Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Szablony dostępu warunkowego zapewniają wygodną metodę wdrażania nowych zasad dostosowanych do zaleceń firmy Microsoft. Te szablony zostały zaprojektowane w celu zapewnienia maksymalnej ochrony zgodnej z powszechnie używanymi zasadami u różnych klientów i w różnych lokalizacjach.
Kategorie szablonów
Szablony zasad dostępu warunkowego są zorganizowane w następujące kategorie:
- Bezpieczna podstawa
- Strategia Zero Zaufania
- Praca zdalna
- Ochrona administratora
- Pojawiające się zagrożenia
- Agenci sztucznej inteligencji
Firma Microsoft zaleca te zasady jako bazę dla wszystkich organizacji. Wdróż te polityki w grupie.
- Wymaganie uwierzytelniania wieloskładnikowego dla administratorów
- Zabezpieczanie rejestracji informacji zabezpieczających
- Blokuj starsze uwierzytelnianie
- Wymaganie uwierzytelniania wieloskładnikowego dla administratorów, którzy uzyskują dostęp do portali administracyjnych firmy Microsoft
- Wymaganie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników
- Wymaganie uwierzytelniania wieloskładnikowego na potrzeby zarządzania platformą Azure
- Wymagaj zgodnego urządzenia, urządzenia przyłączonego do hybrydy Microsoft Entra lub uwierzytelniania wieloskładnikowego dla wszystkich użytkowników
- Wymagaj zgodnego urządzenia
Znajdź te szablony w centrum administracyjnym Microsoft Entra>Entra ID>Warunkowy dostęp>Utwórz nową politykę z szablonów. Wybierz pozycję Pokaż więcej , aby wyświetlić wszystkie szablony zasad w każdej kategorii.
Ważne
Zasady szablonu dostępu warunkowego przeznaczone dla użytkowników wykluczają tylko użytkownika tworzącego zasady z szablonu. Jeśli organizacja musi wykluczyć inne konta, zmodyfikuj zasady po ich utworzeniu. Zasady te można znaleźć w centrum administracyjnym Microsoft Entra, w Entra ID, w zasadach dostępu warunkowego. Wybierz zasady, aby otworzyć edytor i zmodyfikować wykluczonych użytkowników i grupy, aby wybrać konta, które chcesz wykluczyć.
Domyślnie każda zasada jest tworzona w trybie tylko raportowania. Zalecamy organizacjom testowanie i monitorowanie użycia w celu zapewnienia zamierzonego wyniku przed włączeniem poszczególnych zasad.
Organizacje mogą wybierać poszczególne szablony zasad i:
- Wyświetl podsumowanie ustawień zasad.
- Edytuj, aby dostosować w zależności od potrzeb organizacji.
- Wyeksportuj definicję JSON do użycia w programowych przepływach pracy.
- Te definicje JSON można edytować, a następnie importować na głównej stronie zasad dostępu warunkowego przy użyciu opcji Przekaż plik zasad .
Inne typowe zasady
- Wymaganie uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń
- Blokuj dostęp według lokalizacji
- Blokuj dostęp z wyjątkiem określonych aplikacji
Wykluczenia użytkowników
Zasady dostępu warunkowego to zaawansowane narzędzia. Zalecamy wykluczenie następujących kont z zasad:
-
Dostęp awaryjny lub konta interwencyjne, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu, w którym wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i odzyskiwania dostępu.
- Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
-
Konta usług i principały usług, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinteraktywne, które nie są powiązane z żadnym określonym użytkownikiem. Są one zwykle używane przez usługi zaplecza, aby umożliwić programowy dostęp do aplikacji, ale są one również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie są blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
- Jeśli organizacja używa tych kont w skryptach lub kodzie, zastąp je tożsamościami zarządzanymi.