Udostępnij za pośrednictwem

Wymaganie uwierzytelniania wieloskładnikowego dla administratorów, którzy uzyskują dostęp do portali administracyjnych firmy Microsoft

  • Artykuł

Firma Microsoft zaleca zabezpieczenie dostępu do dowolnych portali administracyjnych firmy Microsoft, takich jak Microsoft Entra, Microsoft 365, Exchange i Azure. Organizacje aplikacji Portale administracyjne firmy Microsoft mogą kontrolować interakcyjny dostęp do portali administracyjnych firmy Microsoft.

Firma Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji na co najmniej następujących rolach:

  • Administrator globalny
  • Administrator aplikacji
  • Administrator uwierzytelniania
  • Administrator rozliczeń
  • Administrator aplikacji w chmurze
  • Administrator dostępu warunkowego
  • Administrator programu Exchange
  • Administrator pomocy technicznej
  • Administrator haseł
  • Administrator uwierzytelniania uprzywilejowanego
  • Administrator ról uprzywilejowanych
  • Administrator zabezpieczeń
  • SharePoint Administrator
  • Administrator użytkowników

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.

    1. W obszarze Uwzględnij wybierz pozycję Role katalogu i wybierz co najmniej wymienione wcześniej role.

      Ostrzeżenie

      Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.

    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.

  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij pozycję Wybierz zasoby, wybierz pozycję Portale administracyjne firmy Microsoft.
  7. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu, Wymagaj siły uwierzytelniania, wybierz pozycję Uwierzytelnianie wieloskładnikowe, a następnie wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Powiązana zawartość