Microsoft-hanterade principer
Som nämnts i Microsofts rapport om digitalt försvar i oktober 2023
... hot mot den digitala freden har minskat förtroendet för tekniken och belyst det akuta behovet av förbättrat cyberförsvar på alla nivåer...
... på Microsoft analyserar våra mer än 10 000 säkerhetsexperter över 65 biljoner signaler varje dag... som driver några av de mest inflytelserika insikterna inom cybersäkerhet. Tillsammans kan vi bygga cyberresiliens genom innovativa åtgärder och kollektivt försvar.
Som en del av det här arbetet gör vi Microsoft-hanterade principer tillgängliga i Microsoft Entra-klienter runt om i världen. Dessa förenklade principer för villkorsstyrd åtkomst vidtar åtgärder för att kräva multifaktorautentisering, vilket en ny studie visar kan minska risken för kompromisser med mer än 99 %.
Hur fungerar de?
Administratörer med minst rollen Administratör för villkorlig åtkomst hittar dessa policyer i administrationscentret för Microsoft Entra under Skydd>Villkorlig åtkomst>Policyer.
Du kan redigera tillståndet för en princip och vilka identiteter principen ska undanta. Vi rekommenderar att du undantar dina break-glass- eller akutåtkomstkonton från hanterade åtkomstprinciper, precis som andra principer för villkorlig åtkomst. Överväg att duplicera dessa principer om du behöver göra fler ändringar än vad som tillåts i de Microsoft-hanterade principerna.
Microsoft aktiverar dessa principer efter minst 90 dagar efter att de introducerats i din klientorganisation om de är kvar i enbart rapportläge. Du kan aktivera dessa policyer tidigare eller välja bort dem genom att ställa in policyläget på Av. Kunder meddelas via e-post och inlägg i Meddelandecenter 28 dagar innan principerna aktiveras.
Kommentar
I vissa fall kan principer aktiveras snabbare än 90 dagar. Om den här ändringen gäller för din hyresgäst:
- Vi nämner det i e-postmeddelanden och inlägg i Microsoft 365 Meddelandecenter som du får om Microsoft-hanterade principer.
- Vi nämner det i policydetaljerna i Microsoft Entras administrationscenter.
Policys
Dessa Microsoft-hanterade principer gör det möjligt för administratörer att göra enkla ändringar som att exkludera användare eller aktivera eller inaktivera dem från rapportläge till på eller av. Organisationer kan inte byta namn på eller ta bort några Microsoft-hanterade principer. När administratörer blir mer bekväma med principen för villkorsstyrd åtkomst kan de välja att duplicera principen för att skapa anpassade versioner.
I takt med att hoten utvecklas med tiden kan Microsoft ändra dessa principer i framtiden för att dra nytta av nya funktioner, funktioner eller förbättra deras funktion.
- Blockera äldre autentisering
- Blockenhetens kodflöde
- Multifaktorautentisering för administratörer som har åtkomst till Microsofts administratörsportaler
- multifaktorautentisering för användare med multifaktorautentisering per användare
- multifaktorautentisering och förnyad autentisering för riskfyllda inloggningar
Blockera äldre autentisering
Den här principen blockerar inloggningsförsök med äldre autentiserings- och äldre autentiseringsprotokoll. Dessa autentiseringar kan komma från äldre klienter som Office 2010 eller klienter som använder protokoll som IMAP, SMTP eller POP3.
Baserat på Microsofts analys använder mer än 99 procent av lösenordssprayattackerna dessa äldre autentiseringsprotokoll. Dessa attacker skulle sluta med grundläggande autentisering inaktiverad eller blockerad.
Blockera enhetskodflöde
Den här principen blockerar enhetskodflödet, där en användare initierar autentisering på en enhet, slutförs på en annan och deras token skickas tillbaka till den ursprungliga enheten. Den här typen av autentisering är vanlig där användarna inte kan ange sina autentiseringsuppgifter, till exempel smarta TV-apparater, Microsoft Teams Room-enheter, IoT-enheter eller skrivare.
Enhetskodflödet används sällan av kunder, men används ofta av angripare. Om du aktiverar den här Microsoft-hanterade principen för din organisation kan du ta bort den här attackvektorn.
Multifaktorautentisering för administratörer som har åtkomst till Microsofts administratörsportaler
Den här principen omfattar 14 administratörsroller som vi anser vara mycket privilegierade, som har åtkomst till Microsoft Admin Portalsoch kräver att de utför multifaktorautentisering.
Den här principen riktar sig till Microsoft Entra ID P1- och P2-klientorganisationer där standardinställningar för säkerhet inte är aktiverade.
Tips
Microsoft-hanterade regler som kräver multifaktorautentisering skiljer sig från tillkännagivande av obligatorisk multifaktorautentisering för Azure-inloggningar som gjordes 2024, vilken började rullas ut gradvis i oktober samma år. För mer information, se Planering för obligatorisk multifaktorautentisering för Azure och andra administrationsportaler.
Multifaktorautentisering för användare med multifaktorautentisering per användare
Den här principen omfattar användare per användare MFA, en konfiguration som Microsoft inte längre rekommenderar. Villkorlig åtkomst ger en bättre administratörsupplevelse med många extra funktioner. Genom att konsolidera alla principer för multifaktorautentisering i villkorsstyrd åtkomst kan du bli mer inriktad på att kräva multifaktorautentisering, vilket minskar slutanvändarnas friktion samtidigt som säkerhetsstatusen bibehålls.
Den här principen riktar sig till:
- Organisationer med Microsoft Entra ID P1- och P2-licensierade användare
- Organisationer där standardinställningar för säkerhet inte är aktiverade
- Organisationer med färre än 500 användare som har per-användar MFA aktiverat eller framtvingat
Om du vill tillämpa den här principen på fler användare duplicerar du den och ändrar tilldelningarna.
Tips
Om du använder pennan Redigera överst för att ändra autentiseringsprincipen för Microsoft-hanterad multifaktorautentisering per användare kan det leda till ett fel som inte kunde uppdateras . Du kan undvika det här problemet genom att välja Redigera under avsnittet Exkluderade identiteter i principen.
Multifaktorautentisering och återautentisering för riskfyllda inloggningar
Den här principen omfattar alla användare och kräver multifaktorautentisering och omautentisering när vi identifierar högriskinloggningar. Hög risk i det här fallet innebär något om hur användaren loggade in är utöver det vanliga. Dessa högriskinloggningar kan omfatta resor som är mycket onormala, lösenordssprayattacker eller tokenreprisattacker. Mer information finns i Vad är riskidentifieringar.
Den här principen riktar sig till Microsoft Entra ID P2-klienter där säkerhetsstandarder inte är aktiverade. Principen omfattar användare på två olika sätt, beroende på om du har fler P2-licenser än användare eller om du har fler användare än P2-licenser. Gästanvändare ingår inte i principen.
- Om dina P2-licenser är lika med eller överstiger det totala antalet MFA-registrerade aktiva användare omfattar principen Alla användare.
- Alla användare kan innehålla tjänstkonton eller break-glass-konton, så du kanske vill exkludera dem.
- Om de MFA-registrerade aktiva användarna överskrider dina P2-licenser skapar och tilldelar vi principen till en säkerhetsgrupp som är begränsad till dina tillgängliga P2-licenser.
- Principen gäller endast för den säkerhetsgruppen, så du kan begränsa principen genom att ändra själva gruppen.
- För att fylla i gruppen väljer vi användare som kan uppfylla MFA och prioriterar användare med en direkt tilldelad P2-licens.
- Om det finns återstående P2-licenser lägger vi till ytterligare användare som har en inloggning med stark autentisering (MFA) under de senaste 60 dagarna. Den här regeln säkerställer att principen inte blockerar legitima användare och att du får maximalt värde för dina P2-licenser.
För att förhindra att angripare tar över konton tillåter Microsoft inte riskfyllda användare att registrera sig för multifaktorautentisering.
Standardinställningar för säkerhet
Följande principer är tillgängliga för när du uppgraderar från att använda standardinställningar för säkerhet.
- Blockera äldre autentisering
- Kräv multifaktorautentisering för Azure-hantering
- Kräv multifaktorautentisering för administratörer
- Kräv multifaktorautentisering för alla användare
Blockera äldre autentisering
Den här principen blockerar äldre autentiseringsprotokoll från att komma åt program. Äldre autentisering avser en autentiseringsbegäran som görs av:
- Klienter som inte använder modern autentisering (till exempel en Office 2010-klient)
- Alla klienter som använder äldre e-postprotokoll som IMAP, SMTP eller POP3
- Alla inloggningsförsök med äldre autentisering.
De flesta observerade komprometterande inloggningsförsök kommer från äldre autentisering. Eftersom äldre autentisering inte stöder multifaktorautentisering kan en angripare kringgå kraven på multifaktorautentisering med hjälp av ett äldre protokoll.
Kräv multifaktorautentisering för Azure-hantering
Den här principen omfattar alla användare när de försöker komma åt olika Azure-tjänster som hanteras via Azure Resource Manager-API:et, inklusive:
- Azure Portal
- Microsoft Entra administratörscenter
- Azure PowerShell
- Azure CLI
När du försöker komma åt någon av dessa resurser måste användaren slutföra multifaktorautentiseringen innan de kan få åtkomst.
Kräv multifaktorautentisering för administratörer
Den här principen omfattar alla användare med någon av de administratörsroller som vi anser vara mycket privilegierade:
- Global administratör
- Appadministratör
- Autentiseringsadministratör
- Faktureringsadministratör
- Molnappadministratör
- Administratör för villkorsstyrd åtkomst
- Exchange-administratör
- Supportadministratör
- Lösenordsadministratör
- Administratör av privilegierad autentisering
- Administratör för privilegierad roll
- Säkerhetsadministratör
- SharePoint-administratör
- Användaradministratör
På grund av den effekt dessa högprivilegierade konton har måste de använda multifaktorautentisering när de loggar in på alla program.
Kräv multifaktorautentisering för alla användare
Den här principen omfattar alla användare i din organisation och kräver att de använder multifaktorautentisering när de loggar in. I de flesta fall finns sessionen kvar på enheten och användarna behöver inte slutföra multifaktorautentisering när de interagerar med ett annat program.
Övervaka och granska
Den hanterade principen och inloggningsloggarna är de två platser där du kan se effekten av dessa principer på din organisation.
Granska politikens inverkan på inloggningar i avsnittet av den hanterade policyn för att se en sammanfattning av policyens effekt i din miljö.
Analysera Microsoft Entra-inloggningsloggar för att se specifik information om hur principerna påverkar verklig inloggningsaktivitet.
- Logga in på Microsoft Entra administrationscenter som minst en Rapportläsare.
- Bläddra till Identity>Övervakning och hälsa>Inloggningsloggar.
- Använd några eller alla av följande filter:
- Korrelations-ID när du ska undersöka en specifik händelse.
- Villkorsstyrd åtkomst för att se policyfel och lyckade resultat.
- Användarnamn för att se information om specifika användare.
- Datum begränsat till den aktuella tidsramen.
- Välj en specifik inloggningshändelse och välj sedan villkorlig åtkomst.
- Om du vill undersöka ytterligare väljer du principnamn för att öka detaljnivån i konfigurationen av principerna.
- Utforska de andra flikarna för att se klientanvändare och enhetsinformation som användes för policybedömningen av den villkorsstyrda åtkomsten.
Vanliga frågor
Vad är villkorlig åtkomst?
Villkorsstyrd åtkomst är en Microsoft Entra-funktion som gör det möjligt för organisationer att framtvinga säkerhetskrav vid åtkomst till resurser. Villkorsstyrd åtkomst används ofta för att framtvinga multifaktorautentisering, enhetskonfiguration eller nätverksplatskrav.
Dessa principer kan betraktas som logiska om sedan -satser.
Om tilldelningarna (användare, resurser och villkor) är sanna, så tillämpas åtkomstkontrollerna (bevilja och/eller session) i policyn. Om du är administratör och vill komma åt någon av Microsofts administratörsportaler måste du utföra multifaktorautentisering för att bevisa att det verkligen är du.
Vad händer om jag vill göra fler ändringar?
Administratörer kan välja att göra ytterligare ändringar i dessa principer genom att duplicera dem med knappen Duplicera i principlistvyn. Den här nya principen kan konfigureras på samma sätt som andra principer för villkorsstyrd åtkomst med början från en rekommenderad Microsoft-position. Var försiktig så att du inte oavsiktligt sänker din säkerhetsstatus med dessa ändringar.
Vilka administratörsroller omfattas av dessa principer?
- Global administratör
- Appadministratör
- Autentiseringsadministratör
- Faktureringsadministratör
- Molnappadministratör
- Administratör för villkorsstyrd åtkomst
- Exchange-administratör
- Supportadministratör
- Lösenordsadministratör
- Administratör av privilegierad autentisering
- Administratör för privilegierad roll
- Säkerhetsadministratör
- SharePoint-administratör
- Användaradministratör
Vad händer om jag använder en annan lösning för multifaktorautentisering?
Multifaktorautentisering har slutförts med hjälp av externa autentiseringsmetoder uppfyller MFA-kraven för de Microsoft-hanterade principerna.
När multifaktorautentisering slutförs via en federerad identitetsprovider (IdP) kan den uppfylla MFA-kraven för Microsoft Entra-ID beroende på din konfiguration. För mer information, se Hur du uppfyller Microsoft Entra ID:s multifaktorautentiseringskontroller med MFA-krav från en federerad IdP.
Vad händer om jag använder Certificate-Based-autentisering?
Beroende på konfigurationen av Certificate-Based-autentisering (CBA) kan den fungera som antingen enskild eller multifaktorautentisering.
- Om din organisation har CBA konfigurerat som en faktor måste användarna använda en andra autentiseringsmetod för att uppfylla MFA. Mer information om tillåtna kombinationer av autentiseringsmetoder till MFA med enfaktors-CBA finns i MFA med enfaktorcertifikatbaserad autentisering.
- Om din organisation har CBA konfigurerat som multifaktor kan användarna slutföra MFA med sin CBA-autentiseringsmetod.
Vad händer om jag använder anpassade kontroller?
Anpassade kontroller uppfyller inte anspråkskrav för multifaktorautentisering. Om din organisation använder anpassade kontroller bör du migrera till externa autentiseringsmetoder, ersättning av anpassade kontroller. Din externa autentiseringsprovider måste ha stöd för externa autentiseringsmetoder och ge dig nödvändig konfigurationsvägledning för deras integrering.