Typowe zasady dostępu warunkowego: wymagaj uwierzytelniania wieloskładnikowego dla administratorów, którzy uzyskują dostęp do portali administracyjnych firmy Microsoft
Firma Microsoft zaleca zabezpieczenie dostępu do dowolnych portali administracyjnych firmy Microsoft, takich jak Microsoft Entra, Microsoft 365, Exchange i Azure. Organizacje aplikacji Microsoft Administracja Portale mogą kontrolować interakcyjny dostęp do portali administracyjnych firmy Microsoft.
Firma Microsoft zaleca włączenie tych zasad dla następujących ról co najmniej na podstawie zaleceń dotyczących oceny tożsamości:
- Administrator globalny
- Administrator aplikacji
- Administrator uwierzytelniania
- Administrator rozliczeń
- Administrator aplikacji w chmurze
- Administrator dostępu warunkowego
- Administrator programu Exchange
- Pomoc techniczna Administracja istrator
- Administracja istrator haseł
- Administrator uwierzytelniania uprzywilejowanego
- Administrator ról uprzywilejowanych
- Administrator zabezpieczeń
- Administracja istrator programu SharePoint
- Administrator użytkowników
Wykluczenia użytkowników
Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:
- Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
- Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
- Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług tego typu powinny zostać wykluczone, ponieważ nie da się programowo ukończyć asystenta folderów zarządzanych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
- Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.
Tworzenie zasady dostępu warunkowego
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>dostępu warunkowego.
- Wybierz pozycję Utwórz nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
W obszarze Uwzględnij wybierz pozycję Role katalogu i wybierz co najmniej wymienione wcześniej role.
Ostrzeżenie
Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.
W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
- W obszarze Zasoby docelowe>Aplikacje>w chmurze Uwzględnij wybierz pozycję Aplikacje, wybierz pozycję Microsoft Administracja Portale.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu, Wymagaj siły uwierzytelniania, wybierz pozycję Uwierzytelnianie wieloskładnikowe, a następnie wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.