Vaihe 1: Hybridityöntekijöiden kirjautumissuojauksen parantaminen monimenetelmäisen todentamisen avulla
Jos haluat parantaa hybridityöntekijöiden kirjautumissuojausta, käytä monimenetelmäistä todentamista (MFA). Monimenetelmäinen todentaminen edellyttää, että käyttäjän kirjautumisiin tehdään lisävahvistus käyttäjätilin salasanan lisäksi. Vaikka pahantahtoinen käyttäjä määrittäisi käyttäjätilin salasanan, hänen täytyy pystyä myös vastaamaan lisävahvistukseen, kuten älypuhelimeen lähetettävään tekstiviestiin, ennen kuin käyttöoikeus myönnetään.
Microsoft suosittelee MFA:ta kaikille käyttäjille, myös hybridityöntekijöille ja erityisesti järjestelmänvalvojille.
On kolme tapaa vaatia käyttäjiä käyttämään monimenetelmäistä todentamista Microsoft 365 -palvelupakettisi perusteella.
| Palvelupaketti | Suositus |
|---|---|
| Kaikki Microsoft 365 -palvelupaketit (ilman Microsoft Entra ID P1- tai P2-käyttöoikeuksia) | Ota suojausasetukset käyttöön Microsoft Entra tunnuksella. Microsoft Entra tunnuksen oletusarvoiset suojausasetukset sisältävät monimenetelmäistä todentamista käyttäjille ja järjestelmänvalvojille. |
| Microsoft 365 E3 (sisältää Microsoft Entra ID P1 -käyttöoikeudet) | Määritä seuraavat käytännöt yleisten ehdollisten käyttöoikeuksien käytäntöjen avulla: - Edellytä monimenetelmäinen todentaminen järjestelmänvalvojille - Edellytä monimenetelmäinen todentaminen kaikille käyttäjille - Estä vanha todennus |
| Microsoft 365 E5 (sisältää Microsoft Entra ID P2 -käyttöoikeudet) | Hyödyntämällä Microsoft Entra tunnuksen ominaisuutta alat ottaa käyttöön Microsoftin suositeltuja ehdollisia käyttöoikeuksia ja niihin liittyviä käytäntöjä, kuten: - monimenetelmäisen todentamisen edellyttäminen, kun kirjautumisriski on keskitasoinen tai suuri. - Estää asiakkaita, jotka eivät tue modernia todentamista. – vaatii suuren riskin käyttäjiä vaihtamaan salasanansa. |
Oletusarvoiset suojausasetukset
Oletusarvoiset suojausasetukset ovat Uusi ominaisuus Microsoft 365:lle ja Office 365 21.10.2019 jälkeen luodut maksulliset tilaukset tai kokeiluversiotilaukset. Näiden tilausten oletusarvoiset suojausasetukset on otettu käyttöön, mikä edellyttää, että kaikki käyttäjät käyttävät monimenetelmäistä todentamista Microsoft Authenticator -sovelluksen kanssa.
Käyttäjillä on 14 päivää aikaa rekisteröityä monimenetelmäisesti Microsoft Authenticator -sovellukseen älypuhelimistaan, mikä alkaa ensimmäisestä sisäänkirjautumis kerrasta, kun oletusarvoiset suojausasetukset on otettu käyttöön. Kun 14 päivää on kulunut, käyttäjä ei voi kirjautua sisään, ennen kuin monimenetelmäinen todentaminen on rekisteröitynyt.
Oletusarvoiset suojausasetukset varmistavat, että kaikilla organisaatioilla on käyttäjien kirjautumisen perussuojaustaso, joka on oletusarvoisesti käytössä. Voit poistaa oletusarvoiset suojausasetukset käytöstä ehdollisten käyttöoikeuskäytäntöjen tai yksittäisten tilien monimenetelmäisen todentamisen hyväksi.
Lisätietoja on tässä tietoturva-oletusarvojen yleiskatsauksessa.
Ehdolliset käyttöoikeuskäytännöt
Ehdolliset käyttöoikeuskäytännöt ovat joukko sääntöjä, jotka määrittävät ehdot, joiden mukaisesti kirjautumisia arvioidaan ja sallitaan. Voit esimerkiksi luoda ehdollisen käyttöoikeuden käytännön, jossa ilmoitetaan:
- Jos käyttäjätilin nimi on sellaisen käyttäjän ryhmän jäsen, jolle on määritetty Exchange-, käyttäjä-, salasana-, suojaus-, SharePoint- tai yleiset järjestelmänvalvojaroolit, edellytä monimenetelmäistä todentamista ennen käytön sallimista.
Tämän käytännön avulla voit vaatia monimenetelmäistä todentamista ryhmän jäsenyyden perusteella sen sijaan, että yrittäisit määrittää yksittäiset käyttäjätilit monimenetelmäistä todentamista varten, kun ne on määritetty tai niitä ei ole määritetty näille järjestelmänvalvojarooleille.
Voit käyttää ehdollisen käytön käytäntöjä myös kehittyneempiin ominaisuuksiin, kuten kirjautumisen edellyttämiseen yhteensopivasta laitteesta, kuten kannettavasta tietokoneesta, jossa on Windows 11 tai 10.
Ehdollinen käyttö edellyttää Microsoft Entra ID P1 -käyttöoikeuksia, jotka sisältyvät Microsoft 365 E3 ja E5:een.
Lisätietoja on tässä ehdollisten käyttöoikeuksien yleiskatsauksessa.
Microsoft Entra -tunnuksien suojaus tuki
Microsoft Entra -tunnuksien suojaus avulla voit luoda ehdollisen käyttöoikeuden lisäkäytännön, jossa ilmoitetaan:
- Jos sisäänkirjautumisen riski määritetään keskikokoon tai suureksi, edellytä monimenetelmäistä todentamista.
Microsoft Entra -tunnuksien suojaus edellyttää Microsoft Entra ID P2 -käyttöoikeuksia, jotka sisältyvät Microsoft 365 E5.
Lisätietoja on artikkelissa Riskipohjainen ehdollinen käyttöoikeus.
Microsoft Entra -tunnuksien suojaus avulla voit myös luoda käytännön, joka edellyttää, että käyttäjät rekisteröityvät monimenetelmäisen todentamisen käyttäjäksi. Lisätietoja on artikkelissa Microsoft Entra monimenetelmäistä todentamista koskevan rekisteröintikäytännön määrittäminen
Näiden menetelmien käyttäminen yhdessä
Pidä mielessä seuraavat asiat:
- Oletusarvoisia suojausasetuksia ei voi ottaa käyttöön, jos ehdollisten käyttöoikeuksien käytännöt ovat käytössä.
- Ehdollisten käyttöoikeuksien käytäntöjä ei voi ottaa käyttöön, jos suojauksen oletusarvot ovat käytössä.
Jos oletusarvoiset suojauksen oletusarvot ovat käytössä, kaikkia uusia käyttäjiä pyydetään MFA-rekisteröintiin ja Microsoft Authenticator -sovelluksen käyttöön.
Tässä taulukossa näytetään tulokset monimenetelmäisen todentamisen käyttöönotosta suojauksen oletusarvoilla ja ehdollisten käyttöoikeuksien käytännöillä.
| Menetelmä | Käytössä | Poistettu käytöstä | Lisätodennusmenetelmä |
|---|---|---|---|
| Oletusarvoiset suojausasetukset | Ehdollisten käyttöoikeuksien käytäntöjä ei voi käyttää | Voi käyttää ehdollisia käyttöoikeuskäytäntöjä | Microsoft Authenticator -sovellus |
| Ehdolliset käyttöoikeuskäytännöt | Jos niitä on käytössä, et voi ottaa oletusarvoisia suojausasetuksia käyttöön | Jos kaikki on poistettu käytöstä, voit ottaa oletusarvoiset suojausasetukset käyttöön | Käyttäjä määrittää MFA-rekisteröinnin aikana |
Anna käyttäjien vaihtaa omat salasanansa
Self-Service salasanan palauttamisen (SSPR) avulla käyttäjät voivat vaihtaa omat salasanansa vaikuttamatta IT-henkilöstöön. Käyttäjät voivat vaihtaa salasanansa nopeasti milloin tahansa ja missä tahansa. Lisätietoja on artikkelissa Microsoft Entra omatoimisen salasanan palautuksen käyttöönotto.
Kirjaudu SaaS-sovelluksiin, joissa on Microsoft Entra-tunnus
Sen lisäksi, että Microsoft Entra-tunnus voi tarjota käyttäjille pilvitodennuksen, se voi myös olla keskeinen tapa suojata kaikki sovelluksesi, olivatpa ne sitten paikallisia, Microsoftin pilvipalvelussa tai toisessa pilvipalvelussa. Integroimalla sovelluksesi Microsoft Entra tunnukseen, hybridityöntekijöiden on helppo löytää tarvitsemansa sovellukset ja kirjautua niihin turvallisesti.
Hallinta monimenetelmäistä todentamista ja käyttäjätietoja koskevat tekniset resurssit
- 5 parasta tapaa, joilla Microsoft Entra-tunnuksesi voi auttaa etätyön käyttöönotossa
- Microsoft 365:n käyttäjätietoinfrastruktuuri
- Azure Academy Microsoft Entra ID -koulutusvideot
Vaiheen 1 tulokset
Monimenetelmäisen todentamisen käyttöönoton jälkeen käyttäjäsi:
- Vaaditaan monimenetelmäisen todentamisen käyttämiseen kirjautumisissa.
- Olet suorittanut monimenetelmäisen todentamisen rekisteröintiprosessin ja käyttää monimenetelmäistä todentamista kaikissa kirjautumisissa.
- Voi käyttää SSPR:ää omien salasanojensa palauttamiseen.
Seuraavat vaiheet
Jatka vaiheeseen 2 , jotta voit tarjota etäyhteyden paikallisiin sovelluksiin ja palveluihin.