Šablony zásad podmíněného přístupu
Šablony podmíněného přístupu poskytují pohodlný způsob nasazení nových zásad v souladu s doporučeními Microsoftu. Tyto šablony jsou navržené tak, aby poskytovaly maximální ochranu v souladu s běžně používanými zásadami napříč různými zákaznickými typy a umístěními.
Kategorie šablon
Šablony zásad podmíněného přístupu jsou uspořádané do následujících kategorií:
Microsoft doporučuje tyto zásady jako základ pro všechny organizace. Tyto zásady doporučujeme nasadit jako skupinu.
- Vyžadování vícefaktorového ověřování pro správce
- Zabezpečení registrace bezpečnostních údajů
- Blokování starší verze ověřování
- Vyžadování vícefaktorového ověřování pro správce přistupující k portálům pro správu Microsoftu
- Vyžadování vícefaktorového ověřování pro všechny uživatele
- Vyžadování vícefaktorového ověřování pro správu Azure
- Vyžadování kompatibilního zařízení nebo vícefaktorového ověřování zařízení nebo vícefaktorového ověřování microsoft Entra pro všechny uživatele
- Vyžadovat vyhovující zařízení
Tyto šablony najdete v Centru>pro správu Microsoft Entra –>Podmíněný přístup>– Vytvořte nové zásady ze šablon. Pokud chcete zobrazit všechny šablony zásad v každé kategorii, vyberte Zobrazit více .
Důležité
Zásady šablon podmíněného přístupu vyloučí jenom uživatele, který zásadu vytváří ze šablony. Pokud vaše organizace potřebuje vyloučit jiné účty, budete moct zásady po vytvoření upravit. Tyto zásady najdete v Centru>pro správu Microsoft Entra Zásady>podmíněného přístupu.> Výběrem zásady otevřete editor a upravte vyloučené uživatele a skupiny a vyberte účty, které chcete vyloučit.
Ve výchozím nastavení se každá zásada vytváří v režimu jen pro sestavy, doporučujeme organizacím testovat a monitorovat využití, aby před zapnutím jednotlivých zásad zajistily zamýšlený výsledek.
Organizace můžou vybrat jednotlivé šablony zásad a:
- Zobrazení souhrnu nastavení zásad
- Upravit a přizpůsobit podle potřeb organizace.
- Exportujte definici JSON pro použití v programových pracovních postupech.
- Tyto definice JSON je možné upravit a pak importovat na hlavní stránku zásad podmíněného přístupu pomocí možnosti Nahrát soubor zásad.
Další běžné zásady
- Vyžadování vícefaktorového ověřování pro registraci zařízení
- Blokovat přístup podle umístění
- Blokování přístupu s výjimkou konkrétních aplikací
Vyloučení uživatelů
Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:
- Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
- Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
- Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
- Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.