Ortak Koşullu Erişim ilkesi: Yöneticiler için MFA gerektir
Yönetici hakları atanan hesaplar saldırganlar tarafından hedeflenir. Bu hesaplarda çok faktörlü kimlik doğrulaması (MFA) gerektirmek, bu hesapların tehlikeye atılması riskini azaltmanın kolay bir yoludur.
Microsoft, kimlik puanı önerilerine bağlı olarak en azından aşağıdaki rollerde MFA'ya ihtiyaç duymanızı önerir:
- Genel Yönetici
- Uygulama Yöneticisi
- Kimlik Doğrulama Yöneticisi
- Faturalama Yöneticisi
- Bulut Uygulaması Yöneticisi
- Koşullu Erişim Yöneticisi
- Exchange Yöneticisi
- Yardım masası Yönetici istrator
- Parola Yönetici istrator
- Ayrıcalıklı Kimlik Doğrulama Yöneticisi
- Ayrıcalıklı Rol Yöneticisi
- Güvenlik Yöneticisi
- SharePoint Yönetici istrator
- Kullanıcı Yöneticisi
Kuruluşlar rolleri uygun gördükleri şekilde dahil etmeyi veya hariç tutmayı seçebilir.
Kullanıcı dışlamaları
Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:
- Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
- Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
- Microsoft Entra Bağlan Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimsiz hesaplardır. Bu hesaplar normalde uygulamalara program aracılığıyla erişim sağlayan arka uç hizmetleri tarafından kullanılır ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA, program aracılığıyla tamamlanmadığı için bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak üzere iş yükü kimlikleri için Koşullu Erişim'i kullanın.
Şablon dağıtımı
Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.
Koşullu Erişim ilkesi oluşturma
Aşağıdaki adımlar, atanan yönetim rollerinin çok faktörlü kimlik doğrulaması gerçekleştirmesini gerektirecek bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur. Bazı kuruluşlar yöneticileri için daha güçlü kimlik doğrulama yöntemlerine geçmeye hazır olabilir. Bu kuruluşlar, yöneticiler için kimlik avına dayanıklı çok faktörlü kimlik doğrulaması gerektirme makalesinde açıklanan ilke gibi bir ilke uygulamayı tercih edebilir.
- En azından Koşullu Erişim Yöneticisi olarak Microsoft Entra yönetici merkezinde oturum açın.
- Koruma>Koşullu Erişim'e göz atın.
- Yeni ilke oluştur'u seçin.
- İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
- Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
Ekle'nin altında Dizin rolleri'ni seçin ve aşağıdaki gibi yerleşik rolleri seçin:
- Genel Yönetici
- Uygulama Yöneticisi
- Kimlik Doğrulama Yöneticisi
- Faturalama Yöneticisi
- Bulut Uygulaması Yöneticisi
- Koşullu Erişim Yöneticisi
- Exchange Yöneticisi
- Yardım masası Yönetici istrator
- Parola Yönetici istrator
- Ayrıcalıklı Kimlik Doğrulama Yöneticisi
- Ayrıcalıklı Rol Yöneticisi
- Güvenlik Yöneticisi
- SharePoint Yönetici istrator
- Kullanıcı Yöneticisi
Uyarı
Koşullu Erişim ilkeleri yerleşik rolleri destekler. Koşullu Erişim ilkeleri, yönetim birimi kapsamlı veya özel roller de dahil olmak üzere diğer rol türleri için zorunlu tutulmaz.
Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
- Hedef kaynaklar>Bulut uygulamaları>dahil et'in altında Tüm bulut uygulamaları'nı seçin.
- Erişim denetimleri>Ver'in altında Erişim ver, Çok faktörlü kimlik doğrulaması gerektir'i ve Seç'i seçin.
- Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
- İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.
Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.