Kebijakan Akses Bersyarat Umum: Memerlukan autentikasi multifaktor tahan phishing untuk administrator

  • Artikel

Akun yang diberi hak administratif yang sangat istimewa sering menjadi target penyerang. Membutuhkan autentikasi multifaktor tahan phishing (MFA) pada akun tersebut adalah cara mudah untuk mengurangi risiko akun tersebut disusupi.

Perhatian

Sebelum membuat kebijakan yang memerlukan autentikasi multifaktor tahan phishing, pastikan administrator Anda memiliki metode yang sesuai yang terdaftar. Jika Anda mengaktifkan kebijakan ini tanpa menyelesaikan langkah ini, Anda berisiko mengunci diri dari penyewa Anda.

Microsoft menyarankan Anda memerlukan autentikasi multifaktor tahan phishing pada peran berikut minimal:

  • Administrator Global
  • Admin Aplikasi
  • Admin Autentikasi
  • Administrator Tagihan
  • Admin Aplikasi Cloud
  • Administrator Akses Bersyarat
  • Administrator Exchange
  • Administrator Bantuan Teknis
  • Admin Kata Sandi
  • Administrator Autentikasi dengan Hak Istimewa
  • Administrator Peran Privileged
  • Administrator Keamanan
  • Administrator SharePoint
  • Admin Pengguna

Organisasi dapat memilih untuk menyertakan atau mengecualikan peran sesuai keinginan mereka.

Pengecualian pengguna

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

  • Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
  • Akun layanan dan perwakilan layanan, seperti Akun Microsoft Entra Koneksi Sync. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
    • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.

Penyebaran templat

Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.

Membuat kebijakan Akses Bersyarat

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Ke Akses Bersyar perlindungan>.
  3. Pilih Buat kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.

    1. Di bawah Sertakan, pilih Peran direktori dan pilih peran bawaan seperti:

      • Administrator Global
      • Admin Aplikasi
      • Admin Autentikasi
      • Administrator Tagihan
      • Admin Aplikasi Cloud
      • Administrator Akses Bersyarat
      • Administrator Exchange
      • Administrator Bantuan Teknis
      • Admin Kata Sandi
      • Administrator Autentikasi dengan Hak Istimewa
      • Administrator Peran Privileged
      • Administrator Keamanan
      • Administrator SharePoint
      • Admin Pengguna

      Peringatan

      Kebijakan Akses Bersyarat mendukung peran bawaan. Kebijakan Akses Bersyarat tidak diberlakukan untuk jenis peran lain termasuk peran administratif cakupan unit administratif atau peran kustom.

    2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.

  6. Di bawah Sumber daya>target Yang disertakan aplikasi>Cloud, pilih Semua aplikasi cloud.
  7. Di bawah Hibah Kontrol akses>, pilih Berikan akses, Perlu kekuatan autentikasi, pilih MFA tahan pengelabuan, lalu pilih Pilih.
  8. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
  9. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Konten terkait