Typowe zasady dostępu warunkowego: Blokuj starsze uwierzytelnianie

  • Artykuł

Ze względu na zwiększone ryzyko związane ze starszymi protokołami uwierzytelniania firma Microsoft zaleca, aby organizacje blokowały żądania uwierzytelniania przy użyciu tych protokołów i wymagały nowoczesnego uwierzytelniania. Aby uzyskać więcej informacji o tym, dlaczego blokowanie starszego uwierzytelniania jest ważne, zobacz artykuł Instrukcje: blokowanie starszego uwierzytelniania w usłudze Microsoft Entra ID z dostępem warunkowym.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasad dostępu warunkowego

Poniższe kroki ułatwią utworzenie zasad dostępu warunkowego w celu blokowania starszych żądań uwierzytelniania. Te zasady są umieszczane w trybie tylko do raportów, aby administratorzy mogli określić ich wpływ na istniejących użytkowników. Gdy administratorzy czują się komfortowo, że zasady mają zastosowanie zgodnie z oczekiwaniami, mogą przełączyć się na wł. lub przygotować wdrożenie, dodając określone grupy i wykluczając inne.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadom nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy i wybierz wszystkie konta, które muszą zachować możliwość korzystania ze starszego uwierzytelniania. Firma Microsoft zaleca wykluczenie co najmniej jednego konta, aby uniemożliwić sobie blokowanie.
  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
  7. W obszarze Warunki>Aplikacje klienckie ustaw wartość Konfiguruj na Tak.
    1. Zaznacz tylko pola Klienci programu Exchange ActiveSync i Inni klienci.
    2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp.
    1. Wybierz pozycję Wybierz.
  9. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Uwaga

Zasady dostępu warunkowego są wymuszane po zakończeniu uwierzytelniania pierwszego składnika. Dostęp warunkowy nie jest przeznaczony do pierwszej linii obrony organizacji w scenariuszach takich jak ataki typu "odmowa usługi" (DoS), ale może używać sygnałów z tych zdarzeń w celu określenia dostępu.

Następne kroki

Szablony dostępu warunkowego

Użyj trybu tylko raportu dla dostępu warunkowego, aby określić wyniki nowych decyzji dotyczących zasad.

Jak skonfigurować urządzenie wielofunkcyjne lub aplikację do wysyłania wiadomości e-mail przy użyciu platformy Microsoft 365