Dela via


Microsoft-hanterade principer

Som nämnts i Microsofts rapport om digitalt försvar i oktober 2023

... hot mot den digitala freden har minskat förtroendet för tekniken och belyst det akuta behovet av förbättrat cyberförsvar på alla nivåer...

... på Microsoft analyserar våra mer än 10 000 säkerhetsexperter över 65 biljoner signaler varje dag... som driver några av de mest inflytelserika insikterna inom cybersäkerhet. Tillsammans kan vi bygga cyberresiliens genom innovativa åtgärder och kollektivt försvar.

Som en del av det här arbetet gör vi Microsoft-hanterade principer tillgängliga i Microsoft Entra-klienter runt om i världen. Dessa förenklade principer för villkorsstyrd åtkomst vidtar åtgärder för att kräva multifaktorautentisering, vilket en ny studie visar kan minska risken för kompromisser med mer än 99 %.

Skärmbild som visar ett exempel på en Microsoft-hanterad princip i administrationscentret för Microsoft Entra.

Administratörer med minst rollen administratör för villkorlig åtkomst hittar dessa principer i administrationscentret för Microsoft Entra under >

Administratörer har möjlighet att redigeratillståndet (på, av eller endast rapport) och exkluderade identiteter (användare, grupper och roller) i principen. Organisationer bör undanta sina break-glass- eller nödåtkomstkonton från dessa principer på samma sätt som i andra principer för villkorsstyrd åtkomst. Organisationer kan duplicera dessa principer om de vill göra fler ändringar än de grundläggande som tillåts i De Microsoft-hanterade versionerna.

Microsoft aktiverar dessa principer efter minst 90 dagar efter att de har introducerats i din klientorganisation om de är kvar i rapporttillståndet. Administratörer kan välja att aktivera dessa principer tidigare eller avregistrera sig genom att ställa in principtillståndet på Av. Kunder meddelas via e-post och inlägg i Meddelandecenter 28 dagar innan principerna aktiveras.

Kommentar

I vissa fall kan principer aktiveras snabbare än 90 dagar. Om detta gäller för din klientorganisation noteras det i e-postmeddelanden och inlägg i M365-meddelandecentret som du får om Microsofts hanterade principer. Det kommer också att anges i principens information i Microsoft Admin Center.

Policyer

Dessa Microsoft-hanterade principer gör det möjligt för administratörer att göra enkla ändringar som att exkludera användare eller aktivera eller inaktivera dem från rapportläge till på eller av. Organisationer kan inte byta namn på eller ta bort några Microsoft-hanterade principer. När administratörer blir mer bekväma med principen för villkorsstyrd åtkomst kan de välja att duplicera principen för att skapa anpassade versioner.

I takt med att hoten utvecklas med tiden kan Microsoft ändra dessa principer i framtiden för att dra nytta av nya funktioner, funktioner eller förbättra deras funktion.

Multifaktorautentisering för administratörer som har åtkomst till Microsofts administratörsportaler

Den här principen omfattar 14 administratörsroller som vi anser vara mycket privilegierade, som har åtkomst till gruppen Microsoft Admin Portals och kräver att de utför multifaktorautentisering.

Den här principen riktar sig till Microsoft Entra ID P1- och P2-klientorganisationer där standardinställningar för säkerhet inte är aktiverade.

Dricks

Microsoft-hanterade principer som kräver multifaktorautentisering skiljer sig från tillkännagivandet av obligatorisk multifaktorautentisering för Azure-inloggning som gjordes 2024 och som startade gradvis distribution i oktober 2024. Mer information om tillämpningen finns i artikeln Planera för obligatorisk multifaktorautentisering för Azure och andra administratörsportaler.

Multifaktorautentisering för användare med multifaktorautentisering per användare

Den här principen omfattar användare per användare MFA, en konfiguration som Microsoft inte längre rekommenderar. Villkorlig åtkomst ger en bättre administratörsupplevelse med många extra funktioner. Genom att konsolidera alla MFA-principer i villkorsstyrd åtkomst kan du bli mer målinriktad när det gäller att kräva MFA, vilket minskar slutanvändarnas friktion samtidigt som säkerhetsstatusen bibehålls.

Den här principen riktar sig till:

  • Organisationer licensierade användare med Microsoft Entra ID P1 och P2
  • Organisationer där standardinställningar för säkerhet inte är aktiverade
  • Organisationer med färre än 500 användare som har per-användar MFA aktiverat eller framtvingat

Om du vill tillämpa den här principen på fler användare duplicerar du den och ändrar tilldelningarna.

Dricks

Om du använder pennan Redigera överst för att ändra autentiseringsprincipen för Microsoft-hanterad multifaktorautentisering per användare kan det leda till ett fel som inte kunde uppdateras . Du kan undvika det här problemet genom att välja Redigera under avsnittet Exkluderade identiteter i principen.

Multifaktorautentisering och omautentisering för riskfyllda inloggningar

Den här principen omfattar alla användare och kräver MFA och omautentisering när vi identifierar högriskinloggningar. Hög risk i det här fallet innebär något om hur användaren loggade in är utöver det vanliga. Dessa högriskinloggningar kan vara: resor som är mycket onormala, lösenordssprayattacker eller tokenreprisattacker. Mer information om dessa riskdefinitioner finns i artikeln Vad är riskidentifieringar?

Den här principen riktar sig till Microsoft Entra ID P2-klienter där säkerhetsstandarder inte är aktiverade.

  • Om P2-licenser är lika med eller överstiger det totala antalet MFA-registrerade aktiva användare omfattar principen Alla användare.
  • Om MFA-registrerade aktiva användare överskrider P2-licenser skapar och tilldelar vi principen till en begränsad säkerhetsgrupp baserat på tillgängliga P2-licenser. Du kan ändra medlemskap i principens säkerhetsgrupp.

För att förhindra att angripare tar över konton tillåter Microsoft inte riskfyllda användare att registrera sig för MFA.

Standardprinciper för säkerhet

Följande principer är tillgängliga för när du uppgraderar från att använda standardinställningar för säkerhet.

Blockera äldre autentisering

Den här principen blockerar äldre autentiseringsprotokoll från att komma åt program. Äldre autentisering avser en autentiseringsbegäran som görs av:

  • Klienter som inte använder modern autentisering (till exempel en Office 2010-klient)
  • Alla klienter som använder äldre e-postprotokoll som IMAP, SMTP eller POP3
  • Alla inloggningsförsök med äldre autentisering blockeras.

De flesta observerade komprometterande inloggningsförsök kommer från äldre autentisering. Eftersom äldre autentisering inte stöder multifaktorautentisering kan en angripare kringgå dina MFA-krav med hjälp av ett äldre protokoll.

Kräv multifaktorautentisering för Azure-hantering

Den här principen omfattar alla användare när de försöker komma åt olika Azure-tjänster som hanteras via Azure Resource Manager-API:et, inklusive:

  • Azure Portal
  • Microsoft Entra administrationscenter
  • Azure PowerShell
  • Azure CLI

När du försöker komma åt någon av dessa resurser måste användaren slutföra MFA innan de kan få åtkomst.

Kräv multifaktorautentisering för administratörer

Den här principen omfattar alla användare med en av 14 administratörsroller som vi anser vara mycket privilegierade. På grund av den makt dessa högprivilegierade konton har, är de skyldiga att MFA när de loggar in på alla program.

Kräv multifaktorautentisering för alla användare

Den här principen omfattar alla användare i din organisation och kräver att de använder MFA när de loggar in. I de flesta fall behålls sessionen på enheten och användarna behöver inte slutföra MFA när de interagerar med ett annat program.

Hur gör jag för att se effekterna av dessa principer?

Administratörer kan titta på avsnittet Princippåverkan på inloggningar för att se en snabb sammanfattning av principens effekt i deras miljö.

Skärmbild som visar hur en princip påverkar organisationen.

Administratörer kan gå djupare och titta igenom Inloggningsloggarna för Microsoft Entra för att se dessa principer i praktiken i organisationen.

  1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
  2. Bläddra till Loggar för >och hälsoinloggning.>
  3. Hitta den specifika inloggning som du vill granska. Lägg till eller ta bort filter och kolumner för att filtrera bort onödig information.
    1. För att begränsa omfånget lägger du till filter som:
      1. Korrelations-ID när du ska undersöka en specifik händelse.
      2. Villkorsstyrd åtkomst för att se principfel och lyckade. Ange omfång för filtret för att endast visa fel och begränsa resultaten.
      3. Användarnamn för att se information om specifika användare.
      4. Datum begränsat till den aktuella tidsramen.
  4. När inloggningshändelsen som motsvarar användarens inloggning hittas väljer du fliken Villkorsstyrd åtkomst . Fliken Villkorsstyrd åtkomst visar den specifika princip eller de principer som resulterade i inloggningsavbrottet.
    1. Om du vill undersöka ytterligare kan du öka detaljnivån i konfigurationen av principerna genom att klicka på principnamnet. När du klickar på Principnamn visas användargränssnittet för principkonfiguration för den valda principen för granskning och redigering.
    2. Klientanvändaren och enhetsinformationen som användes för utvärderingen av principen för villkorsstyrd åtkomst är också tillgängliga på flikarna Grundläggande information, Plats, Enhetsinformation, Autentiseringsinformation och Ytterligare information för inloggningshändelsen.

Vanliga frågor

Vad är villkorlig åtkomst?

Villkorsstyrd åtkomst är en Microsoft Entra-funktion som gör det möjligt för organisationer att framtvinga säkerhetskrav vid åtkomst till resurser. Villkorsstyrd åtkomst används ofta för att framtvinga multifaktorautentisering, enhetskonfiguration eller nätverksplatskrav.

Dessa principer kan betraktas som logiska om sedan -instruktioner.

Om tilldelningarna (användare, resurser och villkor) är sanna tillämpar du åtkomstkontrollerna (bevilja och/eller session) i principen. Om du är administratör och vill komma åt någon av Microsofts administratörsportaler måste du utföra multifaktorautentisering för att bevisa att det verkligen är du.

Vad händer om jag vill göra fler ändringar?

Administratörer kan välja att göra ytterligare ändringar i dessa principer genom att duplicera dem med knappen Duplicera i principlistvyn. Den här nya principen kan konfigureras på samma sätt som andra principer för villkorsstyrd åtkomst med början från en rekommenderad Microsoft-position. Var försiktig så att du inte oavsiktligt sänker din säkerhetsstatus med dessa ändringar.

Vilka administratörsroller omfattas av dessa principer?

  • Global administratör
  • Appadministratör
  • Autentiseringsadministratör
  • Faktureringsadministratör
  • Molnappadministratör
  • Administratör för villkorsstyrd åtkomst
  • Exchange-administratör
  • Supportadministratör
  • Lösenordsadministratör
  • Administratör av privilegierad autentisering
  • Administratör för privilegierad roll
  • Säkerhetsadministratör
  • SharePoint-administratör
  • Användaradministratör

Vad händer om jag använder en annan lösning för multifaktorautentisering?

Multifaktorautentisering har slutförts med hjälp av externa autentiseringsmetoder uppfyller MFA-kraven för de Microsoft-hanterade principerna.

När multifaktorautentisering slutförs via en federerad identitetsprovider (IdP) kan den uppfylla MFA-kraven för Microsoft Entra-ID beroende på din konfiguration. För mer information, se Hur du uppfyller Microsoft Entra ID:s multifaktorautentiseringskontroller med MFA-krav från en federerad IdP.

Vad händer om jag använder Certificate-Based-autentisering?

Beroende på hur klientorganisationens Certificate-Based-autentisering (CBA) är konfigurerad kan den fungera som antingen enkelfaktors- eller multifaktorsautentisering.

  • Om din organisation har CBA konfigurerat som en faktor måste användarna använda en andra autentiseringsmetod för att uppfylla MFA. Mer information om tillåtna kombinationer av autentiseringsmetoder till MFA med enfaktors-CBA finns i MFA med enfaktorcertifikatbaserad autentisering.
  • Om din organisation har CBA konfigurerat som multifaktor kan användarna slutföra MFA med sin CBA-autentiseringsmetod.

Kommentar

CBA anses vara en MFA-kompatibel metod i Microsoft Entra-ID så att användare med CBA-autentiseringsmetod måste använda MFA för att registrera nya autentiseringsmetoder. Om du vill registrera MFA för användare av CBA med en enda faktor och utan andra registrerade autentiseringsmetoder kan du läsa Alternativ för att få möjligheten till MFA med certifikat för en faktor.

Vad händer om jag använder anpassade kontroller?

Anpassade kontroller uppfyller inte anspråkskrav för multifaktorautentisering. Om din organisation använder anpassade kontroller bör du migrera till externa autentiseringsmetoder, ersättning av anpassade kontroller. Din externa autentiseringsprovider måste ha stöd för externa autentiseringsmetoder och ge dig nödvändig konfigurationsvägledning för deras integrering.

Nästa steg