Villkorlig åtkomst: Kräv MFA för alla användare

  • Artikel
  • 2 minuter för att läsa

Som Alex Weinert, Directory of Identity Security på Microsoft, nämner i sitt blogginlägg din Pa$$word spelar ingen roll:

Lösenordet spelar ingen roll, men MFA gör det! Baserat på våra studier är ditt konto mer än 99,9 % mindre troligt att bli komprometterat om du använder MFA.

Vägledningen i den här artikeln hjälper din organisation att skapa en MFA-princip för din miljö.

Användar exkludering

Principer för villkorsstyrd åtkomst är kraftfulla verktyg. Vi rekommenderar att du exkluderar följande konton från principen:

  • Åtkomst vid akutfall eller nödfallskonton för att förhindra kontolåsning i hela klientorganisationen. I det osannolika scenariot som alla administratörer är utelåsta från din klientorganisation kan ditt administratörskonto för åtkomst vid akutfall användas för att logga in på klientorganisationen för att återställa åtkomsten.
  • Tjänstkonton och tjänstens huvudnamn, till exempel Azure AD Anslut Sync-konto. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon viss användare. De används vanligtvis av backend-tjänster som ger programmatisk åtkomst till program, men används också för att logga in på system för administrativa ändamål. Tjänstkonton som dessa bör undantas eftersom MFA inte kan slutföras programmatiskt. Anrop som görs av tjänstens huvudnamn blockeras inte av villkorlig åtkomst.
    • Om din organisation har dessa konton som används i skript eller kod kan du överväga att ersätta dem med hanterade identiteter. Som en tillfällig lösning kan du undanta dessa specifika konton från baslinjeprincipen.

Program exkludering

Organisationer kan ha många molnprogram som används. Det är inte alla dessa program som kan kräva samma säkerhet. Till exempel kan löne- och löneprogram kräva MFA, men det gör förmodligen inte det. Administratörer kan välja att undanta specifika program från sina policyer.

Malldistribution

Organisationer kan välja att distribuera den här principen med hjälp av stegen som beskrivs nedan eller med hjälp av mallarna för villkorsstyrd åtkomst (förhandsversion).

Skapa en princip för villkorlig åtkomst

Följande steg hjälper dig att skapa en princip för villkorsstyrd åtkomst som kräver att alla användare använder multifaktorautentisering.

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller administratör för villkorlig åtkomst.
  2. Bläddra till Azure Active Directory > Villkorlig åtkomst för > säkerhet.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare och grupper
    1. Under Inkludera väljer du Alla användare
    2. Under Exkludera väljer du Användare och grupper och väljer organisationens konton för åtkomst vid akutfall eller nödfall.
    3. Välj Klar.
  6. Under Molnappar eller åtgärder > Inkludera väljer du Alla molnappar.
    1. Under Exkludera väljer du alla program som inte kräver multifaktorautentisering.
  7. Under Åtkomstkontroller > Bevilja väljer du Bevilja åtkomst, Kräv multifaktorautentisering och väljer Välj.
  8. Bekräfta inställningarna och ställ in Aktivera princip på Endast rapport.
  9. Välj Skapa för att skapa för att aktivera principen.

När du har bekräftat inställningarna med endast rapportlägekan en administratör flytta växlingsknappen Aktivera princip från Endast rapport till På.

Namngivna platser

Organisationer kan välja att införliva kända nätverksplatser som kallas namngivna platser i sina principer för villkorsstyrd åtkomst. Dessa namngivna platser kan innehålla betrodda IPv4-nätverk, t.ex. de för huvudkontoret. Mer information om hur du konfigurerar namngivna platser finns i artikeln Vad är platsvillkoret i Azure Active Directory villkorlig åtkomst?

I exempelprincipen ovan kan en organisation välja att inte kräva multifaktorautentisering vid åtkomst till en molnapp från företagets nätverk. I det här fallet kan de lägga till följande konfiguration i principen:

  1. Under Tilldelningar väljer du > Villkorsplatser.
    1. Konfigurera Ja.
    2. Ta med valfri plats.
    3. Undanta Alla betrodda platser.
    4. Välj Klar.
  2. Välj Klar.
  3. Spara dina principändringar.

Nästa steg

Vanliga principer för villkorsstyrd åtkomst

Simulera inloggningsbeteende med hjälp av verktyget för What If åtkomst