Ochrona rejestracji informacji zabezpieczających przy użyciu zasad dostępu warunkowego

Zabezpieczanie, kiedy i jak użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła, jest możliwe za pomocą akcji użytkownika w zasadach dostępu warunkowego. Ta funkcja jest dostępna dla organizacji, które umożliwiają rejestrację połączoną. Ta funkcja umożliwia organizacjom traktowanie procesu rejestracji, takiego jak każda aplikacja w zasadach dostępu warunkowego, i korzystanie z pełnej możliwości dostępu warunkowego w celu zabezpieczenia środowiska. Użytkownicy logujący się do aplikacji Microsoft Authenticator lub włączający logowanie bez hasła na telefon podlegają tym zasadom.

Niektóre organizacje w przeszłości mogły używać zaufanej lokalizacji sieciowej lub zgodności urządzeń jako środka w celu zabezpieczenia środowiska rejestracji. Dzięki dodaniu dostępu tymczasowego w usłudze Microsoft Entra ID administratorzy mogą podać użytkownikom poświadczenia ograniczone czasowo, które pozwalają im rejestrować się z dowolnego urządzenia lub lokalizacji. Poświadczenia dostępu tymczasowego spełniają wymagania dostępu warunkowego na potrzeby uwierzytelniania wieloskładnikowego.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Tworzenie zasad w celu zabezpieczenia rejestracji

Poniższe zasady dotyczą wybranych użytkowników, którzy próbują zarejestrować się przy użyciu połączonego środowiska rejestracji. Zasady wymagają, aby użytkownicy znajdowali się w zaufanej lokalizacji sieciowej i uwierzytelnianie wieloskładnikowe lub używali poświadczeń dostępu tymczasowego dostępu.

Ostrzeżenie

Jeśli używasz metod uwierzytelniania zewnętrznego, są one obecnie niekompatable z siłą uwierzytelniania i należy użyć kontrolki Wymagaj uwierzytelniania wieloskładnikowego.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
3. Wybierz pozycję Nowe zasady.
4. W polu Nazwa wprowadź nazwę dla tych zasad. Na przykład połączona rejestracja informacji zabezpieczających za pomocą interfejsu TAP.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.

   1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.

      Ostrzeżenie

      Użytkownicy muszą być włączeni dla połączonej rejestracji.

   2. W obszarze Wyklucz.

      1. Wybierz pozycję Wszyscy goście i użytkownicy zewnętrzni.

         Uwaga

         Dostęp tymczasowy nie działa dla użytkowników-gości.

      2. Wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta awaryjne w organizacji.

6. W obszarze Docelowe zasoby>Akcje użytkownika zaznacz pole Rejestrowanie informacji zabezpieczających.
7. W obszarze Lokalizacje warunków>.
   1. Ustaw pozycję Konfiguruj na Wartość Tak.
      1. Uwzględnij dowolną lokalizację.
      2. Wyklucz wszystkie zaufane lokalizacje.
8. W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu.
   1. Wybierz pozycję Wymagaj siły uwierzytelniania, a następnie z listy wybierz odpowiednią wbudowaną lub niestandardową siłę uwierzytelniania.
   2. Wybierz pozycję Wybierz.
9. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Administratorzy muszą wystawiać poświadczenia dostępu tymczasowego przekazywanego do nowych użytkowników, aby mogli spełnić wymagania dotyczące uwierzytelniania wieloskładnikowego do zarejestrowania. Kroki do wykonania tego zadania znajdują się w sekcji Tworzenie tymczasowego dostępu dostępu w centrum administracyjnym firmy Microsoft Entra.

Organizacje mogą zdecydować się na wymaganie innych mechanizmów kontroli udzielania z uwierzytelnianiem wieloskładnikowym lub zamiast uwierzytelniania wieloskładnikowego w kroku 8a. Podczas wybierania wielu kontrolek należy wybrać odpowiedni przełącznik radiowy, aby wymagać wszystkich lub jednego z wybranych kontrolek podczas wprowadzania tej zmiany.

Rejestracja użytkownika-gościa

W przypadku użytkowników-gości, którzy muszą zarejestrować się w celu uwierzytelniania wieloskładnikowego w katalogu, możesz zablokować rejestrację spoza zaufanych lokalizacji sieciowych, korzystając z poniższego przewodnika.

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
2. Przejdź do strony Ochrona>zasad dostępu>warunkowego.
3. Wybierz pozycję Nowe zasady.
4. W polu Nazwa wprowadź nazwę dla tych zasad. Na przykład połączona rejestracja informacji zabezpieczających w zaufanych sieciach.
5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
   1. W obszarze Uwzględnij wybierz pozycję Wszyscy goście i użytkownicy zewnętrzni.
6. W obszarze Docelowe zasoby>Akcje użytkownika zaznacz pole Rejestrowanie informacji zabezpieczających.
7. W obszarze Lokalizacje warunków>.
   1. Skonfiguruj wartość Tak.
   2. Uwzględnij dowolną lokalizację.
   3. Wyklucz wszystkie zaufane lokalizacje.
8. W obszarze Kontrola>dostępu Udziel.
   1. Wybierz pozycję Blokuj dostęp.
   2. Następnie naciśnij przycisk Wybierz.
9. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
10. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.

Powiązana zawartość

• Wbudowane role usługi Microsoft Entra
• Szablony dostępu warunkowego
• Wymaganie od użytkowników ponownego potwierdzenia informacji o uwierzytelnianiu