Wymaganie bezpiecznej zmiany hasła w przypadku podwyższonego ryzyka związanego z użytkownikiem

Firma Microsoft współpracuje z badaczami, organami ścigania, różnymi zespołami ds. zabezpieczeń w firmie Microsoft i innymi zaufanymi źródłami w celu znalezienia ujawnionych par nazw użytkowników i haseł. Organizacje z licencjami Microsoft Entra ID P2 mogą tworzyć zasady dostępu warunkowego obejmujące wykrywanie ryzyka użytkownika przez Microsoft Entra ID Protection.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta awaryjne na wypadek zablokowania z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i konta dostępu do usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Włączanie przy użyciu zasad dostępu warunkowego

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do Ochrona>Dostępu warunkowego.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. Pod Przypisania wybierz Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta break-glass w organizacji.
   3. Wybierz pozycję Gotowe.
6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze").
7. W obszarze Warunki>Ryzyko użytkownika ustaw wartość Konfiguruj na Tak.
   1. W obszarze Konfigurowanie poziomów ryzyka użytkownika wymaganych do wymuszania zasad wybierz pozycję Wysoki. Te wskazówki są oparte na zaleceniach firmy Microsoft i mogą być różne dla każdej organizacji
   2. Wybierz pozycję Gotowe.
8. W obszarze Kontrola dostępu>Udziel, wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz pozycję Wymagaj zmiany hasła.
   3. Wybierz Wybierz.
9. W obszarze Sesja.
   1. Wybierz Częstotliwość logowania.
   2. Upewnij się, że za każdym razem jest zaznaczone.
   3. Wybierz Wybierz.
10. Potwierdź ustawienia i ustaw Włącz zasady na Tylko raportowanie.
11. Wybierz pozycję Utwórz, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko raportowania, mogą przenieść przełącznik Włącz politykę z tylko raportowanie do włączone.

Scenariusze bez hasła

W przypadku organizacji, które przyjmują metody uwierzytelniania bez hasła, wprowadź następujące zmiany:

Aktualizowanie zasad ryzyka użytkowników bez hasła

1. W obszarze Użytkownicy:
   1. Uwzględnij, wybierz pozycję Użytkownicy i grupy i skieruj użytkowników korzystających z logowania bez hasła.
2. W obszarze Kontrole dostępu>blokuj dostęp dla użytkowników bez hasła.

Wskazówka

Może być konieczne posiadanie dwóch zasad przez pewien czas podczas wdrażania metod bez hasła.

• Taki, który umożliwia samodzielne korygowanie dla osób, które nie korzystają z metod bez hasła.
• Inny, który blokuje użytkowników bez hasła na wysokim ryzyku.

Rozwiązywanie i usuwanie ryzyka związanego z użytkownikami bez hasła

1. Wymagaj od administratora przeprowadzenia badania i remediacji wszelkiego ryzyka.
2. Odblokuj użytkownika.

Powiązana zawartość

• Wymagaj ponownego uwierzytelniania za każdym razem
• Korygowanie zagrożeń i odblokowywanie użytkowników
• Typowe zasady dostępu warunkowego
• Dostęp warunkowy oparty na ryzyku logowania
• Określanie efektu przy użyciu trybu tylko do raportowania w funkcji Dostępu Warunkowego
• Użyj trybu raportowania dla dostępu warunkowego, aby ocenić wyniki nowych decyzji polityki