Share via

Dostęp warunkowy: blokuj dostęp

  • Artykuł

W przypadku organizacji z konserwatywnym podejściem do migracji do chmury blokuj wszystkie zasady są opcją, która może być używana.

Uwaga

Błędna konfiguracja zasad blokowych może prowadzić do zablokowania organizacji.

Zasady takie jak te mogą mieć niezamierzone skutki uboczne. Prawidłowe testowanie i walidacja są niezbędne przed włączeniem. Administracja istratorzy powinni korzystać z takich narzędzi jak Tryb tylko do dostępu warunkowego i narzędzie What If w dostępie warunkowym podczas wprowadzania zmian.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza umożliwiające programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług, takie jak te, powinny zostać wykluczone, ponieważ nie można programowo ukończyć uwierzytelniania wieloskładnikowego. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.

Tworzenie zasad dostępu warunkowego

Poniższe kroki pomogą utworzyć zasady dostępu warunkowego, aby zablokować dostęp do wszystkich aplikacji z wyjątkiem usługi Office 365 , jeśli użytkownicy nie znajdują się w zaufanej sieci. Te zasady są umieszczane w trybie tylko do raportowania, aby administratorzy mogli określić ich wpływ na istniejących użytkowników. Gdy administratorzy czują się komfortowo, że zasady mają zastosowanie zgodnie z oczekiwaniami, mogą przełączyć je na włączone.

Pierwsze zasady blokują dostęp do wszystkich aplikacji z wyjątkiem aplikacji platformy Microsoft 365, jeśli nie w zaufanej lokalizacji.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadom nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
  6. W obszarze Docelowe zasoby>Aplikacje w chmurze wybierz następujące opcje:
    1. W obszarze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
    2. W obszarze Wyklucz wybierz pozycję Office 365, wybierz pozycję Wybierz.
  7. W warunkach:
    1. W obszarze Lokalizacja warunków>.
      1. Ustaw opcję Konfiguruj na Tak
      2. W obszarze Dołącz wybierz pozycję Dowolna lokalizacja.
      3. W obszarze Wyklucz wybierz pozycję Wszystkie zaufane lokalizacje.
    2. W obszarze Aplikacje klienckie ustaw pozycję Konfiguruj na Tak, a następnie wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp, a następnie wybierz pozycję Wybierz.
  9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Poniżej są tworzone drugie zasady wymagające uwierzytelniania wieloskładnikowego lub zgodnego urządzenia dla użytkowników platformy Microsoft 365.

  1. Wybierz pozycję Utwórz nowe zasady.
  2. Nadaj zasadom nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  3. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
  4. W obszarze Docelowe zasoby>Aplikacje>w chmurze uwzględnij>pozycję Wybierz aplikacje, wybierz pozycję Office 365, a następnie wybierz pozycję Wybierz.
  5. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
    1. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj, aby urządzenie było oznaczone jako zgodne , wybierz pozycję Wybierz.
    2. Upewnij się, że wybrano opcję Wymagaj jednej z wybranych kontrolek .
    3. Wybierz pozycję Wybierz.
  6. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  7. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Uwaga

Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego składnika. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.

Następne kroki

Szablony dostępu warunkowego

Określanie efektu przy użyciu trybu tylko do uzyskiwania dostępu warunkowego

Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.