Udostępnij za pośrednictwem


Wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników

Jak Alex Weinert, dyrektor ds. zabezpieczeń tożsamości w firmie Microsoft, wspomina w swoim wpisie w blogu Your Pa$$word nie ma znaczenia:

Hasło nie ma znaczenia, ale uwierzytelnianie wieloskładnikowe nie ma znaczenia! W oparciu o nasze badania Twoje konto jest mniej niż 99,9% mniej prawdopodobne, jeśli korzystasz z uwierzytelniania wieloskładnikowego.

Siła uwierzytelniania

Wskazówki zawarte w tym artykule ułatwiają organizacji tworzenie zasad uwierzytelniania wieloskładnikowego dla środowiska przy użyciu mocnych stron uwierzytelniania. Identyfikator Entra firmy Microsoft zapewnia trzy wbudowane siły uwierzytelniania:

  • Siła uwierzytelniania wieloskładnikowego (mniej restrykcyjna) zalecana w tym artykule
  • Siła uwierzytelniania wieloskładnikowego bez hasła
  • Odporność na wyłudzanie informacji o sile uwierzytelniania wieloskładnikowego (najbardziej restrykcyjne)

Możesz użyć jednej z wbudowanych mocnych stron lub utworzyć niestandardową siłę uwierzytelniania na podstawie metod uwierzytelniania, których chcesz wymagać.

W przypadku scenariuszy użytkowników zewnętrznych metody uwierzytelniania wieloskładnikowego, które dzierżawa zasobów może akceptować, różnią się w zależności od tego, czy użytkownik wykonuje uwierzytelnianie wieloskładnikowe w dzierżawie głównej, czy w dzierżawie zasobów. Aby uzyskać więcej informacji, zobacz Siła uwierzytelniania dla użytkowników zewnętrznych.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki pomagają utworzyć zasady dostępu warunkowego, aby wymagać od wszystkich użytkowników uwierzytelniania wieloskładnikowego przy użyciu zasad siły uwierzytelniania.

Ostrzeżenie

Jeśli używasz metod uwierzytelniania zewnętrznego, są one obecnie niekompatable z siłą uwierzytelniania i należy użyć kontrolki Wymagaj uwierzytelniania wieloskładnikowego.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta awaryjne w organizacji.
      1. Możesz wykluczyć użytkowników-gości, jeśli są one przeznaczone dla określonych zasad użytkownika-gościa.
  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
    1. W obszarze Wyklucz wybierz wszystkie aplikacje, które nie wymagają uwierzytelniania wieloskładnikowego.
  7. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
    2. Wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Nazwane lokalizacje

Organizacje mogą zdecydować się na uwzględnienie znanych lokalizacji sieciowych znanych jako nazwane lokalizacje w zasadach dostępu warunkowego. Te nazwane lokalizacje mogą obejmować zaufane sieci IP, takie jak te dla lokalizacji głównej biura. Aby uzyskać więcej informacji na temat konfigurowania nazwanych lokalizacji, zobacz artykuł Co to jest warunek lokalizacji w usłudze Microsoft Entra Conditional Access?

W poprzednich przykładowych zasadach organizacja może nie wymagać uwierzytelniania wieloskładnikowego w przypadku uzyskiwania dostępu do aplikacji w chmurze z sieci firmowej. W takim przypadku mogą dodać następującą konfigurację do zasad:

  1. W obszarze Przypisania wybierz pozycję Sieć.
    1. Skonfiguruj wartość Tak.
    2. Uwzględnij dowolną sieć lub lokalizację.
    3. Wyklucz wszystkie zaufane sieci i lokalizacje.
  2. Zapisz zmiany zasad.

Wykluczenia aplikacji

Organizacje mogą mieć wiele aplikacji w chmurze w użyciu. Nie wszystkie te aplikacje wymagają równych zabezpieczeń. Na przykład aplikacje płacowe i frekwencyjne mogą wymagać uwierzytelniania wieloskładnikowego, ale kafeteria prawdopodobnie tego nie robi. Administratorzy mogą wykluczyć określone aplikacje z zasad.

Aktywacja subskrypcji

Organizacje korzystające z funkcji aktywacji subskrypcji, aby umożliwić użytkownikom "zintensyfikowanie" z jednej wersji systemu Windows do innej i używanie zasad dostępu warunkowego w celu kontrolowania dostępu do konieczności wykluczenia jednej z następujących aplikacji w chmurze z zasad dostępu warunkowego przy użyciu opcji Wybierz wykluczone aplikacje w chmurze:

Mimo że identyfikator aplikacji jest taki sam w obu wystąpieniach, nazwa aplikacji w chmurze zależy od dzierżawy.

Jeśli urządzenie jest w trybie offline przez dłuższy czas, może nie zostać ponownie aktywowane automatycznie, jeśli to wykluczenie dostępu warunkowego nie zostanie wprowadzone. Ustawienie tego wykluczenia dostępu warunkowego gwarantuje, że aktywacja subskrypcji będzie nadal bezproblemowo działać.

Począwszy od systemu Windows 11, wersja 23H2 z KB5034848 lub nowszym, użytkownicy są monitowani o uwierzytelnienie za pomocą wyskakujące powiadomienie, gdy aktywacja subskrypcji musi ponownie uaktywnić. Wyskakujące powiadomienie zawiera następujący komunikat:

Twoje konto wymaga uwierzytelniania

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Ponadto w okienku Aktywacja może zostać wyświetlony następujący komunikat:

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Monit o uwierzytelnienie zwykle występuje, gdy urządzenie jest w trybie offline przez dłuższy czas. Ta zmiana eliminuje konieczność wykluczenia w zasadach dostępu warunkowego dla systemu Windows 11 w wersji 23H2 z KB5034848 lub nowszym. Zasady dostępu warunkowego mogą być nadal używane w systemie Windows 11 w wersji 23H2 z KB5034848 lub nowszym, jeśli monit o uwierzytelnienie użytkownika za pośrednictwem wyskakujące powiadomienie nie jest wymagane.