Běžné zásady podmíněného přístupu: Vyžadování vícefaktorového ověřování pro všechny uživatele

  • Článek

Jako Alex Weinert, adresář identity security v Microsoftu, zmínky v jeho blogovém příspěvku Váš Pa$$word nezáleží:

Na vašem heslu nezáleží, ale vícefaktorové ověřování to dělá! Na základě našich studií je váš účet více než 99,9 % méně pravděpodobné, že bude ohrožen, pokud používáte vícefaktorové ověřování.

Pokyny v tomto článku pomáhají vaší organizaci vytvořit zásady vícefaktorového ověřování pro vaše prostředí.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet Microsoft Entra Připojení Sync. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Vyloučení aplikací

Organizace můžou používat mnoho cloudových aplikací. Ne všechny tyto aplikace mohou vyžadovat stejné zabezpečení. Například mzdové a docházkové žádosti mohou vyžadovat MFA, ale kavárna pravděpodobně ne. Správa istrátory se můžou rozhodnout vyloučit konkrétní aplikace ze svých zásad.

Aktivace předplatného

Organizace, které používají funkci aktivace předplatného, umožňují uživatelům "krokovat" z jedné verze Windows do jiné a používat zásady podmíněného přístupu k řízení přístupu, aby z jejich zásad podmíněného přístupu vyloučily jednu z následujících cloudových aplikací pomocí možnosti Vybrat vyloučené cloudové aplikace:

I když je ID aplikace v obou instancích stejné, název cloudové aplikace závisí na tenantovi.

Další informace o konfiguraci vyloučení vzásadách

Pokud je zařízení po delší dobu offline, nemusí se zařízení automaticky aktivovat, pokud toto vyloučení podmíněného přístupu není splněné. Nastavením tohoto vyloučení podmíněného přístupu zajistíte, že aktivace předplatného bude bez problémů fungovat.

Od Windows 11 verze 23H2 s KB5034848 nebo novějším se uživatelům zobrazí výzva k ověření pomocí informační zprávy, když aktivace předplatného potřebuje opětovnou aktivaci. Informační zpráva zobrazí následující zprávu:

Váš účet vyžaduje ověření.

Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.

V podokně Aktivace se navíc může zobrazit následující zpráva:

Přihlaste se prosím ke svému pracovnímu nebo školnímu účtu a ověřte své informace.

K výzvě k ověření obvykle dochází, když je zařízení po delší dobu offline. Tato změna eliminuje potřebu vyloučení v zásadách podmíněného přístupu pro Windows 11 verze 23H2 s KB5034848 nebo novějším. Zásady podmíněného přístupu se dají dál používat s Windows 11 verze 23H2 s KB5034848 nebo novějším, pokud není žádoucí výzva k ověření uživatele prostřednictvím informačního oznámení.

Nasazení šablon

Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.

Vytvořte zásady podmíněného přístupu

Následující postup vám pomůže vytvořit zásadu podmíněného přístupu, která vyžaduje vícefaktorové ověřování všech uživatelů.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
  2. Přejděte k podmíněnému přístupu k ochraně>.
  3. Vyberte Vytvořit novou zásadu.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.
  6. V části Cílové prostředky>: Zahrnout cloudové aplikace>vyberte Všechny cloudové aplikace.
    1. V části Vyloučit vyberte všechny aplikace, které nevyžadují vícefaktorové ověřování.
  7. V části Řízení>přístupu Udělení, vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a vyberte Vybrat.
  8. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
  9. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Pojmenovaná umístění

Organizace se můžou rozhodnout, že do zásad podmíněného přístupu začlení známá síťová umístění známá jako pojmenovaná umístění . Tato pojmenovaná umístění můžou zahrnovat důvěryhodné sítě IPv4, jako jsou sítě pro hlavní kancelář. Další informace o konfiguraci pojmenovaných umístění najdete v článku Co je podmínka umístění v podmíněném přístupu Microsoft Entra?

V předchozích ukázkových zásadách se organizace může rozhodnout, že při přístupu ke cloudové aplikaci z podnikové sítě nevyžaduje vícefaktorové ověřování. V takovém případě by do zásady mohli přidat následující konfiguraci:

  1. V části Přiřazení vyberte Umístění podmínek>.
    1. Konfigurovat ano.
    2. Zahrnout libovolné umístění.
    3. Vyloučit všechna důvěryhodná umístění.
    4. Vyberte Hotovo.
  2. Vyberte Hotovo.
  3. Uložte změny zásad.

Další kroky

Šablony podmíněného přístupu

Pomocí režimu jen pro podmíněný přístup můžete určit výsledky nových rozhodnutí o zásadách.