הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
אימות רב גורמי (המכונה גם MFA, אימות דו-גורמי או 2FA) דורש שיטת אימות שניה עבור כניסה למשתמש ומשפר את אבטחת החשבון.
מאמר זה מכיל הוראות להגדרת MFA באמצעות האפשרויות הזמינות:
- ברירות מחדל של אבטחה: זמין בכל ארגוני Microsoft 365 באמצעות מזהה Microsoft Entra ללא תשלום.
- מדיניות גישה מותנית: זמינה בארגונים של Microsoft 365 עם מזהה Microsoft Entra P1 או P2.
- MFA מדור קודם לכל משתמש (לא מומלץ): זמין בכל ארגוני Microsoft 365 באמצעות מזהה Microsoft Entra ללא תשלום.
לקבלת מידע על האפשרויות השונות עבור MFA ב- Microsoft 365, ראה אימות רב גורמי ב- Microsoft 365
מה עליך לדעת לפני שתתחיל?
כדי שתוכל להשלים את ההליכים במאמר זה, דרושות לך הרשאות מתאימות. הנה כמה אפשרויות:
-
- הפעל או בטל ברירות מחדל של אבטחה: חברות בתפקידי מנהל מערכת כללי או מנהל אבטחה.
- צור ונהל פריטי מדיניות של גישה מותנית: חברות בתפקידי מנהל מערכת כללי או מנהל גישה מותנית .
חשוב
Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה בארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.
-
כדי להשתמש בהגדרות ברירת מחדל של אבטחה או בגישה מותנית, עליך לבטל MFA מדור קודם לכל משתמש עבור משתמשים בארגון שלך. אם המנוי של הארגון שלך הופעל לאחר 2019, MFA מדור קודם לכל משתמש אינו מופעל. לקבלת מידע נוסף, ראה הפיכת אימות רב-גורמי Microsoft Entra לכל משתמש לזמין לאבטחת אירועי כניסה.
הערה
אם יש לך שירותי מדריך כתובות שאינם של Microsoft עם Active Directory Federation Services (AD FS) שתצורתם נקבעה לפני יולי 2019, הגדר את Azure MFA Server. לקבלת מידע נוסף, ראה תרחישים מתקדמים עם Microsoft Entra רב גורמי ופתרונות VPN שאינם של Microsoft.
ניהול ברירות מחדל של אבטחה
לדיירי Microsoft 365 שנוצרו לאחר אוקטובר 2019 מופעלות ברירות מחדל של אבטחה כברירת מחדל. כדי להציג או לשנות את המצב הנוכחי של ברירות המחדל של האבטחה בארגון שלך, בצע את הפעולות הבאות:
בחלונית מרכז הניהול של Microsoft Entra, עבור אל מבט כולל על זהות>. לחלופין, כדי לעבור ישירות לדף Microsoft Entra מבט כולל.
בדף מבט כולל, בחר בכרטיסיה מאפיינים ועבור אל המקטע ברירות מחדל של אבטחה בחלק התחתון של הכרטיסיה.
בהתאם למצב הנוכחי של ברירות המחדל של האבטחה, אחת מהחוויות הבאות זמינה:
ברירות מחדל של אבטחה מופעלות: הטקסט הבא מוצג, נהל ברירות מחדל של אבטחה זמין:
הארגון שלך מוגן באמצעות ברירות מחדל של אבטחה.
מדיניות גישה מותנית אחת או יותר קיימת ב- מזהה Microsoft Entra P1 או P2: הטקסט הבא מוצג ו'ניהול ברירות מחדל של אבטחה' אינו זמין:
הארגון שלך משתמש כעת במדיניות גישה מותנית המונעת ממך להפוך ברירות מחדל של אבטחה לזמינים. באפשרותך להשתמש בגישה מותנית כדי לקבוע תצורה של פריטי מדיניות מותאמים אישית המאפשרים את אותו אופן פעולה שסופק על-ידי ברירות המחדל של האבטחה.
ניהול גישה מותנית מעביר אותך לדף 'פריטי מדיניות' שבו באפשרותך לנהל פריטי מדיניות של גישה מותנית. כדי לעבור בין ברירות מחדל של אבטחה ומדיניות גישה מותנית, עיין בסעיף חזרה להגדרות ברירת מחדל של אבטחה מתוך מדיניות גישה מותנית במאמר זה.
ברירות המחדל של האבטחה מבוטלות: הטקסט הבא מוצג ו'ניהול ברירות מחדל של אבטחה ' זמין:
הארגון שלך אינו מוגן כברירת מחדל של אבטחה.
אם האפשרות נהל ברירות מחדל של אבטחה זמינה, בחר אותה כדי להפעיל או לבטל ברירות מחדל של אבטחה.
בתפריט הנשלף ברירות מחדל של אבטחה שנפתח, בצע אחת מהפעולות הבאות:
- הפעל ברירות מחדל של אבטחה: ברשימה הנפתחת ברירות מחדל של אבטחה, בחר זמין ולאחר מכן בחר שמור.
- בטל ברירות מחדל של אבטחה: ברשימה הנפתחת ברירות מחדל של אבטחה, בחר לא זמין. במקטע סיבה לה השבתה, בחר הארגון שלי מתכנן להשתמש בגישה מותנית.
לאחר שתסיים בתפריט הנשלף ברירות מחדל של אבטחה, בחר שמור
זהירות
אל תבטל ברירות מחדל של אבטחה אלא אם אתה עובר למדיניות גישה מותנית ב- מזהה Microsoft Entra P1 או P2.
ניהול פריטי מדיניות של גישה מותנית
אם ארגון Microsoft 365 שלך כולל את מזהה Microsoft Entra P1 ואילך, באפשרותך להשתמש בגישה מותנית במקום ברירות מחדל של אבטחה עבור תנוחה של אבטחה גבוהה יותר ושליטה פרטנית יותר. לדוגמה:
- Microsoft 365 Business Premium (מזהה Microsoft Entra P1)
- Microsoft 365 E3 (מזהה Microsoft Entra P1)
- Microsoft 365 E5 (מזהה Microsoft Entra P2)
- מנוי הרחבה
לקבלת מידע נוסף, ראה תכנון פריסה של גישה מותנית.
מעבר מברירת מחדל של אבטחה למדיניות גישה מותנית דורש את השלבים הבסיסיים הבאים:
בטל ברירות מחדל של אבטחה.
צור פריטי מדיניות בסיסיים של גישה מותנית כדי ליצור מחדש את מדיניות האבטחה ברירות המחדל של האבטחה.
התאמת אי-הכללות של MFA.
צור פריטי מדיניות חדשים של גישה מותנית.
עצה
אם ברירות מחדל של אבטחה מופעלות, באפשרותך ליצור מדיניות גישה מותנית חדשה, אך לא ניתן להפעיל אותן. לאחר ביטול ברירות המחדל של האבטחה, באפשרותך להפעיל מדיניות גישה מותנית.
שלב 1: ביטול ברירות המחדל של האבטחה
לא ניתן להפעיל ברירות מחדל של אבטחה ומדיניות גישה מותנית בו-זמנית, ולכן הדבר הראשון שעליך לעשות הוא לבטל ברירות מחדל של אבטחה.
לקבלת הוראות, עיין בסעיף הקודם בנושא ניהול ברירות מחדל של אבטחה במאמר זה.
שלב 2: יצירת פריטי מדיניות בסיסיים של גישה מותנית כדי ליצור מחדש את פריטי המדיניות ברירות המחדל של האבטחה
המדיניות ברירות המחדל של האבטחה היא התוכנית הבסיסית המומלצת על-ידי Microsoft עבור כל הארגונים, ולכן חשוב ליצור מחדש פריטי מדיניות אלה ב'גישה מותנית' לפני שתיצור פריטי מדיניות אחרים של גישה מותנית.
התבניות הבאות ב- Access מותנה ייווצרו מחדש את פריטי המדיניות ברירות המחדל של האבטחה:
- דרוש MFA עבור כל המשתמשים
- דרוש MFA עבור מנהלי מערכת (כדי לשפר את תציבת האבטחה שלך, ראה דרישת MFA עמיד בפני דיוג עבור מנהלי מערכת)
- חסום אימות מדור קודם
- דרוש MFA Azure ניהול
כדי ליצור פריטי מדיניות של גישה מותנית באמצעות תבניות אלה, בצע את הפעולות הבאות:
בתפריט מרכז הניהול של Microsoft Entra, עבור אל גישה מותנית | דף פריטי מדיניות.
בגישה מותנית | דף פריטי מדיניות, בחר
מדיניות חדשה מתבנית.בדף מדיניות חדשה מתבנית , ודא שהכרטיסיה בחר תבנית נבחרה. בכרטיסיה בחר תבנית , ודא שהכרטיסיה בסיס מאובטח נבחרה.
בכרטיסיה בסיס מאובטח , בחר אחת מהתבניות הנדרשות (לדוגמה, דרוש אימות רב גורמי עבור כל המשתמשים) ולאחר מכן בחר סקירה + צור.
עצה
כדי לחפש ולבחור את התבנית דרוש אימות רב גורמי למניעת דיוג עבור מנהלי מערכת, השתמש בתיבת
החיפוש.בכרטיסיה סקירה + יצירה, הצג או קבע את תצורת ההגדרות הבאות:
מקטע יסודות :
- שם מדיניות: קבל את שם ברירת המחדל או התאם אותו אישית.
- מצב מדיניות: בחר פועל
המקטע מטלות: במקטע משתמשים וקבוצות, שים לב שערך המשתמשים שאינם נכללים הוא משתמש נוכחי ולא ניתן לשנות אותו. רק חשבונות גישה לשעת חירום לא ייכללו בדרישות MFA. לקבלת מידע נוסף, עיין בשלב הבא.
לאחר שתסיים בכרטיסיה סקירה + יצירה , בחר צור.
המדיניות שיצרת מוצגת בגישה מותנית | דף פריטי מדיניות.
חזור על השלבים הקודמים עבור התבניות הנותרות.
שלב 3: התאמת אי-הכללות של MFA
כברירת מחדל, פריטי המדיניות של גישה מותנית שיצרת בשלב הקודם מכילים פריטים שאינם נכללים בחשבון שנכנסת אליו בתור, ולא ניתן לשנות אי-הכללות במהלך יצירת המדיניות.
אנו ממליצים לפחות שני חשבונות מנהל מערכת של גישה לשעת חירום בכל ארגון שלא הוקצו לאנשים ספציפיים, וישמשים רק במצבי חירום. יש להוציא חשבונות אלה מדרישות MFA.
ייתכן שתצטרך להסיר את הפריטים שאינם נכללים בחשבון הנוכחי ו/או להוסיף חריגים לחשבון גישת חירום למדיניות הבאה:
- דרוש MFA עבור כל המשתמשים
- דרוש MFA עבור מנהלי מערכת או דרוש MFA עמיד בפני דיוג עבור מנהלי מערכת
- דרוש MFA Azure ניהול
לפני שתיצור מדיניות גישה מותנית מותאמת אישית, צור את חשבונות גישת החירום שלך ולאחר מכן השתמש בשלבים הבאים כדי להתאים את הפריטים שאינם נכללים במדיניות הקשורה ל- MFA:
בגישה מותנית | דף פריטי מדיניות, בחר אחד ממדיניות הקשורה ל- MFA שיצרת בשלב הקודם (לדוגמה, דרוש אימות רב גורמי Azure ניהול).
בדף פרטי המדיניות שנפתח, בחר כל המשתמשים הכלולים והמשתמשים הספציפיים שאינם נכללים במקטע משתמשי>מטלות.
במידע שמופיע, בחר את הכרטיסיה אל תכלול .
בכרטיסיה אי-כלילה , תצורת ההגדרות הבאות נקבעה:
בחר את המשתמשים והקבוצות שיש לפטור מהמדיניות: הערך משתמשים וקבוצות נבחר.
בחר קבוצות ומשתמשים שלא נכללו: הערך 1 מוצג, וחשבון המשתמש ששימש ליצירת המדיניות מוצג.
- כדי להסיר את החשבון הנוכחי מרשימת המשתמשים שלא נכללו, בחר
>
הסר.
הערך משתנה ל - 0 משתמשים וקבוצות שנבחרו וטקסט האזהרה בחר משתמש אחד או קבוצה אחת לפחות מופיע.
- כדי להוסיף חשבונות גישה לשעת חירום לרשימת המשתמשים שלא נכללו, בחר 0 משתמשים וקבוצות שנבחרו. בתפריט הנשלף בחר משתמשים וקבוצות שלא נכללו שנפתח, חפש ובחר את חשבונות גישת החירום שלא ייכללו. המשתמשים שנבחרו מוצגים בחלונית 'נבחר '. לאחר שתסיים, בחר בחר.
חזור לדף פרטי המדיניות, בחר שמור.
- כדי להסיר את החשבון הנוכחי מרשימת המשתמשים שלא נכללו, בחר
חזור על השלבים הקודמים עבור פריטי המדיניות הנותרים הקשורים ל- MFA.
עצה
סביר להניח שמדיניות האימות חסום מדור קודם אינה זקוקה לפריטים שאינם נכללים, כך שתוכל להשתמש בשלבים הקודמים כדי להסיר את אי-ההכללה הקיימת. פשוט בטל את הסימון של משתמשים וקבוצות בשלב 4.
לקבלת מידע נוסף אודות אי הכללות של משתמשים במדיניות גישה מותנית, ראה אי-הכללות של משתמשים.
שלב 4: יצירת פריטי מדיניות חדשים של גישה מותנית
כעת באפשרותך ליצור פריטי מדיניות של גישה מותנית העומדים בצרכים העסקיים שלך. לקבלת מידע נוסף, ראה תכנון פריסה של גישה מותנית.
חזרה לברירת מחדל של אבטחה ממדיניות גישה מותנית
ברירות מחדל של אבטחה מבוטלות בעת שימוש במדיניות גישה מותנית. אם קיים מדיניות גישה מותנית אחת או יותר בכל מצב (כבוי, מופעל או דוח בלבד), לא תוכל להפעיל ברירות מחדל של אבטחה. עליך למחוק את כל פריטי המדיניות הקיימים של גישה מותנית לפני שתוכל להפעיל ברירות מחדל של אבטחה.
זהירות
לפני מחיקת פריטי מדיניות של גישה מותנית, הקפד לתעד את ההגדרות שלהם.
כדי למחוק פריטי מדיניות של גישה מותנית, בצע את השלבים הבאים:
בגישה מותנית | דף פריטי מדיניות, בחר את המדיניות שברצונך למחוק.
בדף הפרטים שנפתח, בחר
מחק בחלק העליון של הדף.בתיבת הדו-שיח האם אתה בטוח? שנפתחת, בחר כן.
לאחר מחיקת כל פריטי המדיניות של גישה מותנית, באפשרותך להפעיל ברירות מחדל של אבטחה כמתואר במאמר ניהול ברירות מחדל של אבטחה.
ניהול MFA מדור קודם לכל משתמש
מומלץ מאוד להשתמש ברירות מחדל של אבטחה או בגישה מותנית עבור MFA ב- Microsoft 365. אם לא, האפשרות האחרונה שלך היא MFA עבור חשבונות מזהה Microsoft Entra בודדים באמצעות מזהה Microsoft Entra ללא תשלום.
לקבלת הוראות, ראה הפיכת אימות רב Microsoft Entra רב גורמי לזמין לאבטחת אירועי כניסה.
השלבים הבאים
מנהלי מערכת: מרכז הניהול חשבון ב- Microsoft 365 לעסקים
משתמשים:
אם אינך מצליח להיכנס, ראה כיצד משתמשי קצה יכולים לבצע שחזור חשבון ב- מזהה Microsoft Entra
הגדר את הכניסה של Microsoft 365 עבור אימות רב גורמי ואת סרטון הווידאו הבא: