Vyžadování vícefaktorového ověřování pro všechny uživatele

Jako Alex Weinert, ředitel identity security v Microsoftu, zmínil ve svém blogovém příspěvku Váš Pa$$word nezáleží:

Na vašem heslu nezáleží, ale vícefaktorové ověřování to dělá! Na základě našich studií je váš účet více než 99,9 % méně pravděpodobné, že bude ohrožen, pokud používáte vícefaktorové ověřování.

Síla ověřování

Pokyny v tomto článku pomáhají vaší organizaci vytvořit zásadu vícefaktorového ověřování pro vaše prostředí s využitím silných stránek ověřování. Microsoft Entra ID poskytuje tři předdefinované síly ověřování:

• Síla vícefaktorového ověřování (méně omezující) doporučená v tomto článku
• Síla vícefaktorového ověřování bez hesla
• Síla MFA odolná proti útokům phishing (nejvíce omezující)

Můžete použít některou z předdefinovaných silných stránek nebo vytvořit vlastní sílu ověřování na základě metod ověřování, které chcete vyžadovat.

V případě scénářů externích uživatelů se metody ověřování vícefaktorového ověřování, které tenant prostředku může přijmout, liší v závislosti na tom, jestli uživatel provádí vícefaktorové ověřování ve svém domovském tenantovi nebo v tenantovi prostředku. Další informace najdete v tématu Síla ověřování pro externí uživatele.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Nasazení šablon

Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.

Vytvořte zásady podmíněného přístupu

Následující postup vám pomůže vytvořit zásadu podmíněného přístupu, která vyžaduje vícefaktorové ověřování pomocí zásad síly ověřování.

Upozorňující

Pokud používáte metody externího ověřování, tyto metody jsou momentálně nekompatibilní s silou ověřování a měli byste použít řízení udělení vícefaktorového ověřování .

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
2. Přejděte k zásadám podmíněného přístupu ochrany>>.
3. Vyberte Možnost Nová zásada.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů vaší organizace.
      1. Můžete se rozhodnout vyloučit uživatele typu host, pokud na ně cílíte pomocí zásad specifických pro uživatele typu host.
6. V části Cílové prostředky>(dříve cloudové aplikace)>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
   1. V části Vyloučit vyberte všechny aplikace, které nevyžadují vícefaktorové ověřování.
7. V části Řízení>přístupu udělte možnost Udělit přístup.
   1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování.
   2. Zvolte Zvolit.
8. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Pojmenovaná umístění

Organizace se můžou rozhodnout, že do zásad podmíněného přístupu začlení známá síťová umístění známá jako Pojmenovaná umístění . Tato pojmenovaná umístění můžou zahrnovat důvěryhodné IP sítě, jako jsou sítě pro hlavní pobočku. Další informace o konfiguraci pojmenovaných umístění najdete v článku Co je podmínka umístění v podmíněném přístupu Microsoft Entra?

V předchozích ukázkových zásadách se organizace může rozhodnout, že při přístupu ke cloudové aplikaci z podnikové sítě nevyžaduje vícefaktorové ověřování. V takovém případě by do zásady mohli přidat následující konfiguraci:

1. V části Přiřazení vyberte Síť.
   1. Konfigurovat ano.
   2. Zahrnout jakoukoli síť nebo umístění.
   3. Vyloučit všechny důvěryhodné sítě a umístění.
2. Uložte změny zásad.

Vyloučení aplikací

Organizace můžou používat mnoho cloudových aplikací. Ne všechny tyto aplikace vyžadují stejné zabezpečení. Například mzdové a docházkové žádosti můžou vyžadovat MFA, ale kavárna pravděpodobně ne. Správci se můžou rozhodnout vyloučit konkrétní aplikace ze svých zásad.

Aktivace předplatného

Organizace, které používají funkci aktivace předplatného, umožňují uživatelům "krokovat" z jedné verze Windows do jiné a používat zásady podmíněného přístupu k řízení přístupu, aby z jejich zásad podmíněného přístupu vyloučily jednu z následujících cloudových aplikací pomocí možnosti Vybrat vyloučené cloudové aplikace:

• Rozhraní API služby Universal Store a webová aplikace, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f.

• Windows Store pro firmy, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f.

I když je ID aplikace v obou instancích stejné, název cloudové aplikace závisí na tenantovi.

Pokud je zařízení po delší dobu offline, nemusí se automaticky aktivovat, pokud toto vyloučení podmíněného přístupu není nastavené. Nastavením tohoto vyloučení podmíněného přístupu zajistíte, že aktivace předplatného bude bez problémů fungovat.

Od Windows 11 verze 23H2 s KB5034848 nebo novějším se uživatelům zobrazí výzva k ověření pomocí informační zprávy, když aktivace předplatného potřebuje opětovnou aktivaci. Informační zpráva zobrazí následující zprávu:

Váš účet vyžaduje ověření.

Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.

V podokně Aktivace se navíc může zobrazit následující zpráva:

Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.

K výzvě k ověření obvykle dochází v případě, že je zařízení po delší dobu offline. Tato změna eliminuje potřebu vyloučení v zásadách podmíněného přístupu pro Windows 11 verze 23H2 s KB5034848 nebo novějším. Zásady podmíněného přístupu se dají dál používat s Windows 11 verze 23H2 s KB5034848 nebo novějším, pokud není žádoucí výzva k ověření uživatele prostřednictvím informačního oznámení.

Související obsah

• Šablony podmíněného přístupu
• Pomocí režimu jen pro podmíněný přístup můžete určit výsledky nových rozhodnutí o zásadách.