Bagikan melalui

Kebijakan Akses Bersyar umum: Memblokir autentikasi warisan

  • Artikel

Karena peningkatan risiko terkait protokol autentikasi lama, Microsoft merekomendasikan agar organisasi memblokir permintaan autentikasi menggunakan protokol ini dan memerlukan autentikasi modern. Untuk informasi selengkapnya tentang mengapa memblokir autentikasi warisan penting, lihat artikel Cara: Memblokir autentikasi warisan ke ID Microsoft Entra dengan Akses Bersyarah.

Pengecualian pengguna

Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:

  • Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
  • Akun layanan dan perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
    • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.

Penyebaran templat

Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.

Membuat kebijakan Akses Bersyarat

Langkah-langkah berikut membantu membuat kebijakan Akses Bersyar untuk memblokir permintaan autentikasi warisan. Kebijakan ini dimasukkan ke mode Khusus laporan untuk memulai sehingga administrator dapat menentukan dampak yang mereka alami pada pengguna yang ada. Ketika administrator merasa nyaman bahwa kebijakan berlaku sesuai yang diinginkan, mereka dapat beralih ke Aktif atau tahap penerapan dengan menambahkan grup tertentu dan mengecualikan yang lain.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Kebijakan Akses>Bersyar perlindungan.>
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
    1. Di Sertakan, pilih Semua pengguna.
    2. Di Kecualikan, pilih Pengguna dan grup dan pilih akun mana yang harus mempertahankan kemampuan untuk menggunakan autentikasi lama. Microsoft menyarankan Anda mengecualikan setidaknya satu akun untuk mencegah diri Anda terkunci.
  6. Di bawah Sumber daya>target Yang disertakan aplikasi>Cloud, pilih Semua aplikasi cloud.
  7. Di Kondisi>Aplikasi klien, atur Konfigurasikan ke Ya.
    1. Centang hanya kotak Klien Exchange ActiveSync dan Klien lain.
    2. Pilih Selesai.
  8. Di Kontrol akses>Berikan izin, pilih Blokir akses.
    1. Pilih Pilih.
  9. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
  10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Catatan

Kebijakan Akses Bersyarat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan sebagai garis pertahanan pertama organisasi untuk skenario seperti serangan penolakan layanan (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Langkah berikutnya

Templat Akses Bersyarah

Menggunakan mode khusus laporan untuk Akses Bersyarat guna menentukan dampak keputusan kebijakan baru.

Cara mengatur perangkat atau aplikasi multifungsi untuk mengirim email menggunakan Microsoft 365