Templat Akses Bersyarah
Templat Akses Bersyarah menyediakan metode yang mudah untuk menyebarkan kebijakan baru yang selaras dengan rekomendasi Microsoft. Templat ini dirancang untuk memberikan perlindungan maksimum yang selaras dengan kebijakan yang umum digunakan di berbagai jenis dan lokasi pelanggan.
Kategori templat
Templat kebijakan Akses Bersyar disusun ke dalam kategori berikut:
Microsoft merekomendasikan kebijakan ini sebagai basis untuk semua organisasi. Sebaiknya kebijakan ini disebarkan sebagai grup.
- Memerlukan autentikasi multifaktor untuk admin
- Mengamankan pendaftaran info keamanan
- Memblokir autentikasi warisan
- Memerlukan autentikasi multifaktor untuk admin yang mengakses portal admin Microsoft
- Memerlukan autentikasi multifaktor untuk semua pengguna
- Memerlukan autentikasi multifaktor untuk manajemen Azure
- Memerlukan perangkat gabungan hibrid Microsoft Entra atau autentikasi multifaktor yang sesuai untuk semua pengguna
Temukan templat ini di pusat>admin Microsoft Entra Perlindungan>Akses>Bersyar buat kebijakan baru dari templat. Pilih Perlihatkan selengkapnya untuk melihat semua templat kebijakan di setiap kategori.
Penting
Kebijakan templat Akses Bersyarat hanya akan mengecualikan pengguna yang membuat kebijakan dari templat. Jika organisasi Anda perlu mengecualikan akun lain, Anda akan dapat mengubah kebijakan setelah dibuat. Anda dapat menemukan kebijakan ini di Pusat admin>Microsoft Entra Kebijakan Akses>Bersyar Perlindungan.> Pilih kebijakan untuk membuka editor dan mengubah pengguna dan grup yang dikecualikan untuk memilih akun yang ingin Anda kecualikan.
Secara default, setiap kebijakan dibuat dalam mode khusus laporan, kami menyarankan organisasi menguji dan memantau penggunaan, untuk memastikan hasil yang dimaksudkan, sebelum mengaktifkan setiap kebijakan.
Organisasi dapat memilih templat kebijakan individual dan:
- Lihat ringkasan pengaturan kebijakan.
- Edit, untuk menyesuaikan berdasarkan kebutuhan organisasi.
- Ekspor definisi JSON untuk digunakan dalam alur kerja terprogram.
- Definisi JSON ini dapat diedit lalu diimpor pada halaman kebijakan Akses Bersyar utama menggunakan opsi Unggah file kebijakan.
Kebijakan umum lainnya
Pengecualian pengguna
Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:
- Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
- Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
- Akun layanan dan perwakilan layanan, seperti Akun Microsoft Entra Koneksi Sync. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
- Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.