Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Предупреждение
В этой статье описывается политика условного доступа, использующая управляющую меру Требовать многофакторную проверку подлинности. Для более надежной защиты от фишинговых атак рекомендуется использовать силу проверки подлинности , чтобы вместо этого требовать методы MFA, устойчивые к фишингу. Дополнительные сведения см. в разделе "Требовать фишинговую многофакторную проверку подлинности для администраторов".
Учетные записи, которым назначены права администратора, часто подвергаются атакам злоумышленников. Обязательная многофакторная проверка подлинности (MFA) для таких учетных записей — это простой способ уменьшить риск их взлома.
Корпорация Майкрософт рекомендует использовать многофакторную проверку подлинности, устойчивую к фишингу, как минимум, для следующих ролей:
- глобальный администратор
- Администратор приложений
- Администратор проверки подлинности
- администратора выставления счетов;
- Администратор облачных приложений
- Администратор условного доступа
- Администратор Exchange
- Администратор службы технической поддержки
- Администратор паролей
- Привилегированный администратор проверки подлинности
- Администратор привилегированных ролей
- Администратор безопасности
- Администратор SharePoint
- Администратор пользователей
Организации могут включить или исключить определенные роли по своему усмотрению.
Пользовательские исключения
Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:
-
Аварийный доступ или учетные записи Break-glass для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
- Дополнительные сведения можно найти в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
- учетные записи сервисов и сервисных принципалов, например: учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.
- Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.
Создание политики условного доступа
Следующие шаги помогут создать политику условного доступа, чтобы требовать от назначенных административных ролей выполнять многофакторную проверку подлинности. Некоторые организации могут быть готовы перейти к более строгим методам проверки подлинности для своих администраторов. Эти организации могут выбрать реализацию такой политики, как описано в статье "Требовать фишинговую многофакторную проверку подлинности для администраторов".
- Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
- Перейдите к Entra ID>условному доступу>политикам.
- Выберите новую политику.
- Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
- В разделе "Назначения" выберите "Пользователи" или "Идентификации рабочих нагрузок".
В разделе "Включение" выберите роли каталога и выберите по крайней мере те роли, которые перечислены ранее.
Предупреждение
Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются для других типов ролей, включая роли с областью действия в административных единицах или пользовательско-определенные роли.
В разделе Исключить выберите Пользователи и группы и укажите аварийные учетные записи вашей организации или "учетные записи экстренного доступа".
- В разделе «Целевые ресурсы»>«Ресурсы» (ранее облачные приложения)>выберитеВсе ресурсы (ранее — «Все облачные приложения»).
- В разделе "Управление доступом">"Предоставление доступа", выберите "Предоставить доступ", "Требовать многофакторную аутентификацию" и выберите "Выбрать".
- Подтвердите параметры и установите политику "Включить" на Только для отчетов.
- Щелкните Создать, чтобы включить эту политику.
После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".