Villkorlig åtkomst: Kräv MFA för administratörer

  • Artikel
  • 2 minuter för att läsa

Konton som tilldelas administrativa rättigheter är mål för angripare. Att kräva multifaktorautentisering (MFA) för dessa konton är ett enkelt sätt att minska risken för att dessa konton komprometteras.

Microsoft rekommenderar att du minst kräver MFA för följande roller:

  • Global administratör
  • Programadministratör
  • Autentiseringsadministratör
  • Faktureringsadministratör
  • Molnprogramadministratör
  • Administratör för villkorsstyrd åtkomst
  • Exchange-administratör
  • Supportadministratör
  • Lösenordsadministratör
  • Privilegierad autentiseringsadministratör
  • Privilegierad rolladministratör
  • Säkerhetsadministratör
  • SharePoint-administratör
  • Användaradministratör

Organisationer kan välja att inkludera eller exkludera roller som de vill.

Användar exkludering

Principer för villkorsstyrd åtkomst är kraftfulla verktyg. Vi rekommenderar att du exkluderar följande konton från principen:

  • Åtkomst vid akutfall eller nödkonton för att förhindra kontolåsning för hela klientorganisationen. I det osannolika scenariot som alla administratörer är utelåsta från din klientorganisation kan ditt administratörskonto för åtkomst vid akutfall användas för att logga in på klienten för att vidta åtgärder för att återställa åtkomsten.
  • Tjänstkonton och tjänstens huvudnamn, till exempel Azure AD Anslut Sync-konto. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon viss användare. De används vanligtvis av backend-tjänster som ger programmatisk åtkomst till program, men används också för att logga in på system för administrativa ändamål. Tjänstkonton som dessa bör undantas eftersom MFA inte kan slutföras programmatiskt. Anrop som görs av tjänstens huvudnamn blockeras inte av villkorlig åtkomst.
    • Om din organisation har dessa konton som används i skript eller kod kan du ersätta dem med hanterade identiteter. Som en tillfällig lösning kan du undanta dessa specifika konton från baslinjeprincipen.

Malldistribution

Organisationer kan välja att distribuera den här principen med hjälp av stegen som beskrivs nedan eller med hjälp av mallarna för villkorsstyrd åtkomst (förhandsversion).

Skapa en princip för villkorlig åtkomst

Följande steg hjälper dig att skapa en princip för villkorsstyrd åtkomst som kräver att de tilldelade administrativa rollerna utför multifaktorautentisering.

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller administratör för villkorlig åtkomst.
  2. Bläddra till Azure Active Directory > villkorlig åtkomst för > säkerhet.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare och grupper

    1. Under Inkludera väljer du Katalogroller och sedan inbyggda roller som:

      • Global administratör
      • Programadministratör
      • Autentiseringsadministratör
      • Faktureringsadministratör
      • Molnprogramadministratör
      • Administratör för villkorsstyrd åtkomst
      • Exchange-administratör
      • Supportadministratör
      • Lösenordsadministratör
      • Privilegierad autentiseringsadministratör
      • Privilegierad rolladministratör
      • Säkerhetsadministratör
      • SharePoint-administratör
      • Användaradministratör

      Varning

      Principer för villkorlig åtkomst stöder inbyggda roller. Principer för villkorlig åtkomst tillämpas inte för andra rolltyper, inklusive administrativa enhetsomfång eller anpassade roller.

    2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för åtkomst vid akutfall eller nödfall.

    3. Välj Klar.

  6. Under Molnappar eller åtgärder > Inkludera väljer du Alla molnappar och sedan Klar.
  7. Under Åtkomstkontroller > Bevilja väljer du Bevilja åtkomst, Kräv multifaktorautentisering och väljer Välj.
  8. Bekräfta inställningarna och ställ in Aktivera princip på Endast rapport.
  9. Välj Skapa för att skapa för att aktivera principen.

När du har bekräftat dina inställningar med endast rapportlägekan en administratör flytta aktivera princip växlingsknappen från Endast rapport till .

Nästa steg

Vanliga principer för villkorsstyrd åtkomst

Simulera inloggningsbeteende med verktyget för villkorsstyrd What If åtkomst