup pro identity pracovních zatížení k definování zásad zaměřených na služební principály.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Nasazení šablon

Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.

Vytvořte zásady podmíněného přístupu

Následující kroky vám pomohou vytvořit zásadu podmíněného přístupu, která vyžaduje, aby všichni uživatelé prováděli vícefaktorové ověřování pomocí zásad síly ověřování, bez vyloučení aplikací.

Varování

vnější ověřovací metody jsou aktuálně nekompatibilní se silou ověřování. Měli byste použít Vyžadovat vícefaktorové ověřování a přidělit řízení.

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

2. Přejděte na Ochrana>Podmíněný přístup>Zásady.

3. Vyberte Nová zásada.

4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

5. V části Přiřazení vyberte Uživatelé nebo identity úloh.

   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit:
      1. Vyberte Uživatelé a skupiny
         1. Zvolte nouzové přístupové účty nebo účty k mimořádnému přístupu vaší organizace.
         2. Pokud používáte hybridní řešení identity, jako je Microsoft Entra Connect nebo Microsoft Entra Connect Cloud Sync, vyberte role adresáře, poté vyberte účty synchronizace adresářů
      2. Můžete se rozhodnout vyloučit uživatele typu host, pokud na ně cílíte pomocí zásad specifických pro uživatele typu host.

6. V části >> vyberte Všechny prostředky (dříve Všechny cloudové aplikace).

   Spropitné

   Microsoft doporučuje všem organizacím vytvořit základní zásady podmíněného přístupu, které cílí: Všichni uživatelé, všechny prostředky bez vyloučení aplikací a vyžadují vícefaktorové ověřování.

7. V části Řízení přístupu>Udělit vyberte Udělit přístup.

   1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování.
   2. Zvolte Zvolit.

8. Potvrďte nastavení a nastavte Povolit zásadu na režim pouze pro sestavy.

9. Vyberte Vytvořit, abyste povolili svou zásadu.

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout přepínač zásady Povolit z jen pro sestavy na Zapnuto.

Pojmenované lokality

Organizace se můžou rozhodnout, že do zásad podmíněného přístupu začlení známá síťová umístění známá jako Pojmenovaná umístění . Tato pojmenovaná umístění můžou zahrnovat důvěryhodné IP sítě, jako jsou sítě pro hlavní pobočku. Další informace o konfiguraci pojmenovaných umístění najdete v článku Co je podmínka umístění v podmíněném přístupu Microsoft Entra?

V předchozích ukázkových zásadách se organizace může rozhodnout, že při přístupu ke cloudové aplikaci z podnikové sítě nevyžaduje vícefaktorové ověřování. V takovém případě by do zásady mohli přidat následující konfiguraci:

1. V části Přiřazení vyberte Síť.
   1. Konfigurovat ano.
   2. Zahrnout jakoukoli síť nebo umístění.
   3. Vyloučit všechny důvěryhodné sítě a umístění.
2. Uložte změny zásad.

Související obsah

• Šablony podmíněného přístupu
• Pomocí režimu pouze pro hlášení v Podmíněném přístupu můžete určit výsledky nových rozhodnutí o zásadách.
• Aktivace předplatného Windows