Поделиться через

Настройка основных восьми политик условного доступа MFA

  • Статья

В этой статье содержатся рекомендации по настройке политики условного доступа в Microsoft Entra ID в соответствии с требованиями для заданного уровня зрелости.

Примечание.

  • Не создавайте исключения для следующих политик MFA (например, не исключайте на основе расположения, состояния устройства).
  • Существует известная проблема с активацией лицензирования Windows, когда для приложения Магазина Windows для бизнеса требуется многофакторная проверка подлинности. Промежуточный обходной путь — исключить это приложение из политики условного доступа.

Создание политики условного доступа.

  1. Перейдите к Центр администрирования Microsoft Entra>Центр администрирования Microsoft Entra.
  2. Выберите Защита>Условный доступ>Создать политику.
  3. Настройте политику для требуемого уровня зрелости.
  4. Установите для параметра Включить политику значение Включено, выберите Создать.

Уровень зрелости 1

  • Имя: ACSC Essential Восемь MFA — уровень зрелости 1
  • Пользователи:
    • Включить: все пользователи
  • Облачные приложения:
    • Включить: все облачные приложения
  • Условия: Нет
  • Предоставление: требовать надежность проверки подлинности

Уровни зрелости 2 & 3

  • Имя: ACSC Essential Восемь MFA — уровень зрелости 2 & 3
  • Пользователи:
    • Включить: все пользователи
  • Облачные приложения:
    • Включить: все облачные приложения
  • Условия: Нет
  • Предоставление: требовать надежность проверки подлинности

Рекомендации корпорации Майкрософт

В дополнение к политикам условного доступа уровня зрелости рекомендуется реализовать следующие элементы управления.

Требовать совместимые устройства или устройства с гибридным присоединением

Устойчивость к фишингу может быть достигнута на любом из уровней зрелости, ограничив вход в систему соответствующими или Microsoft Entra гибридными устройствами (настольными и мобильными). Этот элемент управления рекомендуется использовать для всех уровней зрелости и должен применяться ко всем устройствам, принадлежащим организации. По возможности этот элемент управления также следует применять для использования собственных устройств (BYOD).

Следуйте этому руководству, чтобы включить требование соответствия или Microsoft Entra устройства с гибридным присоединением:

Блокировка устаревшей проверки подлинности

Устаревшие протоколы проверки подлинности не поддерживают современную проверку подлинности и поэтому уязвимы для атак кражи учетных данных. Рекомендуется блокировать устаревшие протоколы проверки подлинности, чтобы снизить риск кражи учетных данных.

Чтобы заблокировать устаревшую проверку подлинности, выполните следующие действия:

Защита от захвата многофакторной проверки подлинности для неактивных учетных записей

Неактивные учетные записи, которые не зарегистрированы для многофакторной проверки подлинности, подвержены атакам на поглощение многофакторной проверки подлинности. Мы рекомендуем настроить политику регистрации MFA, чтобы убедиться, что пользователи настраивают многофакторную проверку подлинности в рамках потока подключения пользователей.

Определите неактивные учетные записи, которые не зарегистрированы для многофакторной проверки подлинности, регулярно просматривая отчет о действиях регистрации многофакторной проверки подлинности. Решение для управления удостоверениями, например Управление Microsoft Entra ID, можно использовать для автоматизации проверки неактивных учетных записей.

Microsoft Entra по умолчанию

Microsoft Entra клиенты, у которых нет лицензии Microsoft Entra ID P1 или P2, могут достичь уровня зрелости ACSC Essential Восемь, включив Microsoft Entra по умолчанию безопасности.

Руководство по включению значений безопасности по умолчанию см. в статье Предоставление уровня безопасности по умолчанию в Microsoft Entra ID.

Дальнейшие действия