Política comum de acesso condicional: exigir autenticação multifator para administradores que acessam portais de administração da Microsoft
A Microsoft recomenda proteger o acesso a quaisquer portais de administração da Microsoft, como Microsoft Entra, Microsoft 365, Exchange e Azure. Usando o aplicativo Portais de Administração da Microsoft, as organizações podem controlar o acesso interativo aos portais de administração da Microsoft.
Exclusões de utilizadores
As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:
- Acesso de emergência ou contas quebra-vidro para evitar o bloqueio de contas em todo o inquilino. No cenário improvável de todos os administradores serem bloqueados do seu inquilino, a sua conta administrativa de acesso de emergência pode ser utilizada para iniciar sessão no inquilino e tomar medidas para recuperar o acesso.
- Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
- Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. Estes tipos de contas de serviço devem ser excluídas, pois a MFA não pode ser concluída programaticamente. As chamadas feitas por principais de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito definido para os utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas para principais de serviço.
- Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.
Criar uma política de Acesso Condicional
- Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
- Navegue até Acesso condicional de proteção>.
- Selecione Criar nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
Em Incluir, selecione Funções de diretório e escolha funções internas como:
- Administrador Global
- Administrador da Aplicação
- Administrador de Autenticação
- Administrador de Faturação
- Administrador de Aplicações na Cloud
- Administrador de Acesso Condicional
- Administrador do Exchange
- Administrador do Helpdesk
- Administrador de senha
- Administrador de Autenticação Privilegiada
- Administrador de Funções com Privilégios
- Administrador de Segurança
- Administrador do SharePoint
- Administrador de Utilizadores
Aviso
As políticas de Acesso Condicional suportam funções internas. As políticas de Acesso Condicional não são impostas para outros tipos de função, incluindo funções administrativas , com escopo de unidade ou personalizadas.
Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
- Em Recursos de destino>Aplicativos>de nuvem Incluem, Selecione aplicativos, selecione Portais de administração da Microsoft.
- Em Conceder controlos>de acesso, selecione Conceder acesso, Exigir força de autenticação, selecione Autenticação multifator e, em seguida, selecione Selecionar.
- Confirme suas configurações e defina Habilitar política como Somente relatório.
- Selecione Criar para criar para habilitar sua política.
Depois que os administradores confirmarem as configurações usando o modo somente relatório, eles poderão mover a alternância Habilitar política de Somente relatório para Ativado.