Menerapkan kebijakan Akses Bersyar ke profil lalu lintas Microsoft
Dengan profil penerusan lalu lintas khusus untuk lalu lintas Microsoft, Anda dapat menerapkan kebijakan Akses Bersyar ke lalu lintas Microsoft. Dengan Akses Bersyarat, Anda dapat memerlukan autentikasi multifaktor dan kepatuhan perangkat untuk mengakses sumber daya Microsoft.
Artikel ini menjelaskan cara menerapkan kebijakan Akses Bersyar ke profil penerusan lalu lintas Microsoft Anda.
Prasyarat
- Administrator yang berinteraksi dengan fitur Akses Aman Global harus memiliki satu atau beberapa penetapan peran berikut tergantung pada tugas yang mereka lakukan.
- Peran Administrator Akses Aman Global untuk mengelola fitur Akses Aman Global.
- Peran Administrator Akses Bersyar untuk membuat dan berinteraksi dengan kebijakan Akses Bersyar.
- Produk ini membutuhkan lisensi. Untuk detailnya, lihat bagian lisensi dari Apa itu Akses Aman Global. Jika diperlukan, Anda dapat membeli lisensi atau mendapatkan lisensi uji coba.
- Untuk menggunakan profil penerusan lalu lintas Microsoft, lisensi Microsoft 365 E3 disarankan.
Membuat kebijakan Akses Bersyar yang menargetkan profil lalu lintas Microsoft
Contoh kebijakan berikut menargetkan semua pengguna kecuali untuk akun break-glass dan pengguna tamu/eksternal Anda, memerlukan autentikasi multifaktor, kepatuhan perangkat, atau perangkat gabungan hibrid Microsoft Entra saat mengakses lalu lintas Microsoft.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
- Telusuri Ke Akses Bersyar perlindungan>identitas>.
- Pilih Buat kebijakan baru.
- Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
- Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
- Di Sertakan, pilih Semua pengguna.
- Di bawah Kecualikan:
- Pilih Pengguna dan grup dan pilih akses darurat organisasi Anda atau akun break-glass.
- Pilih Pengguna tamu atau eksternal dan pilih semua kotak centang.
- Di bawah Sumber daya target>Akses Aman Global*.
- Pilih lalu lintas Microsoft.
- Pada Kontrol akses>Pemberian Izin.
- Pilih Perlu autentikasi multifaktor, Wajibkan perangkat ditandai sebagai sesuai, dan Memerlukan perangkat gabungan hibrid Microsoft Entra
- Untuk multikontrol, pilih Wajibkan salah satu kontrol yang dipilih.
- Pilih Pilih.
Setelah administrator mengonfirmasi pengaturan kebijakan menggunakan mode khusus laporan, administrator dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.
Pengecualian pengguna
Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:
- Akses darurat atau akun break-glass untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang tidak mungkin semua administrator dikunci, akun administratif akses darurat Anda dapat digunakan untuk masuk dan mengambil langkah-langkah untuk memulihkan akses.
- Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
- Akun layanan dan Perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
- Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola.
Langkah berikutnya
Langkah selanjutnya untuk memulai Akses Internet Microsoft Entra adalah meninjau log Akses Aman Global.
Untuk informasi selengkapnya tentang penerusan lalu lintas, lihat artikel berikut ini: