Vyžadování vícefaktorového ověřování pro všechny uživatele

Jak zmiňuje Alex Weinert, ředitel bezpečnosti identity ve společnosti Microsoft, ve svém blogovém příspěvku Váš Pa$$word nezáleží:

Na vašem heslu nezáleží, ale vícefaktorové ověřování to dělá! Na základě našich studií je váš účet více než 99,9 % méně pravděpodobné, že bude ohrožen, pokud používáte vícefaktorové ověřování.

Síla ověřování

Pokyny v tomto článku pomáhají vaší organizaci vytvořit politiku vícefaktorového ověřování pro vaše prostředí využívající silné stránky autentizace. Microsoft Entra ID poskytuje tři předdefinované síly ověřování:

• Síla vícefaktorového ověřování (méně omezující) doporučená v tomto článku
• Síla vícefaktorového ověřování bez hesla
• Úroveň MFA odolnosti vůči phishingovým útokům (nejvíce omezující)

Můžete použít některou z vestavěných úrovní zabezpečení nebo vytvořit vlastní úroveň zabezpečení pro ověřování podle metod ověřování, které chcete vyžadovat.

Pro scénáře externích uživatelů se metody vícefaktorového ověřování, které může tenant prostředku přijmout, liší v závislosti na tom, zda uživatel provádí vícefaktorové ověřování ve svém domovském tenantovi nebo v tenantovi prostředku. Další informace najdete v tématu Síla ověřování pro externí uživatele.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje. Doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo nouzové účty, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři, kdy jsou všichni správci uzamčeni, můžete účet pro správu tísňového přístupu použít k přihlášení a obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Služební účty a služební principály, jako je účet synchronizace Microsoft Entra Connect. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby k povolení programového přístupu k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Volání instančních objektů nejsou blokovaná zásadami podmíněného přístupu vymezenými na uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud vaše organizace používá tyto účty ve skriptech nebo kódu, nahraďte je spravovanými identitami.

Template deployment

Organizace můžou tuto zásadu nasadit pomocí níže uvedených kroků nebo pomocí šablon podmíněného přístupu.

Vytvořte zásady podmíněného přístupu

Následující kroky vám pomohou vytvořit zásadu podmíněného přístupu, která vyžaduje, aby všichni uživatelé prováděli vícefaktorové ověřování pomocí zásad síly ověřování, bez vyloučení aplikací.

Varování

vnější ověřovací metody jsou aktuálně nekompatibilní se silou ověřování. Měli byste použít Vyžadovat vícefaktorové ověřování a přidělit řízení.

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.

2. Přejděte na Entra ID>Podmíněný přístup>Zásady.

3. Vyberte Nová zásada.

4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.

5. V části Přiřazení vyberte uživatele nebo identity pracovního zatížení.

   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit:
      1. Vyberte Uživatelé a skupiny
         1. Zvolte nouzové přístupové účty nebo účty k mimořádnému přístupu vaší organizace.
         2. Pokud používáte hybridní řešení identity, jako je Microsoft Entra Connect nebo Microsoft Entra Connect Cloud Sync, vyberte role adresáře, poté vyberte účty synchronizace adresářů
      2. Můžete se rozhodnout vyloučit uživatele typu host, pokud na ně cílíte pomocí zásad specifických pro uživatele typu host.

6. V části > vyberte >

   Spropitné

   Microsoft doporučuje všem organizacím vytvořit základní zásady podmíněného přístupu, které cílí: Všichni uživatelé, všechny prostředky bez vyloučení aplikací a vyžadují vícefaktorové ověřování.

7. V části Řízení přístupu>Udělit vyberte Udělit přístup.

   1. Vyberte Vyžadovat sílu ověřování a pak ze seznamu vyberte integrovanou sílu vícefaktorového ověřování.
   2. Zvolte Zvolit.

8. Potvrďte nastavení a nastavte Povolit zásadu na režim pouze pro sestavy.

9. Vyberte Vytvořit, abyste povolili svou zásadu.

Po potvrzení nastavení pomocí režimu ovlivnění zásad nebo režimu pouze sestavy přesuňte přepínač Povolit zásadupouze ze sestavy do polohy Zapnuto.

Pojmenované lokality

Organizace se můžou rozhodnout, že do zásad podmíněného přístupu začlení známá síťová umístění známá jako Pojmenovaná umístění . Tato pojmenovaná umístění můžou zahrnovat důvěryhodné IP sítě, jako jsou sítě pro hlavní pobočku. Další informace o konfiguraci pojmenovaných umístění najdete, viz článek Co je podmínka umístění v podmíněném přístupu Microsoft Entra?

V předchozích ukázkových zásadách se organizace může rozhodnout, že při přístupu ke cloudové aplikaci z podnikové sítě nevyžaduje vícefaktorové ověřování. V takovém případě by do zásady mohli přidat následující konfiguraci:

1. V části Přiřazení vyberte Síť.
   1. Konfigurovat ano.
   2. Zahrnout jakoukoli síť nebo umístění.
   3. Vyloučit Všechny důvěryhodné sítě a umístění.
2. Uložte změny zásad.

Související obsah

• Šablony podmíněného přístupu
• Pomocí režimu pouze pro hlášení v Podmíněném přístupu můžete určit výsledky nových rozhodnutí o zásadách.
• Aktivace předplatného Windows
• Konfigurace nastavení přístupu mezi tenanty