Share via

Typowe zasady dostępu warunkowego: wymagaj zgodnego urządzenia lub urządzenia hybrydowego dołączonego do firmy Microsoft dla administratorów

  • Artykuł

Konta, do których przypisano prawa administracyjne, są przeznaczone dla osób atakujących. Wymaganie od użytkowników z tymi wysoce uprzywilejowanymi prawami do wykonywania akcji z urządzeń oznaczonych jako zgodne lub przyłączenie hybrydowe firmy Microsoft Entra może pomóc ograniczyć możliwe narażenie.

Więcej informacji na temat zasad zgodności urządzeń można znaleźć w artykule Ustawianie reguł na urządzeniach, aby zezwolić na dostęp do zasobów w organizacji przy użyciu usługi Intune.

Wymaganie urządzenia hybrydowego dołączonego do firmy Microsoft Entra jest zależne od urządzeń, które są już przyłączone hybrydą firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz artykuł Konfigurowanie dołączania hybrydowego firmy Microsoft Entra.

Firma Microsoft zaleca włączenie tych zasad dla następujących ról co najmniej na podstawie zaleceń dotyczących oceny tożsamości:

  • Administrator globalny
  • Administrator aplikacji
  • Administrator uwierzytelniania
  • Administrator rozliczeń
  • Administrator aplikacji w chmurze
  • Administrator dostępu warunkowego
  • Administrator programu Exchange
  • Pomoc techniczna Administracja istrator
  • Administracja istrator haseł
  • Administrator uwierzytelniania uprzywilejowanego
  • Administrator ról uprzywilejowanych
  • Administrator zabezpieczeń
  • Administracja istrator programu SharePoint
  • Administrator użytkowników

Organizacje mogą dołączać lub wykluczać role zgodnie z ich potrzebami.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług tego typu powinny zostać wykluczone, ponieważ nie da się programowo ukończyć asystenta folderów zarządzanych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasady dostępu warunkowego

Poniższe kroki ułatwiają utworzenie zasad dostępu warunkowego w celu wymagania uwierzytelniania wieloskładnikowego, urządzenia, które uzyskują dostęp do zasobów, są oznaczone jako zgodne z zasadami zgodności usługi Intune w organizacji lub dołączone hybrydowe do firmy Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.

    1. W obszarze Uwzględnij wybierz pozycję Role katalogu i wybierz co najmniej wymienione wcześniej role.

      Ostrzeżenie

      Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.

    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.

  6. W obszarze Docelowe zasoby>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
  7. W obszarze Kontrola>dostępu Udziel.
    1. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne i wymagaj urządzenia dołączonego hybrydowego firmy Microsoft Entra
    2. W przypadku wielu kontrolek wybierz pozycję Wymagaj jednego z wybranych kontrolek.
    3. Wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Uwaga

Nowe urządzenia można zarejestrować w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla pozycji Wszyscy użytkownicy i Wszystkie aplikacje w chmurze, wykonując poprzednie kroki. Wymagaj, aby urządzenie było oznaczone jako zgodne , nie blokuje rejestracji w usłudze Intune.

Znane zachowanie

W systemie Windows 7, iOS, Android, macOS i niektórych przeglądarkach internetowych innych firm identyfikator Entra identyfikuje urządzenie przy użyciu certyfikatu klienta, który jest aprowizowany, gdy urządzenie jest zarejestrowane w usłudze Microsoft Entra ID. Gdy użytkownik po raz pierwszy zaloguje się za pośrednictwem przeglądarki, zostanie wyświetlony monit o wybranie certyfikatu. Użytkownik końcowy musi wybrać ten certyfikat, zanim będzie mógł nadal korzystać z przeglądarki.

Aktywacja subskrypcji

Organizacje korzystające z funkcji Aktywacji subskrypcji, aby umożliwić użytkownikom "krok do kroku" z jednej wersji systemu Windows do innej, mogą chcieć wykluczyć Sklep Windows dla firm, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f z zasad zgodności urządzeń.

Powiązana zawartość