Společné zásady podmíněného přístupu: Vyžadování vícefaktorového ověřování pro všechny uživatele

Jak uvádí Alex Weinert, adresář zabezpečení identit v Microsoftu, ve svém blogovém příspěvku Vaše pa$$word nezáleží:

Na vašem hesle nezáleží, ale MFA ano! Na základě našich studií je u vašeho účtu při použití vícefaktorového ověřování o více než 99,9 % nižší pravděpodobnost ohrožení zabezpečení.

Doprovodné materiály v tomto článku pomůžou vaší organizaci vytvořit zásady vícefaktorového ověřování pro vaše prostředí.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje. Doporučujeme ze zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu s nouzovým přístupem se dá použít k přihlášení k tenantovi a provedení kroků k obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet synchronizace Azure AD Connect. Účty služeb jsou neinteraktivní účty, které nejsou vázané na žádného konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlašování k systémům pro účely správy. Účty služeb, jako jsou tyto, by měly být vyloučené, protože vícefaktorové ověřování nejde dokončit programově. Volání provedená instančními objekty nejsou podmíněným přístupem blokována.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze zásad směrného plánu.

Vyloučení aplikací

Organizace můžou používat mnoho cloudových aplikací. Ne všechny tyto aplikace můžou vyžadovat stejné zabezpečení. Například mzdové a docházkové aplikace můžou vyžadovat vícefaktorové ověřování, ale kavárna pravděpodobně ne. Správci můžou ze svých zásad vyloučit konkrétní aplikace.

Aktivace předplatného

Organizace, které pomocí aktivace předplatného umožňují uživatelům "step-up" z jedné verze Windows do jiné, můžou chtít vyloučit rozhraní API služby Universal Store a webovou aplikaci AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f ze všech zásad MFA cloudových aplikací.

Nasazení šablon

Organizace se mohou rozhodnout, že tuto zásadu nasadí pomocí níže uvedených kroků nebo pomocí šablon podmíněného přístupu (Preview).

Vytvoření zásad podmíněného přístupu

Následující kroky vám pomůžou vytvořit zásady podmíněného přístupu, které budou vyžadovat, aby všichni uživatelé dělali vícefaktorové ověřování.

  1. Přihlaste se k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
  2. Přejděte naPodmíněný přístupzabezpečení>Služby Azure Active Directory>.
  3. Vyberte Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty tísňového volání nebo účty tísňového volání vaší organizace.
  6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny cloudové aplikace.
    1. V části Vyloučit vyberte všechny aplikace, které nevyžadují vícefaktorové ověřování.
  7. V části Řízení> přístupuUdělení vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a vyberte Vybrat.
  8. Potvrďte nastavení a nastavte Povolit zásadu na Pouze sestavy.
  9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Po potvrzení nastavení v režimu jen sestavy může správce přepnout přepínač Povolit zásady z možnosti Jen sestavy na Zapnuto.

Pojmenovaná umístění

Organizace se můžou rozhodnout, že do svých zásad podmíněného přístupu začlení známá síťová umístění označovaná jako Pojmenovaná umístění . Tato pojmenovaná umístění můžou zahrnovat důvěryhodné sítě IPv4, jako jsou sítě pro hlavní pobočku. Další informace o konfiguraci pojmenovaných umístění najdete v článku Jaká je podmínka umístění v podmíněném přístupu Azure Active Directory?

V příkladu výše uvedených zásad se organizace může rozhodnout, že nebude vyžadovat vícefaktorové ověřování, pokud přistupuje ke cloudové aplikaci ze své podnikové sítě. V takovém případě může do zásady přidat následující konfiguraci:

  1. V části Přiřazení vyberte Umístění podmínek>.
    1. Nakonfigurujte Ano.
    2. Zahrnout libovolné umístění.
    3. Vyloučit všechna důvěryhodná umístění.
    4. Vyberte Hotovo.
  2. Vyberte Hotovo.
  3. Uložte změny zásad.

Další kroky

Běžné zásady podmíněného přístupu

Simulace chování přihlašování pomocí nástroje Podmíněný přístup What If