Udostępnij za pośrednictwem

Wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników

  • Artykuł

Jak pisze Alex Weinert, dyrektor ds. zabezpieczeń tożsamości w firmie Microsoft, na swoim blogu „Your Pa$$word doesn't matter”:

Hasło nie ma znaczenia, ale uwierzytelnianie wieloskładnikowe nie ma znaczenia! Na podstawie naszych badań użycie uwierzytelniania wieloskładnikowego sprawia, że prawdopodobieństwo kompromitacji Twojego konta jest ponad 99,9% mniejsze.

Siła uwierzytelniania

Wskazówki zawarte w tym artykule pomagają organizacji stworzyć politykę uwierzytelniania wieloskładnikowego dla środowiska, korzystając z silnych metod uwierzytelniania. Identyfikator Entra firmy Microsoft zapewnia trzy wbudowane siły uwierzytelniania:

  • Siła uwierzytelniania wieloskładnikowego (mniej restrykcyjna) zalecana w tym artykule
  • Siła uwierzytelniania wieloskładnikowego bez hasła
  • Siła odporności MFA przeciwko wyłudzaniu informacji (najbardziej restrykcyjne)

Możesz użyć jednej z wbudowanych sił lub utworzyć niestandardową siłę uwierzytelniania na podstawie metod uwierzytelniania, które chcesz wymagać.

W przypadku scenariuszy użytkowników zewnętrznych metody uwierzytelniania wieloskładnikowego, które dzierżawa zasobów może akceptować, różnią się w zależności od tego, czy użytkownik wykonuje uwierzytelnianie wieloskładnikowe w swojej dzierżawie macierzystej, czy w dzierżawie zasobów. Aby uzyskać więcej informacji, zobacz Siła uwierzytelniania dla użytkowników zewnętrznych.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta typu break-glass w celu zapobieżenia zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usługowe i zasady usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez partnerów usług nie będą blokowane przez zasady dostępu warunkowego dotyczące użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki pomagają utworzyć politykę dostępu warunkowego, aby wymagać od wszystkich użytkowników uwierzytelniania wieloskładnikowego, przy użyciu polityki siły uwierzytelniania, bez żadnych wykluczeń aplikacji.

Ostrzeżenie

Zewnętrzne metody uwierzytelniania są obecnie niekompatybilne z poziomem bezpieczeństwa uwierzytelniania. Należy użyć Wymagaj uwierzytelniania wieloskładnikowego nadaj kontrolę.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.

  2. Przejdź do Ochrona>Warunkowy Dostęp>Zasady.

  3. Wybierz pozycję Nowe zasady.

  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.

  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.

    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
    2. W obszarze Wyklucz:
      1. Wybierz użytkowników i grupy
        1. Wybierz konta dostępu awaryjnego lub konta break-glass organizacji.
        2. Jeśli używasz rozwiązań tożsamości hybrydowych, takich jak Microsoft Entra Connect lub Microsoft Entra Connect Cloud Sync, wybierz pozycję role katalogu , a następnie wybierz pozycję konta synchronizacji katalogów
      2. Możesz wykluczyć użytkowników-gości, jeśli są objęci polityką specyficzną dla użytkowników-gości.

  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .

    Napiwek

    Firma Microsoft zaleca wszystkim organizacjom utworzenie podstawowych zasad dostępu warunkowego, które są przeznaczone dla wszystkich użytkowników, wszystkich zasobów bez żadnych wykluczeń aplikacji i wymaga uwierzytelniania wieloskładnikowego.

  7. W obszarze Kontrola dostępu>Udziel wybierz pozycję Udziel dostępu.

    1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
    2. Wybierz pozycję Wybierz.

  8. Potwierdź swoje ustawienia i ustaw Włącz zasady na Tylko raportowanie.

  9. Wybierz Utwórz, aby włączyć swoją politykę.

Po potwierdzeniu przez administratorów ustawień w trybie tylko raportowania, mogą przenieść przełącznik Włącz politykę z trybu Tylko raport na Włącz.

Nazwane lokalizacje

Organizacje mogą zdecydować się na uwzględnienie znanych lokalizacji sieciowych znanych jako nazwane lokalizacje w zasadach dostępu warunkowego. Te nazwane lokalizacje mogą obejmować zaufane sieci IP, takie jak te dla lokalizacji głównej biura. Aby uzyskać więcej informacji na temat konfigurowania nazwanych lokalizacji, zobacz artykuł Co to jest warunek lokalizacji w usłudze Microsoft Entra Conditional Access?

W poprzednich przykładowych zasadach organizacja może nie wymagać uwierzytelniania wieloskładnikowego w przypadku uzyskiwania dostępu do aplikacji w chmurze z sieci firmowej. W takim przypadku mogą dodać następującą konfigurację do polityki.

  1. W Przypisania wybierz Sieć.
    1. Skonfiguruj Tak.
    2. Uwzględnij dowolną sieć lub lokalizację.
    3. Wyklucz wszystkie zaufane sieci i lokalizacje.
  2. Zapisz zmiany zasad.

Powiązana zawartość