Условный доступ: требуется многофакторная проверка подлинности для всех пользователей

Как упоминает Алекс Вайнерт (Alex Weinert) из подразделения корпорации Майкрософт, отвечающего за безопасность удостоверений, в своей записи блога Ваш пар0ль не важен:

Ваш пароль не важен в отличие от многофакторной проверки подлинности (MFA)! Согласно нашим исследованиям применение MFA позволяет снизить вероятность компрометации вашей учетной записи более чем на 99,9 %.

Рекомендации в этой статье помогут вашей организации создать политику MFA для своей среды.

Пользовательские исключения

Политики условного доступа представляют собой довольно мощные инструменты, поэтому рекомендуется исключить из политики следующие учетные записи.

  • Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать администраторскую учетную запись аварийного доступа для входа в систему арендатора, чтобы выполнить действия по восстановлению доступа.
  • Учетные записи служб и участники-службы, например учетная запись синхронизации Azure AD Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, выполняемые субъектами-службами, не блокируются Условным доступом.
    • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Исключения приложений

Бывает, что в организациях используется много облачных приложений. Не все эти приложения могут требовать одинакового уровня безопасности. Например, приложениям, связанным с расчетом зарплаты и учетом рабочего времени может быть нужна многофакторная проверка подлинности, а в кафе, вероятно, можно обойтись и без нее. Администраторы могут исключать определенные приложения из политики.

Активация подписки

Организации, использующие функцию Активации подписки для предоставления пользователям возможности поэтапного перехода из одной версии Windows в другую, могут исключать API Службы универсального магазина приложений и Веб-приложения, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из всех пользователей, которые используют политику MFA для всех облачных приложений.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив действия, описанные ниже, или воспользоваться шаблонами условного доступа (предварительная версия).

Создание политики условного доступа

Далее описываются действия, помогающие создать политику условного доступа, согласно которой многофакторная проверка подлинности обязательна для всех пользователей.

  1. Войдите на портал Azure с учетными данными глобального администратора, администратора безопасности или администратора условного доступа.
  2. Выберите Azure Active Directory>Безопасность>Условный доступ.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Пользователи и группы.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
    3. Нажмите кнопку Готово.
  6. В разделе Облачные приложения или действияВключить выберите Все облачные приложения.
    1. В разделе Исключить выберите приложения, которые не нуждаются в многофакторной проверке подлинности.
  7. В разделе Управление доступом>Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Именованные расположения

Организации могут учитывать в своих политиках условного доступа известные сетевые расположения, которые называются Именованными расположениями. В число этих именованных расположений могут входить доверенные сети IPv4, такие как сети главного офиса. Дополнительные сведения о настройке именованных расположений см. в статье Что такое условие расположения в контексте условного доступа Azure Active Directory?

В организации из приведенного выше примера политики могли решить, что не нужно требовать многофакторной проверки подлинности при доступе к облачному приложению из своей корпоративной сети. При этом они могли добавить в политику следующую конфигурацию:

  1. В разделе Назначения выберите Условия>Расположения.
    1. Выберите Да.
    2. Включите Все расположения.
    3. Отключите Все надежные расположения.
    4. Нажмите кнопку Готово.
  2. Нажмите кнопку Готово.
  3. Сохраните изменения политики.

Дальнейшие действия

Распространенные политики условного доступа

Моделирование поведения входа с помощью средства What If условного доступа