Typowe zasady dostępu warunkowego: Blokuj starsze uwierzytelnianie
Ze względu na zwiększone ryzyko związane ze starszymi protokołami uwierzytelniania firma Microsoft zaleca, aby organizacje blokowały żądania uwierzytelniania przy użyciu tych protokołów i wymagały nowoczesnego uwierzytelniania. Aby uzyskać więcej informacji o tym, dlaczego blokowanie starszego uwierzytelniania jest ważne, zobacz artykuł Instrukcje: blokowanie starszego uwierzytelniania w usłudze Microsoft Entra ID z dostępem warunkowym.
Wdrażanie na podstawie szablonu
Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.
Tworzenie zasad dostępu warunkowego
Poniższe kroki ułatwią utworzenie zasad dostępu warunkowego w celu blokowania starszych żądań uwierzytelniania. Te zasady są umieszczane w trybie tylko do raportów, aby administratorzy mogli określić ich wpływ na istniejących użytkowników. Gdy administratorzy czują się komfortowo, że zasady mają zastosowanie zgodnie z oczekiwaniami, mogą przełączyć się na wł. lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
- Przejdź do strony Ochrona>dostępu warunkowego.
- Wybierz pozycję Utwórz nowe zasady.
- Nadaj zasadom nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wybierz wszystkie konta, które muszą zachować możliwość korzystania ze starszego uwierzytelniania. Firma Microsoft zaleca wykluczenie co najmniej jednego konta, aby uniemożliwić sobie blokowanie.
- W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
- W obszarze Warunki>Aplikacje klienckie ustaw wartość Konfiguruj na Tak.
- Zaznacz tylko pola Klienci programu Exchange ActiveSync i Inni klienci.
- Wybierz pozycję Gotowe.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp.
- Wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.
Uwaga
Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego składnika. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.