Akses Bersyarat: Memblokir akses

Untuk organisasi dengan pendekatan migrasi cloud konservatif, memblokir semua kebijakan adalah opsi yang dapat digunakan.

Perhatian

Kesalahan konfigurasi kebijakan blok dapat menyebabkan organisasi dikunci.

Kebijakan seperti ini dapat memiliki efek samping yang tidak diinginkan. Pengujian dan validasi yang tepat sangat penting sebelum mengaktifkan. Administrator harus menggunakan alat seperti mode khusus laporan Akses Bersyarat dan alat Bagaimana Jika di Akses Bersyarat saat membuat perubahan.

Pengecualian pengguna

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan perwakilan layanan, seperti Akun Microsoft Entra Koneksi Sync. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
  • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.

Membuat Kebijakan Akses Bersyarat

Langkah-langkah berikut akan membantu membuat kebijakan Akses Bersyarat untuk memblokir akses ke semua aplikasi kecuali untuk Office 365 jika pengguna tidak berada di jaringan tepercaya. Kebijakan ini dimasukkan ke Mode khusus laporan untuk memulai sehingga administrator dapat menentukan dampak yang akan mereka dapatkan kepada pengguna yang sudah ada. Ketika administrator merasa nyaman bahwa kebijakan berlaku sesuai yang diinginkan, mereka dapat mengalihkannya ke Hidup.

Kebijakan pertama memblokir akses ke semua aplikasi kecuali untuk aplikasi Microsoft 365 jika tidak berada di lokasi tepercaya.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri Ke Akses Bersyar perlindungan>.
3. Pilih Buat kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
6. Di bawah Sumber daya>target Aplikasi cloud, pilih opsi berikut:
   1. Di bawah Sertakan, pilih Semua aplikasi cloud.
   2. Pada Kecualikan, pilih Office 365, pilih Pilih.
7. Di bawah Kondisi:
   1. Di bawah Kondisi>Lokasi.
      1. Atur Konfigurasikan ke Ya
      2. Di bawah Sertakan, pilih Lokasi apa pun.
      3. Di bawah Kecualikan, pilih Semua lokasi tepercaya.
   2. Pada Aplikasi klien, atur Konfigurasikan ke Ya, lalu pilih Selesai.
8. Di bawah Kontrol akses>Hibah, pilih Blokir akses, lalu pilih Pilih.
9. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Kebijakan kedua dibuat di bawah guna meminta autentikasi multifaktor atau perangkat yang sesuai untuk pengguna Microsoft 365.

1. Pilih Buat kebijakan baru.
2. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
3. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
   1. Di Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
4. Di bawah Sumber daya>target Aplikasi>cloud Sertakan>Pilih aplikasi, pilih Office 365, dan pilih Pilih.
5. Di bawah Kontrol akses>Hibah, pilih Beri akses.
   1. Pilih Memerlukan autentikasi multifaktor dan Memerlukan perangkat ditandai sebagai patuh pilih Pilih.
   2. Pastikan Perlu salah satu kontrol yang dipilih terpilih.
   3. Pilih Pilih.
6. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
7. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Catatan

Kebijakan Akses Bersyarat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan sebagai garis pertahanan pertama organisasi untuk skenario seperti serangan penolakan layanan (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Langkah berikutnya

Templat Akses Bersyarah

Menentukan efek menggunakan mode khusus laporan Akses Bersyar

Menggunakan mode khusus laporan untuk Akses Bersyarat guna menentukan dampak keputusan kebijakan baru.