條件式存取:系統管理員需要 MFA

被指派系統管理許可權的帳戶會成為攻擊者的目標。 在這些帳戶上 (MFA) 需要多重要素驗證,是降低這些帳戶遭到入侵風險的簡單方法。

Microsoft 建議您至少需要下列角色的 MFA:

  • 全域管理員
  • 應用程式管理員
  • 驗證系統管理員
  • 計費管理員
  • 雲端應用程式系統管理員
  • 條件式存取系統管理員
  • Exchange 系統管理員
  • 服務台管理員
  • 密碼管理員
  • 特殊權限驗證管理員
  • 特殊權限角色管理員
  • 安全性系統管理員
  • SharePoint 管理員
  • 使用者管理員

組織可以選擇在適當的情況下包含或排除角色。

使用者排除

條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:

  • 緊急存取急用帳戶,以避免整個租用戶帳戶遭到鎖定。 在不太可能的情況下,所有系統管理員都會被鎖定在您的租使用者之外,您的緊急存取系統管理帳戶可以用來登入租使用者,以採取步驟來復原存取權。
  • 服務帳戶服務主體,例如 Azure AD Connect 同步處理帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶,以透過程式設計方式存取應用程式,但也可用來登入系統以便進行管理。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 條件式存取不會封鎖服務主體所進行的呼叫。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將其取代為受控識別。 您暫時可以在基準原則中排除這些特定帳戶,來解決此問題。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則,或使用 (Preview) 的條件式存取範本

建立條件式存取原則

下列步驟將協助建立條件式存取原則,以要求指派的系統管理角色執行多重要素驗證。

  1. 以全域管理員、安全性系統管理員或條件式存取管理員的身分,登入 Azure 入口網站
  2. 流覽至Azure Active Directory安全性條件式存取
  3. 選取 [新增原則]。
  4. 為您的原則命名。 我們建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者和群組]
    1. 在 [ 包含] 下,選取 [ 目錄角色 ],然後選擇 [內建角色],例如:

      • 全域管理員
      • 應用程式管理員
      • 驗證系統管理員
      • 計費管理員
      • 雲端應用程式系統管理員
      • 條件式存取系統管理員
      • Exchange 系統管理員
      • 服務台管理員
      • 密碼管理員
      • 特殊權限驗證管理員
      • 特殊權限角色管理員
      • 安全性系統管理員
      • SharePoint 管理員
      • 使用者管理員

      警告

      條件式存取原則支援內建角色。 系統不會針對其他角色類型(包括系統 管理單位範圍自訂角色)強制執行條件式存取原則。

    2. 在 [排除] 底下選取 [使用者和群組],然後選擇組織的緊急存取或急用帳戶。

    3. 選取 [完成] 。

  6. [雲端應用程式] 或 [動作] 下 ,選取 [所有雲端應用程式] 並選取 [完成]。
  7. 在 [存取控制與] 底下,選取[授與存取權需要多重要素驗證],然後選取 [選取]。
  8. 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
  9. 選取 [建立],以建立並啟用您的原則。

使用 僅限報表模式確認設定之後,系統管理員可以將 [ 啟用原則 ] 切換從 [ 僅限報表 ] 移至 [ 開啟]。

後續步驟

條件式存取一般原則

使用條件式存取 What If 工具模擬登入行為