Vyžadování opětovného ověření a zakázání trvalosti prohlížeče

Chraňte uživatelský přístup na nespravovaných zařízeních tím, že zabráníte tomu, aby relace prohlížeče zůstávaly přihlášené po zavření prohlížeče, a nastavte frekvenci přihlášení na 1 hodinu.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje. Doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři, kdy jsou všichni správci uzamčeni, můžete účet pro správu tísňového přístupu použít k přihlášení a obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a principály služeb, jako je účet synchronizace Microsoft Entra Connect. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby k povolení programového přístupu k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Volání instančních objektů nejsou blokovaná zásadami podmíněného přístupu vymezenými na uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud vaše organizace používá tyto účty ve skriptech nebo kódu, nahraďte je spravovanými identitami.

Template deployment

Organizace můžou tuto zásadu nasadit pomocí níže uvedených kroků nebo pomocí šablon podmíněného přístupu.

Vytvořte zásady podmíněného přístupu

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.
2. Přejděte do Entra ID>Podmíněný přístup>Zásady.
3. Vyberte Novou politiku.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo účty pro nouzové použití ve vaší organizaci.
6. V části Cílové prostředky>(dříve cloudové aplikace)>Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
7. V části Podmínky>Filtr pro zařízení nastavte Konfigurovat na Ano.
   1. V části Zařízení odpovídající pravidlu: nastavte možnost Zahrnout filtrovaná zařízení do zásad.
   2. V části Syntaxe pravidla vyberte tužku Pro úpravy a vložte do pole následující výraz a pak vyberte Použít.
      1. device.trustType -ne "ServerAD" -or device.isCompliant -ne Pravda
   3. Vyberte Hotovo.
8. Pod řízení přístupu>Relace
   1. Vyberte Frekvenci přihlášení, zadejte pravidelné opakované ověřování a nastavte dobu trvání na 1 a období na Hodiny.
   2. Vyberte trvalou relaci prohlížeče a nastavte trvalou relaci prohlížeče na Nikdy trvalá.
   3. Výběr, Výběr
9. Potvrďte nastavení a nastavte Povolit zásadu na pouze pro sestavu.
10. Pokud chcete zásadu povolit, vyberte Vytvořit .

Po potvrzení nastavení pomocí režimu ovlivnění zásad nebo režimu pouze sestavy přesuňte přepínač Povolit zásadupouze ze sestavy do polohy Zapnuto.

Další kroky

Šablony podmíněného přístupu

Pomocí režimu pouze pro reportování podmíněného přístupu určete výsledky nových rozhodnutí o zásadách.