Поделиться через

Требовать многофакторную проверку подлинности для регистрации устройства

  • Статья

Используйте действие пользователя условного доступа для принудительного применения политики при регистрации или присоединении устройств к идентификатору Microsoft Entra. Этот элемент управления обеспечивает детализацию при настройке многофакторной проверки подлинности для регистрации или присоединения устройств вместо политики на уровне клиента, которая в настоящее время существует. Администраторы могут настроить эту политику в соответствии с потребностями безопасности организации.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи экстренного доступа для предотвращения блокировки в случае неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и служебные полномочия, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, нацеленные на основные службы.

Создание политики условного доступа

Предупреждение

Если вы используете внешние методы аутентификации, то в настоящее время они несовместимы с уровнями надежности аутентификации, и следует использовать настройку Требовать многофакторную аутентификацию.

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора условного доступа.
  2. Перейдите к Защита>Условный доступ>Политики.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
  6. В разделе Целевые ресурсы и > выберите Регистрация или присоединение устройств.
  7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
    2. Выберите Выберите.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Предупреждение

Если политика условного доступа настроена с помощью действия пользователя Регистрация или присоединение устройств, необходимо задать Идентификация>Устройства>Обзор>Настройки устройства - Require Multifactor Authentication to register or join devices with Microsoft Entra на Нет. В противном случае политики условного доступа с этим действием пользователя не применяются должным образом. Дополнительные сведения об этом параметре устройства можно найти в окне Настройка параметров устройства.

Снимок экрана: отключение требования многофакторной проверки подлинности для регистрации или присоединения устройств с помощью контроля Microsoft Entra.

Связанный контент