Bagikan melalui

Kebijakan Contoh Pemblokiran Akses

Untuk organisasi dengan pendekatan migrasi cloud konservatif, memblokir semua kebijakan adalah opsi yang dapat digunakan.

Perhatian

Kesalahan konfigurasi kebijakan blok dapat menyebabkan organisasi dikunci.

Kebijakan seperti ini dapat memiliki efek samping yang tidak diinginkan. Pengujian dan validasi yang tepat sangat penting sebelum mengaktifkan. Administrator harus menggunakan alat seperti mode hanya laporan Akses Bersyar dan alat What If di Akses Bersyar saat membuat perubahan.

Pengecualian pengguna

Kebijakan Akses Bersyarat merupakan alat yang canggih, kami sebaiknya kecualikan akun berikut dari kebijakan Anda:

  • Akses darurat atau akun break-glass untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang tidak terduga semua administrator terkunci, akun administratif akses darurat Anda dapat digunakan untuk masuk dan mengambil langkah untuk memulihkan akses.
  • Akun layanan dan Perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Panggilan yang dilakukan oleh prinsipal layanan tidak akan diblokir oleh kebijakan Akses Bersyarat yang ditujukan kepada pengguna. Gunakan Akses Kondisional untuk identitas beban kerja guna menentukan kebijakan yang menargetkan prinsipal layanan.
    • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola.

Membuat kebijakan Akses Bersyarat

Langkah-langkah berikut membantu membuat kebijakan Akses Bersyarat yang memblokir akses ke semua aplikasi, kecuali melalui Office 365, jika pengguna tidak berada di jaringan tepercaya. Kebijakan ini dimasukkan ke mode Khusus laporan untuk memulai sehingga administrator dapat menentukan dampak pada pengguna yang ada. Ketika administrator nyaman bahwa kebijakan berlaku seperti yang mereka inginkan, mereka dapat mengalihkannya ke Aktif.

Kebijakan pertama memblokir akses ke semua aplikasi kecuali untuk aplikasi Microsoft 365 jika tidak berada di lokasi tepercaya.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
  2. Telusuri Entra IDKebijakan Akses Bersyarat.
  3. Pilih Kebijakan baru.
  4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  5. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.
    1. Di bawah Sertakan, pilih Semua pengguna.
    2. Di bawah Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat organisasi Anda.
  6. Di bawah Sumber Daya target>sumber daya (sebelumnya aplikasi cloud), pilih opsi berikut:
    1. Di bawah Sertakan, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
    2. Di bawah Kecualikan, pilih Office 365, pilih Pilih.
  7. Di bawah Kondisi:
    1. Di Kondisi>Lokasi.
      1. Atur Konfigurasi ke Ya
      2. Di bawah Sertakan, pilih Lokasi apa pun.
      3. Di bawah Kecualikan, pilih Semua lokasi tepercaya.
    2. Di bawah Aplikasi klien, atur Konfigurasikan ke Ya, dan pilih Selesai.
  8. Di bawah Kontrol akses di bagian >, pilih Blokir akses, lalu pilih Pilih.
  9. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Khusus laporan.
  10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengevaluasi pengaturan kebijakan menggunakan dampak kebijakan atau mode khusus laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Kebijakan berikut dibuat untuk mewajibkan autentikasi multifaktor atau perangkat yang sesuai untuk pengguna Microsoft 365.

  1. Pilih Buat kebijakan baru.
  2. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
  3. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.
    1. Di bawah Sertakan, pilih Semua pengguna.
    2. Di bawah Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat organisasi Anda.
  4. Di bawah Sumber Daya Target>Sumber daya (sebelumnya aplikasi awan)>Sertakan>Pilih sumber daya, pilih Office 365, dan pilih Pilih.
  5. Di bawah Kontrol akses>, di bagian Berikan, pilih Berikan akses.
    1. Pilih Perlu autentikasi multifaktor dan Wajibkan perangkat ditandai sebagai sesuai lalu klik Pilih.
    2. Pastikan Perlu salah satu kontrol terpilih dipilih.
    3. Pilih Pilih.
  6. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Khusus laporan.
  7. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengevaluasi pengaturan kebijakan menggunakan dampak kebijakan atau mode khusus laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Catatan

Kebijakan Akses Bersyarat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan sebagai garis pertahanan pertama organisasi untuk skenario seperti serangan penolakan layanan (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Langkah berikutnya

Templat Akses Bersyarah

Menentukan efek menggunakan mode hanya-laporan Akses Kondisional

Gunakan mode laporan saja untuk Akses Bersyarat guna menentukan hasil dari keputusan kebijakan baru.