Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Konta, do których przypisano prawa administracyjne, są celem atakujących. Wymaganie uwierzytelniania wieloskładnikowego (MFA) na tych kontach jest łatwym sposobem zmniejszenia ryzyka naruszenia tych kont.
Firma Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji na co najmniej następujących rolach:
- Administrator globalny
- Administrator aplikacji
- Administrator uwierzytelniania
- Administrator rozliczeń
- Administrator aplikacji w chmurze
- Administrator dostępu warunkowego
- Administrator programu Exchange
- Administrator pomocy technicznej
- Administrator zarządzania hasłami
- Administrator uwierzytelniania uprzywilejowanego
- Administrator ról uprzywilejowanych
- Administrator zabezpieczeń
- Administrator SharePointa
- Administrator użytkowników
Organizacje mogą dołączać lub wykluczać role zgodnie z ich potrzebami.
Wykluczenia użytkowników
Zasady dostępu warunkowego to zaawansowane narzędzia. Zalecamy wykluczenie następujących kont z zasad:
-
Dostęp awaryjny lub konta awaryjne break-glass, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu, w którym wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i odzyskiwania dostępu.
- Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
-
Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinteraktywne, które nie są powiązane z żadnym określonym użytkownikiem. Są one zwykle używane przez usługi zaplecza, aby umożliwić programowy dostęp do aplikacji, ale są one również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie są blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
- Jeśli organizacja używa tych kont w skryptach lub kodzie, zastąp je tożsamościami zarządzanymi.
Template deployment
Organizacje mogą wdrażać te zasady, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.
Tworzenie zasady dostępu warunkowego
Poniższe kroki ułatwiają utworzenie zasad dostępu warunkowego, aby osoby przypisane do ról administracyjnych musiały przeprowadzić uwierzytelnianie wieloskładnikowe. Niektóre organizacje mogą być gotowe do przejścia do silniejszych metod uwierzytelniania dla administratorów. Te organizacje mogą zdecydować się na wdrożenie zasad, takich jak te opisane w artykule Wymagaj uwierzytelniania wieloskładnikowego odpornego na wyłudzanie informacji dla administratorów.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej administrator dostępu warunkowego.
- Przejdź do obszaru Entra ID>Dostęp warunkowy>Zasady.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W sekcji Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
W obszarze Uwzględnij wybierz Role katalogu i wybierz co najmniej poprzednio wymienione role.
Ostrzeżenie
Zasady dostępu warunkowego obsługują wbudowane role. Zasady dostępu warunkowego nie są wymuszane dla innych typów ról, w tym ról administracyjnych o zakresie jednostki administracyjnej lub ról niestandardowych.
W obszarze Wyklucz wybierz Użytkownicy i grupy, a następnie z listy wskaż konta awaryjne w organizacji.
- W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
- W obszarze Kontrola dostępu>, Udziel, wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i kliknij pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na Tryb raportowania.
- Wybierz Utwórz, aby aktywować swoje zasady.
Po potwierdzeniu ustawień przy użyciu trybu wpływu zasad lub trybu tylko do raportu przenieś przełącznik Włącz zasady z opcji Tylko raport do pozycji Włączone.