Udostępnij za pośrednictwem

Wymagaj uwierzytelniania wieloskładnikowego dla administratorów

  • Artykuł

Konta, do których przypisano prawa administracyjne, są celem atakujących. Wymaganie uwierzytelniania wieloskładnikowego (MFA) na tych kontach jest łatwym sposobem zmniejszenia ryzyka naruszenia tych kont.

Firma Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji na co najmniej następujących rolach:

  • Administrator globalny
  • Administrator aplikacji
  • Administrator uwierzytelniania
  • Administrator rozliczeń
  • Administrator aplikacji w chmurze
  • Administrator dostępu warunkowego
  • Administrator programu Exchange
  • Administrator pomocy technicznej
  • Administrator zarządzania hasłami
  • Administrator uwierzytelniania uprzywilejowanego
  • Administrator ról uprzywilejowanych
  • Administrator zabezpieczeń
  • SharePoint Administrator
  • Administrator użytkowników

Organizacje mogą dołączać lub wykluczać role zgodnie z ich potrzebami.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta awaryjne typu 'break-glass', aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i zasady usługi, takie jak Konto synchronizacji Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki ułatwiają utworzenie zasad dostępu warunkowego, aby osoby przypisane do ról administracyjnych musiały przeprowadzić uwierzytelnianie wieloskładnikowe. Niektóre organizacje mogą być gotowe do przejścia do silniejszych metod uwierzytelniania dla administratorów. Te organizacje mogą zdecydować się na wdrożenie zasad, takich jak te opisane w artykule Wymagaj uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji dla administratorów.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp Warunkowy>Zasady.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń roboczych.

    1. W obszarze Uwzględnij wybierz pozycję Role katalogowe i wybierz co najmniej wcześniej wymienione role.

      Ostrzeżenie

      Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.

    2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz awaryjne konta dostępu dla Twojej organizacji.

  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
  7. W obszarze Kontrola dostępu>Udziel, wybierz Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego, i wybierz Wybierz.
  8. Potwierdź ustawienia i ustaw Włącz politykę na tylko raportowanie.
  9. Wybierz pozycję Utwórz, aby włączyć Twoje zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu, mogą przenieść przełącznik Włączenia polityki z trybu Tylko raport na Włączony.

Powiązana zawartość