Běžné zásady podmíněného přístupu: Zabezpečení registrace bezpečnostních údajů

Zabezpečení, kdy a jak se uživatelé registrují pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla, je možné provádět akce uživatelů v zásadách podmíněného přístupu. Tato funkce je dostupná pro organizace, které umožňují kombinovanou registraci. Tato funkce umožňuje organizacím zacházet s procesem registrace jako s jakoukoli aplikací v zásadách podmíněného přístupu a využívat plnou sílu podmíněného přístupu k zabezpečení prostředí. Na tuto zásadu se vztahují uživatelé, kteří se přihlašují k aplikaci Microsoft Authenticator nebo povolí přihlášení přes telefon bez hesla.

Některé organizace v minulosti mohly k zabezpečení prostředí registrace použít důvěryhodné síťové umístění nebo dodržování předpisů zařízením. Po přidání dočasného přístupového passu v Microsoft Entra ID můžou správci poskytnout uživatelům časově omezené přihlašovací údaje, které jim umožní registrovat se z libovolného zařízení nebo místa. Přihlašovací údaje dočasného přístupového passu splňují požadavky podmíněného přístupu pro vícefaktorové ověřování.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Nasazení šablon

Organizace si můžou tuto zásadu nasadit pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu.

Vytvoření zásady pro zabezpečení registrace

Následující zásady platí pro vybrané uživatele, kteří se pokusí zaregistrovat pomocí kombinovaného prostředí registrace. Zásady vyžadují, aby uživatelé měli důvěryhodné síťové umístění a mohli provádět vícefaktorové ověřování nebo používat přihlašovací údaje dočasného přístupového passu.

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
2. Přejděte k zásadám podmíněného přístupu ochrany>>.
3. Vyberte Možnost Nová zásada.
4. Do pole Název zadejte název této zásady. Například kombinovaná registrace bezpečnostních údajů pomocí TAP.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.

   1. V části Zahrnout vyberte Možnost Všichni uživatelé.

      Upozorňující

      Uživatelé musí být povoleni pro kombinovanou registraci.

   2. V části Vyloučit.

      1. Vyberte Všechny hosty a externí uživatele.

         Poznámka:

         Dočasné přístupové pass nefunguje pro uživatele typu host.

      2. Vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů ve vaší organizaci.

6. V části Akce uživatele cílových prostředků>zkontrolujte registraci informací o zabezpečení.
7. Za podmínek>umístění.
   1. Nastavte možnost Konfigurovat na hodnotu Ano.
      1. Zahrnout libovolné umístění.
      2. Vyloučit všechna důvěryhodná umístění.
8. V části Řízení>přístupu Udělení.
   1. Vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování.
   2. Zvolte Zvolit.
9. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Správci musí novým uživatelům vydat přihlašovací údaje dočasného přístupu, aby mohli splnit požadavky na vícefaktorové ověřování, které se mají zaregistrovat. Kroky k provedení této úlohy najdete v části Vytvoření dočasného přístupového passu v Centru pro správu Microsoft Entra.

Organizace se můžou rozhodnout, že v kroku 8a budou vyžadovat jiné ovládací prvky udělení nebo místo toho, aby vyžadovaly vícefaktorové ověřování . Při výběru více ovládacích prvků nezapomeňte vybrat přepínač příslušného přepínače, který při provedení této změny vyžaduje všechny nebo jeden z vybraných ovládacích prvků.

Registrace uživatele typu host

Pro uživatele typu host, kteří se potřebují zaregistrovat pro vícefaktorové ověřování ve vašem adresáři, se můžete rozhodnout blokovat registraci mimo důvěryhodná síťová umístění pomocí následující příručky.

1. Přihlaste se do Centra pro správu Microsoft Entra s úrovní minimálně jako Správce podmíněného přístupu.
2. Přejděte k zásadám podmíněného přístupu ochrany>>.
3. Vyberte Možnost Nová zásada.
4. Do pole Název zadejte název této zásady. Například kombinovaná registrace bezpečnostních údajů v důvěryhodných sítích.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všechny hosty a externí uživatele.
6. V části Akce uživatele cílových prostředků>zkontrolujte registraci informací o zabezpečení.
7. Za podmínek>umístění.
   1. Konfigurovat ano.
   2. Zahrnout libovolné umístění.
   3. Vyloučit všechna důvěryhodná umístění.
8. V části Řízení>přístupu Udělení.
   1. Vyberte Blokovat přístup.
   2. Poté zvolte Vybrat.
9. Potvrďte nastavení a nastavte Povolit zásadu pouze pro sestavy.
10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Jakmile správci potvrdí nastavení pomocí režimu jen pro sestavy, můžou přepnout zásadu Povolit pouze ze sestavy do polohy Zapnuto.

Související obsah

• Předdefinované role Microsoft Entra
• Šablony podmíněného přístupu
• Vyžadovat, aby uživatelé znovu potvrdili ověřovací informace