Znajdowanie i rozwiązywanie problemów z lukami w zakresie silnego uwierzytelniania dla administratorów

Wymaganie uwierzytelniania wieloskładnikowego dla administratorów w dzierżawie jest jednym z pierwszych kroków, które można wykonać, aby zwiększyć bezpieczeństwo dzierżawy. W tym artykule opisano, jak upewnić się, że wszyscy administratorzy są objęci uwierzytelnianiem wieloskładnikowym.

Wykrywanie bieżącego użycia dla wbudowanych ról administratora Azure AD

Wskaźnik bezpieczeństwa Azure AD zapewnia ocenę dla opcji Wymagaj uwierzytelniania wieloskładnikowego dla ról administracyjnych w dzierżawie. Ta akcja ulepszania śledzi użycie uwierzytelniania wieloskładnikowego administrator globalny, administratora zabezpieczeń, administratora programu Exchange i administratora programu SharePoint.

Istnieją różne sposoby sprawdzania, czy administratorzy są objęci zasadami uwierzytelniania wieloskładnikowego.

• Aby rozwiązać problemy z logowaniem dla określonego administratora, możesz użyć dzienników logowania. Dzienniki logowania umożliwiają filtrowanie wymagań dotyczących uwierzytelniania określonych użytkowników. Każde logowanie, w którym wymagane jest uwierzytelnianie jednoskładnikowe , oznacza, że nie było żadnych zasad uwierzytelniania wieloskładnikowego, które były wymagane do logowania.

  

  Kliknij pozycję Szczegóły uwierzytelniania , aby uzyskać szczegółowe informacje o wymaganiach dotyczących uwierzytelniania wieloskładnikowego.

  

• Aby wybrać zasady, które mają być włączone na podstawie licencji użytkowników, mamy nowego kreatora włączania uwierzytelniania wieloskładnikowego, który pomoże Ci porównać zasady uwierzytelniania wieloskładnikowego i sprawdzić, które kroki są odpowiednie dla Twojej organizacji. Kreator pokazuje administratorów, którzy byli chronieni przez usługę MFA w ciągu ostatnich 30 dni.

  

• Możesz uruchomić ten skrypt , aby programowo wygenerować raport wszystkich użytkowników z przypisaniami ról katalogu, którzy zalogowali się przy użyciu uwierzytelniania wieloskładnikowego lub bez uwierzytelniania wieloskładnikowego w ciągu ostatnich 30 dni. Ten skrypt wylicza wszystkie aktywne wbudowane i niestandardowe przypisania ról, wszystkie kwalifikujące się przypisania ról wbudowanych i niestandardowych oraz grupy z przypisanymi rolami.

Wymuszanie uwierzytelniania wieloskładnikowego dla administratorów

Jeśli znajdziesz administratorów, którzy nie są chronieni za pomocą uwierzytelniania wieloskładnikowego, możesz je chronić w jeden z następujących sposobów:

• Jeśli administratorzy mają licencję Azure AD Premium, możesz utworzyć zasady dostępu warunkowego, aby wymusić uwierzytelnianie wieloskładnikowe dla administratorów. Możesz również zaktualizować te zasady, aby wymagać uwierzytelniania wieloskładnikowego od użytkowników, którzy są w rolach niestandardowych.

• Uruchom kreatora włączania uwierzytelniania wieloskładnikowego , aby wybrać zasady uwierzytelniania wieloskładnikowego.

• Jeśli przypiszesz niestandardowe lub wbudowane role administratora w Privileged Identity Management, wymagaj uwierzytelniania wieloskładnikowego po aktywacji roli.

Używanie metod uwierzytelniania bez hasła i odporności na wyłudzanie informacji dla administratorów

Po wymuszeniu przez administratorów uwierzytelniania wieloskładnikowego i używaniu go przez pewien czas nadszedł czas, aby podnieść poprzeczkę silnego uwierzytelniania i użyć metody uwierzytelniania odpornego na hasła i wyłudzania informacji:

• Logowanie za pomocą telefonu (z aplikacją Microsoft Authenticator)
• FIDO2
• Windows Hello for Business

Więcej informacji na temat tych metod uwierzytelniania i ich zagadnień dotyczących zabezpieczeń można uzyskać w Azure AD metod uwierzytelniania.