Udostępnij za pośrednictwem


Blokuj przepływy uwierzytelniania przy użyciu zasad dostępu warunkowego

Poniższe kroki ułatwiają tworzenie zasad dostępu warunkowego w celu ograniczenia sposobu użycia przepływu kodu urządzenia i transferu uwierzytelniania w organizacji.

Zasady przepływu kodu urządzenia

Uwaga

Aby zwiększyć stan zabezpieczeń, firma Microsoft zaleca blokowanie lub ograniczanie przepływu kodu urządzenia wszędzie tam, gdzie to możliwe.

Zawsze należy zacząć od skonfigurowania zasad w trybie tylko do raportu, aby określić potencjalny wpływ na organizację.

Zalecamy, aby organizacje zbliżyły się do jednostronnego bloku przepływu kodu urządzenia. Organizacje powinny rozważyć utworzenie zasad w celu przeprowadzenia inspekcji istniejącego użycia przepływu kodu urządzenia i ustalenia, czy nadal jest to konieczne.

W przypadku organizacji, które nie mają ustalonego użycia przepływu kodu urządzenia, blokowanie można wykonać przy użyciu następujących zasad dostępu warunkowego:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
  3. Wybierz pozycję Nowe zasady.
  4. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Uwzględnij wybierz użytkowników, którzy mają być w zakresie zasad (wszyscy użytkownicy są zalecani).
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy. Należy wykluczyć tylko niezbędnych użytkowników, a ta lista wykluczeń powinna być regularnie poddawane inspekcji.
  5. W obszarze Zasoby docelowe>Aplikacje>w chmurze Uwzględnij aplikacje, które mają być w zakresie zasad (zalecane są wszystkie aplikacje w chmurze).
  6. W obszarze Warunki>Przepływy uwierzytelniania ustaw wartość Konfiguruj na Tak.
    1. Wybierz pozycję Przepływ kodu urządzenia.
    2. Wybierz pozycję Gotowe.
  7. W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp.
    1. Wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasadyna tylko raport.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Zasady transferu uwierzytelniania

Możliwość kontrolowania transferu uwierzytelniania jest dostępna w wersji zapoznawczej. Aby zarządzać funkcją, użyj warunku Przepływy uwierzytelniania w obszarze Dostęp warunkowy. Możesz zablokować transfer uwierzytelniania, jeśli nie chcesz, aby użytkownicy przenosili uwierzytelnianie z komputera do urządzenia przenośnego. Jeśli na przykład nie zezwolisz na używanie programu Outlook na urządzeniach osobistych przez niektóre grupy. Blokowanie transferu uwierzytelniania można wykonać przy użyciu następujących zasad dostępu warunkowego:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz pozycję Utwórz nowe zasady.
  4. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy lub grupy użytkowników, które chcesz zablokować na potrzeby transferu uwierzytelniania.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy. Należy wykluczyć tylko niezbędnych użytkowników, a ta lista wykluczeń powinna być regularnie poddawane inspekcji.
  5. W obszarze Zasoby docelowe>Aplikacje>w chmurze Uwzględnij wybierz pozycję Wszystkie aplikacje w chmurze lub aplikacje, które chcesz zablokować na potrzeby transferu uwierzytelniania.
  6. W obszarze Warunki>Przepływy uwierzytelniania ustaw wartość Konfiguruj na Tak
    1. Wybierz pozycję Transfer uwierzytelniania.
    2. Wybierz pozycję Gotowe.
  7. W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp.
    1. Wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.