Udostępnij za pośrednictwem

Wymaganie uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji dla administratorów

  • Artykuł

Konta z przypisanymi uprzywilejowanymi rolami administracyjnymi są częstymi celami osób atakujących. Wymaganie uwierzytelniania wieloskładnikowego odpornego na wyłudzenie informacji (MFA) na tych kontach jest łatwym sposobem zmniejszenia ryzyka naruszenia zabezpieczeń tych kont.

Uwaga

Przed utworzeniem zasad wymagających uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji upewnij się, że administratorzy mają zarejestrowane odpowiednie metody. Jeśli włączysz te zasady bez wykonywania tego kroku, ryzykujesz zablokowanie się z dzierżawy. Administratorzy mogą skonfigurować dostęp tymczasowy w celu zarejestrowania metod uwierzytelniania bez hasła lub wykonaj kroki opisane w temacie Rejestrowanie klucza dostępu (FIDO2).

Firma Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji na co najmniej następujących rolach:

  • Administrator globalny
  • Administrator aplikacji
  • Administrator uwierzytelniania
  • Administrator rozliczeń
  • Administrator aplikacji w chmurze
  • Administrator dostępu warunkowego
  • Administrator programu Exchange
  • Administrator pomocy technicznej
  • Administrator haseł
  • Administrator uwierzytelniania uprzywilejowanego
  • Administrator ról uprzywilejowanych
  • Administrator zabezpieczeń
  • SharePoint Administrator
  • Administrator użytkowników

Organizacje mogą zdecydować się na dołączenie lub wykluczenie ról na podstawie własnych wymagań.

Organizacje mogą używać tych zasad w połączeniu z funkcjami takimi jak Privileged Identity Management (PIM) i możliwość wymagania uwierzytelniania wieloskładnikowego na potrzeby aktywacji roli.

Siła uwierzytelniania

Wskazówki zawarte w tym artykule ułatwiają organizacji tworzenie zasad uwierzytelniania wieloskładnikowego dla środowiska przy użyciu mocnych stron uwierzytelniania. Identyfikator Entra firmy Microsoft zapewnia trzy wbudowane siły uwierzytelniania:

  • Siła uwierzytelniania wieloskładnikowego (mniej restrykcyjna)
  • Siła uwierzytelniania wieloskładnikowego bez hasła
  • Siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji (najbardziej restrykcyjna) zalecana w tym artykule

Możesz użyć jednej z wbudowanych mocnych stron lub utworzyć niestandardową siłę uwierzytelniania na podstawie metod uwierzytelniania, których chcesz wymagać.

W przypadku scenariuszy użytkowników zewnętrznych metody uwierzytelniania wieloskładnikowego, które dzierżawa zasobów może akceptować, różnią się w zależności od tego, czy użytkownik wykonuje uwierzytelnianie wieloskładnikowe w dzierżawie głównej, czy w dzierżawie zasobów. Aby uzyskać więcej informacji, zobacz Siła uwierzytelniania dla użytkowników zewnętrznych.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Ostrzeżenie

Jeśli używasz metod uwierzytelniania zewnętrznego, są one obecnie niekompatable z siłą uwierzytelniania i należy użyć kontrolki Wymagaj uwierzytelniania wieloskładnikowego.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony >warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.

    1. W obszarze Uwzględnij wybierz pozycję Role katalogu i wybierz co najmniej wymienione wcześniej role.

      Ostrzeżenie

      Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.

    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.

  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
  7. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie z listy wybierz pozycję Siła uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji.
    2. Wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Powiązana zawartość