Memerlukan autentikasi multifaktor untuk admin yang mengakses portal admin Microsoft

Microsoft merekomendasikan untuk mengamankan akses ke portal admin Microsoft apa pun seperti Microsoft Entra, Microsoft 365, Exchange, dan Azure. Dengan menggunakan aplikasi Microsoft Admin Portals, organisasi dapat mengontrol akses interaktif ke portal admin Microsoft.

Microsoft menyarankan Anda memerlukan autentikasi multifaktor tahan phishing pada peran berikut minimal:

• Administrator Global
• Admin Aplikasi
• Administrator Autentikasi
• Administrator Tagihan
• Admin Aplikasi Cloud
• Administrator Akses Bersyarat
• Administrator Exchange
• Administrator Bantuan Teknis
• Administrator Kata Sandi
• Administrator Autentikasi dengan Hak Istimewa
• Administrator Peran Hak Khusus
• Administrator Keamanan
• Administrator SharePoint
• Administrator Pengguna

Pengecualian pengguna

Kebijakan Akses Bersyarat adalah alat yang kuat; kami sarankan untuk mengecualikan akun-akun berikut dari kebijakan Anda:

• Akses darurat atau akun break-glass untuk mencegah penguncian karena kesalahan konfigurasi kebijakan. Dalam skenario yang sangat tidak mungkin di mana semua administrator terkunci keluar, akun administratif akses darurat Anda dapat digunakan untuk masuk dan mengambil langkah-langkah pemulihan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan Prinsipal layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyarat yang diberlakukan untuk pengguna. Gunakan Akses Bersyarat untuk identitas kerja untuk menentukan kebijakan yang menargetkan prinsipal layanan.
  • Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola.

Penyebaran templat

Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.

Membuat kebijakan Akses Bersyarat

1. Masuk ke Pusat Admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Jelajahi Entra ID>Akses Bersyarat>Kebijakan.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Tugas, pilih Pengguna atau identitas beban kerja.

   1. Di bawah Sertakan, pilih Peran Direktori dan pilih setidaknya peran yang tercantum sebelumnya.

      Peringatan

      Kebijakan Akses Bersyarat mendukung peran bawaan. Kebijakan Akses Bersyarat tidak diberlakukan untuk jenis peran lain termasuk cakupan unit administratif atau peran kustom.

   2. Di bawah Kecualikan, pilih Pengguna dan grup dan pilih akun akses darurat organisasi Anda atau akun break-glass.

6. Di bawah Sumber daya target>Sumber daya (sebelumnya aplikasi cloud)>Sertakan, Pilih sumber daya, pilih Portal Admin Microsoft.
7. Di bawah Kontrol akses>Berikan, pilih Berikan akses, Perlu kekuatan autentikasi, pilih Autentikasi multifaktor, lalu pilih Pilih.
8. Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
9. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah administrator mengevaluasi pengaturan kebijakan menggunakan dampak kebijakan atau mode khusus laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.

Konten terkait

• Peran bawaan Microsoft Entra
• Templat Akses Bersyarah