Typowe zasady dostępu warunkowego: wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników

Jak Alex Weinert, Directory of Identity Security w firmie Microsoft, wspomina w swoim wpisie w blogu Your Pa$$word nie ma znaczenia:

Hasło nie ma znaczenia, ale uwierzytelnianie wieloskładnikowe nie ma znaczenia! W oparciu o nasze badania Twoje konto jest mniej niż 99,9% mniej prawdopodobne, jeśli korzystasz z uwierzytelniania wieloskładnikowego.

Wskazówki zawarte w tym artykule ułatwiają organizacji tworzenie zasad uwierzytelniania wieloskładnikowego dla danego środowiska.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza umożliwiające programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług, takie jak te, powinny zostać wykluczone, ponieważ nie można programowo ukończyć uwierzytelniania wieloskładnikowego. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.

Wykluczenia aplikacji

Organizacje mogą używać wielu aplikacji w chmurze. Nie wszystkie te aplikacje mogą wymagać równych zabezpieczeń. Na przykład aplikacje płacowe i frekwencyjne mogą wymagać uwierzytelniania wieloskładnikowego, ale kafeteria prawdopodobnie nie. Administracja istratory mogą wykluczyć określone aplikacje z ich zasad.

Aktywacja subskrypcji

Organizacje korzystające z funkcji aktywacji subskrypcji, aby umożliwić użytkownikom "zintensyfikowanie" z jednej wersji systemu Windows do innej i używanie zasad dostępu warunkowego w celu kontrolowania dostępu do konieczności wykluczenia jednej z następujących aplikacji w chmurze z zasad dostępu warunkowego przy użyciu opcji Wybierz wykluczone aplikacje w chmurze:

Mimo że identyfikator aplikacji jest taki sam w obu wystąpieniach, nazwa aplikacji w chmurze zależy od dzierżawy.

Aby uzyskać więcej informacji na temat konfigurowania wykluczeń w zasadach dostępu warunkowego, zobacz Wykluczenia aplikacji.

Jeśli urządzenie jest w trybie offline przez dłuższy czas, urządzenie może nie być uaktywnione automatycznie, jeśli to wykluczenie dostępu warunkowego nie zostanie wprowadzone. Ustawienie tego wykluczenia dostępu warunkowego gwarantuje, że aktywacja subskrypcji będzie nadal bezproblemowo działać.

Począwszy od systemu Windows 11, wersja 23H2 z KB5034848 lub nowszym, użytkownicy są monitowani o uwierzytelnienie za pomocą wyskakujące powiadomienie, gdy aktywacja subskrypcji musi ponownie uaktywnić. Powiadomienie wyskakujące spowoduje wyświetlenie następującego komunikatu:

Twoje konto wymaga uwierzytelniania

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Ponadto w okienku Aktywacja może zostać wyświetlony następujący komunikat:

Zaloguj się do konta służbowego, aby zweryfikować swoje informacje.

Monit o uwierzytelnienie zwykle występuje, gdy urządzenie jest w trybie offline przez dłuższy czas. Ta zmiana eliminuje konieczność wykluczenia w zasadach dostępu warunkowego dla systemu Windows 11 w wersji 23H2 z KB5034848 lub nowszym. Zasady dostępu warunkowego mogą być nadal używane w systemie Windows 11 w wersji 23H2 z KB5034848 lub nowszym, jeśli monit o uwierzytelnienie użytkownika za pośrednictwem wyskakujące powiadomienie nie jest wymagane.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki pomagają utworzyć zasady dostępu warunkowego, aby wymagać od wszystkich użytkowników uwierzytelniania wieloskładnikowego.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
    1. W obszarze Wyklucz wybierz wszystkie aplikacje, które nie wymagają uwierzytelniania wieloskładnikowego.
  7. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Nazwane lokalizacje

Organizacje mogą zdecydować się na dołączenie znanych lokalizacji sieciowych znanych jako nazwane lokalizacje do zasad dostępu warunkowego. Te nazwane lokalizacje mogą obejmować zaufane sieci IPv4, takie jak te dla lokalizacji głównej biura. Aby uzyskać więcej informacji na temat konfigurowania nazwanych lokalizacji, zobacz artykuł Co to jest warunek lokalizacji w usłudze Microsoft Entra Conditional Access?

W poprzednich przykładowych zasadach organizacja może nie wymagać uwierzytelniania wieloskładnikowego, jeśli uzyskuje dostęp do aplikacji w chmurze z sieci firmowej. W takim przypadku mogą dodać następującą konfigurację do zasad:

  1. W obszarze Przypisania wybierz pozycję Warunki>Lokalizacje.
    1. Skonfiguruj wartość Tak.
    2. Uwzględnij dowolną lokalizację.
    3. Wyklucz wszystkie zaufane lokalizacje.
    4. Wybierz pozycję Gotowe.
  2. Wybierz pozycję Gotowe.
  3. Zapisz zmiany zasad.

Następne kroki

Szablony dostępu warunkowego

Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.