Šablony podmíněného přístupu
Šablony podmíněného přístupu poskytují pohodlný způsob nasazení nových zásad v souladu s doporučeními Microsoftu. Tyto šablony jsou navržené tak, aby poskytovaly maximální ochranu v souladu s běžně používanými zásadami napříč různými zákaznickými typy a umístěními.
Kategorie šablon
Šablony zásad podmíněného přístupu jsou uspořádané do následujících kategorií:
Microsoft doporučuje tyto zásady jako základ pro všechny organizace. Tyto zásady doporučujeme nasadit jako skupinu.
- Vyžadování vícefaktorového ověřování pro správce
- Zabezpečení registrace bezpečnostních údajů
- Blokování starší verze ověřování
- Vyžadování vícefaktorového ověřování pro správce přistupující k portálům pro správu Microsoftu
- Vyžadování vícefaktorového ověřování pro všechny uživatele
- Vyžadování vícefaktorového ověřování pro správu Azure
- Vyžadování kompatibilního zařízení nebo vícefaktorového ověřování zařízení nebo vícefaktorového ověřování microsoft Entra pro všechny uživatele
Tyto šablony najdete v Centru>pro správu Microsoft Entra –>Podmíněný přístup>– Vytvořte nové zásady ze šablon. Pokud chcete zobrazit všechny šablony zásad v každé kategorii, vyberte Zobrazit více .
Důležité
Zásady šablon podmíněného přístupu vyloučí jenom uživatele, který zásadu vytváří ze šablony. Pokud vaše organizace potřebuje vyloučit jiné účty, budete moct zásady po vytvoření upravit. Tyto zásady najdete v Centru>pro správu Microsoft Entra Zásady>podmíněného přístupu.> Výběrem zásady otevřete editor a upravte vyloučené uživatele a skupiny a vyberte účty, které chcete vyloučit.
Ve výchozím nastavení se každá zásada vytváří v režimu jen pro sestavy, doporučujeme organizacím testovat a monitorovat využití, aby před zapnutím jednotlivých zásad zajistily zamýšlený výsledek.
Organizace můžou vybrat jednotlivé šablony zásad a:
- Zobrazení souhrnu nastavení zásad
- Upravit a přizpůsobit podle potřeb organizace.
- Exportujte definici JSON pro použití v programových pracovních postupech.
- Tyto definice JSON je možné upravit a pak importovat na hlavní stránku zásad podmíněného přístupu pomocí možnosti Nahrát soubor zásad.
Další běžné zásady
Vyloučení uživatelů
Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:
- Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
- Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
- Účty služeb a instanční objekty, jako je účet Microsoft Entra Připojení Sync. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
- Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.