Ukázková politika blokování přístupu

Pro organizace s konzervativním přístupem k migraci do cloudu je možností zásada blokovat vše, kterou je možné použít.

Upozornění

Chybná konfigurace zásad bloku může vést k uzamčení organizací.

Takové zásady můžou mít nežádoucí vedlejší účinky. Před povolením jsou nezbytné správné testování a ověřování. Správci by při provádění změn měli využívat nástroje, jako je režim pouze pro podmíněný přístup, a nástroj Co se stane, když v podmíněném přístupu.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje. Doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři, kdy jsou všichni správci uzamčeni, můžete účet pro správu tísňového přístupu použít k přihlášení a obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a služební principály, jako je účet synchronizace Microsoft Entra Connect. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby k povolení programového přístupu k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Volání instančních objektů nejsou blokovaná zásadami podmíněného přístupu vymezenými na uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud vaše organizace používá tyto účty ve skriptech nebo kódu, nahraďte je spravovanými identitami.

Vytvořte zásady podmíněného přístupu

Následující postup vám pomůže vytvořit zásady podmíněného přístupu, které blokují přístup ke všem aplikacím s výjimkou Office 365 , pokud uživatelé nejsou v důvěryhodné síti. Tyto zásady jsou nastaveny do režimu pouze pro sestavy, aby správci mohli určit dopad na stávající uživatele. Pokud jsou správci spokojení s tím, že zásady platí podle jejich plánu, můžou je přepnout na Zapnuto.

První zásada blokuje přístup ke všem aplikacím s výjimkou aplikací Microsoftu 365, pokud nejsou v důvěryhodném umístění.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce podmíněného přístupu.
2. Přejděte do Entra ID>podmíněného přístupu>zásad.
3. Vyberte Nová zásada.
4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
5. V části Přiřazení vyberte možnost Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty vaší organizace pro nouzový přístup nebo účty typu break-glass.
6. V části Cílové prostředky>(dříve cloudové aplikace) vyberte následující možnosti:
   1. V části Zahrnout vyberte Všechny prostředky (dříve Všechny cloudové aplikace).
   2. V části Vyloučit vyberte Office 365 a vyberte Vybrat.
7. V rámci podmínek:
   1. PodmínkyMísto
      1. Nastavit Konfigurovat na ano
      2. V části Zahrnout vyberte Libovolné umístění.
      3. V části Vyloučit vyberte Všechna důvěryhodná umístění.
   2. V části Klientské aplikace nastavte možnost Konfigurovat na Ano a vyberte Hotovo.
8. V části Řízení přístupuGrant, vyberte Blokovat přístup, a pak vyberte Vybrat.
9. Potvrďte nastavení a nastavte Povolit zásadu na Pouze k vytváření zpráv.
10. Vyberte Vytvořit pro vytvoření a povolení vaší zásady.

Po potvrzení nastavení pomocí režimu ovlivnění zásad nebo režimu pouze sestavy přesuňte přepínač Povolit zásadupouze ze sestavy do polohy Zapnuto.

Následující zásada vyžaduje vícefaktorové ověřování nebo kompatibilní zařízení pro uživatele Microsoft 365.

1. Vyberte Vytvořit novou zásadu.
2. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy zásad.
3. V části Přiřazení vyberte možnost Uživatelé nebo identity úloh.
   1. V části Zahrnout vyberte Všichni uživatelé.
   2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty vaší organizace pro nouzový přístup nebo účty typu break-glass.
4. V části Cílové prostředkyProstředky (dříve cloudové aplikace)Zahrnoutvyberte prostředky, zvolte Office 365, a vyberte Vybrat.
5. V části Řízení přístupu>Grant vyberte možnost Udělit přístup.
   1. Vyberte Vyžadovat vícefaktorové ověřování a Vyžadovat, aby zařízení bylo označeno jako vyhovující , vyberte Vybrat.
   2. Ujistěte se, že je vybrána možnost Požadovat jeden z vybraných ovládacích prvků.
   3. Vyberte Vybrat.
6. Potvrďte nastavení a nastavte Povolit zásadu na Pouze k vytváření zpráv.
7. Vyberte Vytvořit pro vytvoření a povolení vaší zásady.

Po potvrzení nastavení pomocí režimu ovlivnění zásad nebo režimu pouze sestavy přesuňte přepínač Povolit zásadupouze ze sestavy do polohy Zapnuto.

Poznámka:

Zásady podmíněného přístupu se vynucují po dokončení prvního ověření. Podmíněný přístup není určen jako první linie obrany organizace pro scénáře, jako jsou útoky doS (DoS), ale může k určení přístupu používat signály z těchto událostí.

Další kroky

Šablony podmíněného přístupu

Stanovte účinek pomocí režimu pro sestavy podmíněného přístupu

Pomocí režimu pouze pro hlášení u podmíněného přístupu můžete určit výsledky nových rozhodnutí o zásadách.