Wymaganie uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń

Użyj akcji dostępu warunkowego użytkownika, aby wymusić zasady podczas rejestrowania lub dołączania urządzeń do identyfikatora Entra firmy Microsoft. Ta kontrolka zapewnia stopień szczegółowości konfigurowania uwierzytelniania wieloskładnikowego na potrzeby rejestrowania lub dołączania urządzeń zamiast istniejących obecnie zasad dotyczących całej dzierżawy. Administratorzy mogą dostosować te zasady tak, aby odpowiadały potrzebom organizacji w zakresie zabezpieczeń.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Tworzenie zasady dostępu warunkowego

Ostrzeżenie

Jeśli używasz metod uwierzytelniania zewnętrznego, są one obecnie niekompatable z siłą uwierzytelniania i należy użyć kontrolki Wymagaj uwierzytelniania wieloskładnikowego.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
3. Wybierz pozycję Nowe zasady.
4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
   2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
6. W obszarze Docelowe zasoby>Akcje użytkownika wybierz pozycję Zarejestruj lub dołącz urządzenia.
7. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie wybierz wbudowaną siłę uwierzytelniania wieloskładnikowego z listy.
   2. Wybierz pozycję Wybierz.
8. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Ostrzeżenie

Po skonfigurowaniu zasad dostępu warunkowego przy użyciu akcji użytkownika Rejestrowanie lub dołączanie urządzeń należy ustawić ustawienie>Require Multifactor Authentication to register or join devices with Microsoft Entrana Nie. W przeciwnym razie zasady dostępu warunkowego z tą akcją użytkownika nie są prawidłowo wymuszane. Więcej informacji na temat tego ustawienia urządzenia można znaleźć w temacie Konfigurowanie ustawień urządzenia.

Powiązana zawartość

• Siła uwierzytelniania dostępu warunkowego
• Określanie efektu przy użyciu trybu tylko do uzyskiwania dostępu warunkowego
• Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.
• Zarządzanie tożsamościami urządzeń przy użyciu centrum administracyjnego firmy Microsoft Entra