Běžné zásady podmíněného přístupu: Zabezpečení registrace bezpečnostních údajů

  • Článek

Zabezpečení, kdy a jak se uživatelé registrují pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla, je možné provádět akce uživatelů v zásadách podmíněného přístupu. Tato funkce je dostupná organizacím, které povolily kombinovanou registraci. Tato funkce umožňuje organizacím zacházet s procesem registrace jako s jakoukoli aplikací v zásadách podmíněného přístupu a využívat plnou sílu podmíněného přístupu k zabezpečení prostředí. Na tuto zásadu se vztahují uživatelé, kteří se přihlašují k aplikaci Microsoft Authenticator nebo povolí přihlášení přes telefon bez hesla.

Některé organizace v minulosti mohly k zabezpečení prostředí registrace použít důvěryhodné síťové umístění nebo dodržování předpisů zařízením. Po přidání dočasného přístupového passu v Microsoft Entra ID můžou správci poskytnout uživatelům časově omezené přihlašovací údaje, které jim umožní registrovat se z libovolného zařízení nebo místa. Přihlašovací údaje dočasného přístupového passu splňují požadavky podmíněného přístupu pro vícefaktorové ověřování.

Nasazení šablon

Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.

Vytvoření zásady pro zabezpečení registrace

Následující zásady platí pro vybrané uživatele, kteří se pokusí zaregistrovat pomocí kombinovaného prostředí registrace. Zásady vyžadují, aby uživatelé měli důvěryhodné síťové umístění, mohli provádět vícefaktorové ověřování nebo používat přihlašovací údaje dočasného přístupového passu.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Vytvořit novou zásadu.
  4. Do pole Název zadejte název této zásady. Například kombinovaná registrace bezpečnostních údajů pomocí TAP.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.

    1. V části Zahrnout vyberte Možnost Všichni uživatelé.

      Upozorňující

      Uživatelé musí být povoleni pro kombinovanou registraci.

    2. V části Vyloučit.

      1. Vyberte Všechny hosty a externí uživatele.

        Poznámka:

        Dočasné přístupové pass nefunguje pro uživatele typu host.

      2. Vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.

  6. V části Akce uživatele cílových prostředků>zkontrolujte registraci informací o zabezpečení.
  7. Za podmínek>umístění.
    1. Nastavte možnost Konfigurovat na hodnotu Ano.
      1. Zahrnout libovolné umístění.
      2. Vyloučit všechna důvěryhodná umístění.
  8. V části Řízení>přístupu Udělení.
    1. Vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování.
    2. Zvolte Zvolit.
  9. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Správa istrátory teď budou muset vydávat přihlašovací údaje dočasného přístupu novým uživatelům, aby mohli splnit požadavky na vícefaktorové ověřování, které se mají zaregistrovat. Kroky k provedení této úlohy najdete v části Vytvoření dočasného přístupového passu v Centru pro správu Microsoft Entra.

Organizace se můžou rozhodnout, že v kroku 8a budou vyžadovat jiné ovládací prvky udělení nebo místo toho, aby vyžadovaly vícefaktorové ověřování . Při výběru více ovládacích prvků nezapomeňte vybrat přepínač příslušného přepínače, který při provedení této změny vyžaduje všechny nebo jeden z vybraných ovládacích prvků.

Registrace uživatele typu host

Pro uživatele typu host, kteří se potřebují zaregistrovat k vícefaktorovém ověřování ve vašem adresáři, se můžete rozhodnout blokovat registraci mimo důvěryhodná síťová umístění pomocí následujícího průvodce.

  1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Vytvořit novou zásadu.
  4. Do pole Název zadejte název této zásady. Například kombinovaná registrace bezpečnostních údajů v důvěryhodných sítích.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Všechny hosty a externí uživatele.
  6. V části Akce uživatele cílových prostředků>zkontrolujte registraci informací o zabezpečení.
  7. Za podmínek>umístění.
    1. Konfigurovat ano.
    2. Zahrnout libovolné umístění.
    3. Vyloučit všechna důvěryhodná umístění.
  8. V části Řízení>přístupu Udělení.
    1. Vyberte Blokovat přístup.
    2. Pak klikněte na Vybrat.
  9. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Související obsah