Villkorsstyrd åtkomst: Kräv MFA för alla användare

Som Alex Weinert, Directory of Identity Security på Microsoft, nämner i sitt blogginlägg Your Pa$$word spelar ingen roll:

Ditt lösenord spelar ingen roll, men MFA gör det! Baserat på våra studier är ditt konto mer än 99,9 % mindre sannolikt att komprometteras om du använder MFA.

Vägledningen i den här artikeln hjälper din organisation att skapa en MFA-princip för din miljö.

Användarundantag

Principer för villkorsstyrd åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från din princip:

  • Nödåtkomst eller break-glass-konton för att förhindra kontoutelåsning för hela klientorganisationen. I det osannolika scenariot som alla administratörer är utelåst från din klientorganisation kan ditt administratörskonto för nödåtkomst användas för att logga in på klienten vidta åtgärder för att återställa åtkomsten.
  • Tjänstkonton och tjänstens huvudnamn, till exempel Azure AD Anslut synkroniseringskonto. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon viss användare. De används vanligtvis av serverdelstjänster som tillåter programmatisk åtkomst till program, men används också för att logga in på system för administrativa ändamål. Tjänstkonton som dessa bör undantas eftersom MFA inte kan slutföras programmatiskt. Anrop som görs av tjänstens huvudnamn blockeras inte av villkorsstyrd åtkomst.
    • Om din organisation har dessa konton som används i skript eller kod bör du överväga att ersätta dem med hanterade identiteter. Som en tillfällig lösning kan du exkludera dessa specifika konton från baslinjeprincipen.

Programundantag

Organisationer kan ha många molnprogram som används. Alla dessa program kan inte kräva lika säkerhet. Till exempel kan löne- och närvaroansökningar kräva MFA, men det gör förmodligen inte cafeterian. Administratörer kan välja att undanta specifika program från sina principer.

Prenumerationsaktivering

Organisationer som använder prenumerationsaktivering för att göra det möjligt för användare att "step-up" från en version av Windows till en annan, kanske vill exkludera Universal Store-tjänst-API:er och webbprogram, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f från alla användare alla molnappar MFA-princip.

Malldistribution

Organisationer kan välja att distribuera den här principen med hjälp av stegen nedan eller med hjälp av mallarna för villkorsstyrd åtkomst (förhandsversion).

Skapa en princip för villkorlig åtkomst

Följande steg hjälper dig att skapa en princip för villkorsstyrd åtkomst som kräver att alla användare utför multifaktorautentisering.

  1. Logga in på Azure Portal som global administratör, säkerhetsadministratör eller administratör för villkorsstyrd åtkomst.
  2. Bläddra tillVillkorsstyrd åtkomst för Azure Active Directory-säkerhet>>.
  3. Välj Ny princip.
  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla användare
    2. Under Exkludera väljer du Användare och grupper och väljer organisationens nödåtkomst eller break-glass-konton.
  6. Under Molnappar eller åtgärder>Inkludera väljer du Alla molnappar.
    1. Under Exkludera väljer du alla program som inte kräver multifaktorautentisering.
  7. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst, Kräv multifaktorautentisering och väljer Välj.
  8. Bekräfta inställningarna och ange Aktivera princip till Endast rapport.
  9. Välj Skapa för att skapa för att aktivera principen.

När du har bekräftat inställningarna med läget endast rapport kan en administratör flytta växlingsknappen Aktivera princip från Endast rapport till .

Namngivna platser

Organisationer kan välja att införliva kända nätverksplatser som kallas namngivna platser i sina principer för villkorsstyrd åtkomst. Dessa namngivna platser kan innehålla betrodda IPv4-nätverk som de för en huvudkontorsplats. Mer information om hur du konfigurerar namngivna platser finns i artikeln Vad är platsvillkoret i villkorsstyrd åtkomst i Azure Active Directory?

I exempelprincipen ovan kan en organisation välja att inte kräva multifaktorautentisering vid åtkomst till en molnapp från företagets nätverk. I det här fallet kan de lägga till följande konfiguration i principen:

  1. Under Tilldelningar väljer du Villkorsplatser>.
    1. Konfigurera Ja.
    2. Ta med valfri plats.
    3. Undanta Alla betrodda platser.
    4. Välj Klar.
  2. Välj Klar.
  3. Spara dina principändringar.

Nästa steg

Vanliga principer för villkorsstyrd åtkomst

Simulera inloggningsbeteende med hjälp av what if-verktyget för villkorsstyrd åtkomst