Blokuj przepływy uwierzytelniania przy użyciu zasad dostępu warunkowego
Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego w celu ograniczenia sposobu użycia przepływu kodu urządzenia i transferu uwierzytelniania w organizacji.
Zasady przepływu kodu urządzenia
Uwaga
Aby zwiększyć stan zabezpieczeń, firma Microsoft zaleca blokowanie lub ograniczanie przepływu kodu urządzenia wszędzie tam, gdzie to możliwe.
Zawsze należy zacząć od skonfigurowania zasad w trybie tylko do raportu, aby określić potencjalny wpływ na organizację.
Zalecamy, aby organizacje zbliżyły się do jednostronnego bloku przepływu kodu urządzenia. Organizacje powinny rozważyć utworzenie zasad w celu przeprowadzenia inspekcji istniejącego użycia przepływu kodu urządzenia i ustalenia, czy nadal jest to konieczne.
W przypadku organizacji, które nie mają ustalonego użycia przepływu kodu urządzenia, blokowanie można wykonać przy użyciu następujących zasad dostępu warunkowego:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>zasad dostępu>warunkowego.
- Wybierz pozycję Nowe zasady.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Uwzględnij wybierz użytkowników, którzy mają być w zakresie zasad (wszyscy użytkownicy są zalecani).
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy. Należy wykluczyć tylko niezbędnych użytkowników, a ta lista wykluczeń powinna być regularnie poddawane inspekcji.
- W obszarze Zasoby docelowe>Aplikacje>w chmurze Uwzględnij aplikacje, które mają być w zakresie zasad (zalecane są wszystkie aplikacje w chmurze).
- W obszarze Warunki>Przepływy uwierzytelniania ustaw wartość Konfiguruj na Tak.
- Wybierz pozycję Przepływ kodu urządzenia.
- Wybierz pozycję Gotowe.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp.
- Wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.
Zasady transferu uwierzytelniania
Możliwość kontrolowania transferu uwierzytelniania jest dostępna w wersji zapoznawczej. Aby zarządzać funkcją, użyj warunku Przepływy uwierzytelniania w obszarze Dostęp warunkowy. Możesz zablokować transfer uwierzytelniania, jeśli nie chcesz, aby użytkownicy przenosili uwierzytelnianie z komputera do urządzenia przenośnego. Jeśli na przykład nie zezwolisz na używanie programu Outlook na urządzeniach osobistych przez niektóre grupy. Blokowanie transferu uwierzytelniania można wykonać przy użyciu następujących zasad dostępu warunkowego:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>dostępu warunkowego.
- Wybierz pozycję Utwórz nowe zasady.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy lub grupy użytkowników, które chcesz zablokować na potrzeby transferu uwierzytelniania.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy. Należy wykluczyć tylko niezbędnych użytkowników, a ta lista wykluczeń powinna być regularnie poddawane inspekcji.
- W obszarze Zasoby docelowe>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze lub aplikacje, które chcesz zablokować na potrzeby transferu uwierzytelniania.
- W obszarze Warunki>Przepływy uwierzytelniania ustaw wartość Konfiguruj na Tak
- Wybierz pozycję Transfer uwierzytelniania.
- Wybierz pozycję Gotowe.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp.
- Wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.