Требовать многофакторную проверку подлинности для всех пользователей
В своем блоге Your Pa$$word не имеет значения Алекс Вайнерт, директор службы безопасности идентификации в компании Microsoft, упоминает:
Ваш пароль не имеет значения, а вот многофакторная аутентификация важна! Согласно нашим исследованиям применение MFA позволяет снизить вероятность компрометации вашей учетной записи более чем на 99,9 %.
Надежность проверки подлинности
Руководство, приведенное в этой статье, помогает вашей организации создать политику MFA для вашей среды с помощью возможностей аутентификации. Идентификатор Microsoft Entra предоставляет три встроенных преимущества проверки подлинности:
- Уровень многофакторной проверки подлинности (менее строгий) рекомендуется в этой статье
- Надежность многофакторной аутентификации без пароля
- Уровень безопасности многофакторной аутентификации, устойчивой к фишингу (самый строгий)
Вы можете использовать одну из встроенных сильных сторон или создать настраиваемую силу проверки подлинности на основе необходимых методов проверки подлинности.
В сценариях внешнего пользователя методы проверки подлинности MFA, которые клиент ресурсов может принимать, зависят от того, выполняет ли пользователь MFA в своем домашнем клиенте или в клиенте ресурса. Дополнительные сведения см. в разделе "Надежность проверки подлинности для внешних пользователей".
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
-
Аварийный доступ или экстренные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
-
Учетные записи служб и учетные записи служб, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные сервисными принципалами, не будут блокироваться политиками условного доступа, нацеленными на пользователей. Используйте условный доступ для идентичности рабочих нагрузок, чтобы определить политики, нацеленные на служебные принципы.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.
Создание политики условного доступа
Следующие шаги помогут создать политику условного доступа, требуя от всех пользователей выполнения многофакторной аутентификации, используя политику надёжности аутентификации, без каких-либо исключений для приложений.
Предупреждение
внешние методы проверки подлинности в настоящее время несовместимы с силой проверки подлинности. Необходимо использовать управление предоставлением Требовать многофакторную аутентификацию.
Войдите в Центр администрирования Microsoft Entra в качестве по крайней мере администратора условного доступа.
Перейдите к Защита>Условный доступ>Политики.
Выберите Новая политика.
Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе " Исключить":
- Выберите Пользователи и группы
- Выберите учетные записи экстренного или аварийного доступа вашей организации.
- Если вы используете решения для гибридных идентификаций, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите роли каталога, а затем выберите учетные записи для синхронизации каталога.
- Вы можете исключить гостевых пользователей, если вы применяете к ним специализированную политику для гостевых пользователей.
- Выберите Пользователи и группы
В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>, включитевсе ресурсы (ранее «Все облачные приложения»).
Совет
Корпорация Майкрософт рекомендует всем организациям создать базовую политику условного доступа, которая предназначена для всех пользователей, всех ресурсов без исключений приложений и требует многофакторной проверки подлинности.
В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
- Выберите "Требовать надежность проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
- Выбрать Выбрать.
Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.
Названные места
Организации могут решить включить известные сетевые расположения, называемые именованными расположениями, в свои политики условного доступа. Эти именованные расположения могут включать доверенные IP-сети, например, используемые в основном офисе. Дополнительные сведения о настройке именованных расположений см. в статье "Что такое условие расположения в условном доступе Microsoft Entra?"
В предыдущем примере политики организация может не требовать многофакторной проверки подлинности при доступе к облачному приложению из корпоративной сети. При этом они могли добавить в политику следующую конфигурацию:
- В разделе "Назначения" выберите "Сеть".
- Выберите Да.
- Включите любую сеть или местоположение.
- Исключите все доверенные сети и местоположения.
- Сохраните изменения политики.