Znajdowanie i rozwiązywanie problemów z lukami w zakresie silnego uwierzytelniania dla administratorów

Wymaganie uwierzytelniania wieloskładnikowego dla administratorów w dzierżawie jest jednym z pierwszych kroków, które można wykonać, aby zwiększyć bezpieczeństwo dzierżawy. W tym artykule opisano, jak upewnić się, że wszyscy administratorzy są objęci uwierzytelnianiem wieloskładnikowym.

Wykrywanie bieżącego użycia dla wbudowanych ról administratora Azure AD

Wskaźnik bezpieczeństwa Azure AD zapewnia ocenę dla opcji Wymagaj uwierzytelniania wieloskładnikowego dla ról administracyjnych w dzierżawie. Ta akcja ulepszania śledzi użycie uwierzytelniania wieloskładnikowego administrator globalny, administratora zabezpieczeń, administratora programu Exchange i administratora programu SharePoint.

Istnieją różne sposoby sprawdzania, czy administratorzy są objęci zasadami uwierzytelniania wieloskładnikowego.

  • Aby rozwiązać problemy z logowaniem dla określonego administratora, możesz użyć dzienników logowania. Dzienniki logowania umożliwiają filtrowanie wymagań dotyczących uwierzytelniania określonych użytkowników. Każde logowanie, w którym wymagane jest uwierzytelnianie jednoskładnikowe , oznacza, że nie było żadnych zasad uwierzytelniania wieloskładnikowego, które były wymagane do logowania.

    Zrzut ekranu przedstawiający dziennik logowania.

    Kliknij pozycję Szczegóły uwierzytelniania , aby uzyskać szczegółowe informacje o wymaganiach dotyczących uwierzytelniania wieloskładnikowego.

    Zrzut ekranu przedstawiający szczegóły działania uwierzytelniania.

  • Aby wybrać zasady, które mają być włączone na podstawie licencji użytkowników, mamy nowego kreatora włączania uwierzytelniania wieloskładnikowego, który pomoże Ci porównać zasady uwierzytelniania wieloskładnikowego i sprawdzić, które kroki są odpowiednie dla Twojej organizacji. Kreator pokazuje administratorów, którzy byli chronieni przez usługę MFA w ciągu ostatnich 30 dni.

    Zrzut ekranu przedstawiający kreatora włączania uwierzytelniania wieloskładnikowego.

  • Możesz uruchomić ten skrypt , aby programowo wygenerować raport wszystkich użytkowników z przypisaniami ról katalogu, którzy zalogowali się przy użyciu uwierzytelniania wieloskładnikowego lub bez uwierzytelniania wieloskładnikowego w ciągu ostatnich 30 dni. Ten skrypt wylicza wszystkie aktywne wbudowane i niestandardowe przypisania ról, wszystkie kwalifikujące się przypisania ról wbudowanych i niestandardowych oraz grupy z przypisanymi rolami.

Wymuszanie uwierzytelniania wieloskładnikowego dla administratorów

Jeśli znajdziesz administratorów, którzy nie są chronieni za pomocą uwierzytelniania wieloskładnikowego, możesz je chronić w jeden z następujących sposobów:

Używanie metod uwierzytelniania bez hasła i odporności na wyłudzanie informacji dla administratorów

Po wymuszeniu przez administratorów uwierzytelniania wieloskładnikowego i używaniu go przez pewien czas nadszedł czas, aby podnieść poprzeczkę silnego uwierzytelniania i użyć metody uwierzytelniania odpornego na hasła i wyłudzania informacji:

Więcej informacji na temat tych metod uwierzytelniania i ich zagadnień dotyczących zabezpieczeń można uzyskać w Azure AD metod uwierzytelniania.