Typowe zasady dostępu warunkowego: Zabezpieczanie rejestracji informacji zabezpieczających

  • Artykuł

Zabezpieczanie, kiedy i jak użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła, jest możliwe za pomocą akcji użytkownika w zasadach dostępu warunkowego. Ta funkcja jest dostępna dla organizacji, które włączyły rejestrację połączoną. Ta funkcja umożliwia organizacjom traktowanie procesu rejestracji, takiego jak każda aplikacja w zasadach dostępu warunkowego, i korzystanie z pełnej możliwości dostępu warunkowego w celu zabezpieczenia środowiska. Użytkownicy logujący się do aplikacji Microsoft Authenticator lub włączający logowanie bez hasła na telefon podlegają tym zasadom.

Niektóre organizacje w przeszłości mogły używać zaufanej lokalizacji sieciowej lub zgodności urządzeń jako środka w celu zabezpieczenia środowiska rejestracji. Dzięki dodaniu dostępu tymczasowego w usłudze Microsoft Entra ID administratorzy mogą podać użytkownikom poświadczenia ograniczone czasowo, które pozwalają im rejestrować się z dowolnego urządzenia lub lokalizacji. Poświadczenia dostępu tymczasowego spełniają wymagania dostępu warunkowego na potrzeby uwierzytelniania wieloskładnikowego.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasad w celu zabezpieczenia rejestracji

Poniższe zasady dotyczą wybranych użytkowników, którzy próbują zarejestrować się przy użyciu połączonego środowiska rejestracji. Zasady wymagają, aby użytkownicy znajdowali się w zaufanej lokalizacji sieciowej, uwierzytelnianie wieloskładnikowe lub używać poświadczeń dostępu tymczasowego dostępu.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. W polu Nazwa wprowadź nazwę dla tych zasad. Na przykład połączona rejestracja informacji zabezpieczających za pomocą interfejsu TAP.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.

    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.

      Ostrzeżenie

      Użytkownicy muszą być włączeni dla połączonej rejestracji.

    2. W obszarze Wyklucz.

      1. Wybierz pozycję Wszyscy goście i użytkownicy zewnętrzni.

        Uwaga

        Dostęp tymczasowy nie działa dla użytkowników-gości.

      2. Wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta awaryjne w organizacji.

  6. W obszarze Docelowe zasoby>Akcje użytkownika zaznacz pole Rejestrowanie informacji zabezpieczających.
  7. W obszarze Lokalizacje warunków>.
    1. Ustaw pozycję Konfiguruj na Wartość Tak.
      1. Uwzględnij dowolną lokalizację.
      2. Wyklucz wszystkie zaufane lokalizacje.
  8. W obszarze Kontrola>dostępu Udziel.
    1. Wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego.
    2. Wybierz pozycję Wybierz.
  9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Administracja istratory będą teraz musieli wydać tymczasowe poświadczenia dostępu dostępu przekazywanego do nowych użytkowników, aby mogli spełnić wymagania dotyczące uwierzytelniania wieloskładnikowego do zarejestrowania. Kroki do wykonania tego zadania znajdują się w sekcji Tworzenie tymczasowego dostępu dostępu w centrum administracyjnym firmy Microsoft Entra.

Organizacje mogą wymagać innych mechanizmów kontroli udzielania z lub zamiast wymagaj uwierzytelniania wieloskładnikowego w kroku 8a. Podczas wybierania wielu kontrolek należy wybrać odpowiedni przełącznik radiowy, aby wymagać wszystkich lub jednego z wybranych kontrolek podczas wprowadzania tej zmiany.

Rejestracja użytkownika-gościa

W przypadku użytkowników-gości, którzy muszą zarejestrować się w celu uwierzytelniania wieloskładnikowego w katalogu, możesz zablokować rejestrację spoza zaufanych lokalizacji sieciowych, korzystając z poniższego przewodnika.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. W polu Nazwa wprowadź nazwę dla tych zasad. Na przykład połączona rejestracja informacji zabezpieczających w zaufanych sieciach.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Uwzględnij wybierz pozycję Wszyscy goście i użytkownicy zewnętrzni.
  6. W obszarze Docelowe zasoby>Akcje użytkownika zaznacz pole Rejestrowanie informacji zabezpieczających.
  7. W obszarze Lokalizacje warunków>.
    1. Skonfiguruj wartość Tak.
    2. Uwzględnij dowolną lokalizację.
    3. Wyklucz wszystkie zaufane lokalizacje.
  8. W obszarze Kontrola>dostępu Udziel.
    1. Wybierz pozycję Blokuj dostęp.
    2. Następnie kliknij pozycję Wybierz.
  9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Powiązana zawartość