Skapa en strategi för hantering av elastisk åtkomstkontroll med Microsoft Entra-ID

Kommentar

Informationen i det här dokumentet representerar microsoft Corporations aktuella vy över de frågor som diskuterats från och med publiceringsdatumet. Eftersom Microsoft måste svara på ändrade marknadsvillkor bör det inte tolkas som ett åtagande från Microsofts sida, och Microsoft kan inte garantera att någon information som presenteras efter publiceringsdatumet är korrekt.

Organisationer som förlitar sig på en enda åtkomstkontroll, till exempel multifaktorautentisering eller en enda nätverksplats, för att skydda sina IT-system är känsliga för åtkomstfel till sina appar och resurser om den enskilda åtkomstkontrollen blir otillgänglig eller felkonfigurerad. En naturkatastrof kan till exempel leda till att stora segment av telekommunikationsinfrastruktur eller företagsnätverk inte är tillgängliga. Ett sådant avbrott kan hindra slutanvändare och administratörer från att kunna logga in.

Det här dokumentet innehåller vägledning om strategier som en organisation bör anta för att ge motståndskraft för att minska risken för utelåsning vid oförutsedda störningar med följande scenarier:

• Organisationer kan öka sin återhämtning för att minska risken för utelåsning före ett avbrott genom att implementera åtgärdsstrategier eller beredskapsplaner.
• Organisationer kan fortsätta att komma åt appar och resurser som de väljer under ett avbrott genom att ha åtgärdsstrategier och beredskapsplaner på plats.
• Organisationer bör se till att de bevarar information, till exempel loggar, efter ett avbrott och innan de återställer eventuella eventualiteter som de har implementerat.
• Organisationer som inte har implementerat förebyggande strategier eller alternativa planer kan implementera nödalternativ för att hantera störningarna.

Viktig vägledning

Det finns fyra viktiga lärdomar i det här dokumentet:

• Undvik administratörsutelåsning med hjälp av konton för nödåtkomst.
• Implementera MFA med villkorlig åtkomst i stället för MFA per användare.
• Minimera användarens utelåsning med hjälp av flera kontroller för villkorsstyrd åtkomst.
• Minimera användarens utelåsning genom att etablera flera autentiseringsmetoder eller motsvarande för varje användare.

Före ett avbrott

Att minimera en faktisk störning måste vara organisationens främsta fokus när det gäller att hantera problem med åtkomstkontroll som kan uppstå. Att minimera inkluderar planering för en faktisk händelse plus implementeringsstrategier för att se till att åtkomstkontroller och åtgärder inte påverkas under avbrott.

Varför behöver du elastisk åtkomstkontroll?

Identitet är kontrollplanet för användare som har åtkomst till appar och resurser. Ditt identitetssystem styr vilka användare och under vilka villkor, till exempel åtkomstkontroller eller autentiseringskrav, användare får åtkomst till programmen. När ett eller flera autentiserings- eller åtkomstkontrollkrav inte är tillgängliga för användare att autentisera på grund av oförutsedda omständigheter kan organisationer uppleva ett eller båda av följande problem:

• Administratörsutelåsning: Administratörer kan inte hantera klientorganisationen eller tjänsterna.
• Användarutelåsning: Användare kan inte komma åt appar eller resurser.

Beredskap för administratörsutelåsning

Om du vill låsa upp administratörsåtkomst till din klientorganisation bör du skapa konton för nödåtkomst. Dessa konton för nödåtkomst, även kallade break glass-konton , tillåter åtkomst för att hantera Microsoft Entra-konfiguration när normala privilegierade kontoåtkomstprocedurer inte är tillgängliga. Minst två konton för åtkomst till nödsituationer bör skapas enligt rekommendationerna för kontot för nödåtkomst.

Minimera användarutelåsning

För att minska risken för användarutelåsning använder du principer för villkorsstyrd åtkomst med flera kontroller för att ge användarna möjlighet att välja hur de ska komma åt appar och resurser. Genom att ge en användare möjlighet att välja mellan att till exempel logga in med MFA eller logga in från en hanterad enhet eller logga in från företagsnätverket, om någon av åtkomstkontrollerna inte är tillgänglig har användaren andra alternativ för att fortsätta att arbeta.

Microsoft-rekommendationer

Införliva följande åtkomstkontroller i dina befintliga principer för villkorsstyrd åtkomst för organisationen:

• Etablera flera autentiseringsmetoder för varje användare som förlitar sig på olika kommunikationskanaler, till exempel Microsoft Authenticator-appen (internetbaserad), OATH-token (genererad på enheten) och SMS (telefoni).
• Distribuera Windows Hello för företag på Windows 10-enheter för att uppfylla MFA-kraven direkt från enhetsinloggning.
• Använd betrodda enheter via Microsoft Entra-hybridanslutning eller Microsoft Intune. Betrodda enheter förbättrar användarupplevelsen eftersom själva den betrodda enheten kan uppfylla de starka autentiseringskraven för principen utan en MFA-utmaning för användaren. MFA krävs sedan när du registrerar en ny enhet och vid åtkomst till appar eller resurser från ej betrodda enheter.
• Använd riskbaserade principer för Microsoft Entra ID Protection som förhindrar åtkomst när användaren eller inloggningen är i riskzonen i stället för fasta MFA-principer.
• Om du skyddar VPN-åtkomst med hjälp av NPS-tillägget för multifaktorautentisering i Microsoft Entra kan du överväga att federera VPN-lösningen som en SAML-app och fastställa appkategorin enligt rekommendationerna nedan.

Kommentar

Riskbaserade principer kräver Microsoft Entra ID P2-licenser .

I följande exempel beskrivs principer som du måste skapa för att ge en flexibel åtkomstkontroll för att användaren ska få åtkomst till sina appar och resurser. I det här exemplet behöver du en säkerhetsgrupp AppUsers med de målanvändare som du vill ge åtkomst till, en grupp med namnet CoreAdmins med kärnadministratörerna och en grupp med namnet EmergencyAccess med konton för åtkomst till nödsituationer. Den här exempelprincipuppsättningen ger valda användare i AppUsers åtkomst till valda appar om de ansluter från en betrodd enhet ELLER ger stark autentisering, till exempel MFA. Det exkluderar nödkonton och kärnadministratörer.

Principer för begränsning av villkorsstyrd åtkomst har angetts:

• Princip 1: Blockera åtkomst till personer utanför målgrupper
  • Användare och grupper: Inkludera alla användare. Exkludera AppUsers, CoreAdmins och EmergencyAccess
  • Cloud Apps: Inkludera alla appar
  • Villkor: (Ingen)
  • Bevilja kontroll: Blockera
• Princip 2: Bevilja åtkomst till AppUsers som kräver MFA ELLER betrodd enhet.
  • Användare och grupper: Inkludera AppUsers. Exkludera CoreAdmins och EmergencyAccess
  • Cloud Apps: Inkludera alla appar
  • Villkor: (Ingen)
  • Bevilja kontroll: Bevilja åtkomst, kräva multifaktorautentisering, kräva att enheten är kompatibel. För flera kontroller: Kräv en av de valda kontrollerna.

Oförutsedda händelser för användarutelåsning

Alternativt kan din organisation också skapa beredskapsprinciper. För att skapa beredskapsprinciper måste du definiera avvägningskriterier mellan affärskontinuitet, driftskostnader, ekonomiska kostnader och säkerhetsrisker. Du kan till exempel bara aktivera en beredskapsprincip till en delmängd användare, för en delmängd av appar, för en delmängd av klienter eller från en delmängd av platser. Beredskapsprinciper ger administratörer och slutanvändare åtkomst till appar och resurser under ett avbrott när ingen åtgärdsmetod implementerades. Microsoft rekommenderar att du aktiverar beredskapsprinciper i rapportläge när de inte används så att administratörer kan övervaka den potentiella effekten av principerna om de behöver aktiveras.

Att förstå din exponering under en störning bidrar till att minska risken och är en viktig del av planeringsprocessen. Om du vill skapa en beredskapsplan måste du först fastställa följande affärskrav för din organisation:

1. Fastställ dina verksamhetskritiska appar i förväg: Vilka appar måste du ge åtkomst till, även med lägre risk/säkerhetsstatus? Skapa en lista över dessa appar och se till att dina andra intressenter (företag, säkerhet, juridik, ledarskap) alla är överens om att om all åtkomstkontroll försvinner måste dessa appar fortfarande fortsätta att köras. Du kommer förmodligen att få följande kategorier:
   • Verksamhetskritiska appar i kategori 1 som inte kan vara otillgängliga på mer än några minuter, till exempel Appar som direkt påverkar organisationens intäkter.
   • Kategori 2 viktiga appar som företaget behöver vara tillgängligt inom några timmar.
   • Appar med låg prioritet i kategori 3 som klarar avbrott på några dagar.
2. För appar i kategori 1 och 2 rekommenderar Microsoft att du förplanerar vilken typ av åtkomstnivå du vill tillåta:
   • Vill du tillåta fullständig åtkomst eller begränsad session, som att begränsa nedladdningar?
   • Vill du tillåta åtkomst till en del av appen, men inte hela appen?
   • Vill du tillåta åtkomst till informationsarbetare och blockera administratörsåtkomst tills åtkomstkontrollen har återställts?
3. För dessa appar rekommenderar Microsoft också att du planerar vilka åtkomstvägar som du avsiktligt öppnar och vilka som du stänger:
   • Vill du endast tillåta åtkomst till webbläsare och blockera avancerade klienter som kan spara offlinedata?
   • Vill du endast tillåta åtkomst för användare i företagsnätverket och hålla externa användare blockerade?
   • Vill du endast tillåta åtkomst från vissa länder eller regioner under avbrotten?
   • Vill du att principer för beredskapsprinciper, särskilt för verksamhetskritiska appar, ska misslyckas eller lyckas om en alternativ åtkomstkontroll inte är tillgänglig?

Microsoft-rekommendationer

En princip för villkorlig åtkomst för oförutsedda händelser är en säkerhetskopieringsprincip som utelämnar Microsoft Entra multifaktorautentisering, MFA från tredje part, riskbaserade eller enhetsbaserade kontroller. För att minimera oväntade störningar när en beredskapsprincip är aktiverad bör principen förbli i rapportläge när den inte används. Administratörer kan övervaka den potentiella effekten av sina beredskapsprinciper med hjälp av arbetsboken För villkorlig åtkomstinsikter. När din organisation bestämmer sig för att aktivera din beredskapsplan kan administratörer aktivera principen och inaktivera de regelbundna kontrollbaserade principerna.

Viktigt!

Om du inaktiverar principer som framtvingar säkerhet för dina användare, även tillfälligt, minskar du din säkerhetsstatus medan beredskapsplanen är på plats.

• Konfigurera en uppsättning återställningsprinciper om ett avbrott i en typ av autentiseringsuppgifter eller en mekanism för åtkomstkontroll påverkar åtkomsten till dina appar. Konfigurera en princip i rapporttillstånd som kräver domänanslutning som en kontroll, som en säkerhetskopia för en aktiv princip som kräver en MFA-provider från tredje part.
• Minska risken för att dåliga aktörer gissar lösenord, när MFA inte krävs, genom att följa metoderna i vitboken om lösenordsvägledning .
• Distribuera Microsoft Entra Self-Service Password Reset (SSPR) och Microsoft Entra Password Protection för att se till att användarna inte använder vanliga lösenord och villkor som du väljer att förbjuda.
• Använd principer som begränsar åtkomsten i apparna om en viss autentiseringsnivå inte uppnås i stället för att helt enkelt återgå till fullständig åtkomst. Till exempel:
  • Konfigurera en säkerhetskopieringsprincip som skickar det begränsade sessionsanspråket till Exchange och SharePoint.
  • Om din organisation använder Microsoft Defender för molnet-appar kan du överväga att återgå till en princip som engagerar Defender för molnet-appar och sedan tillåter skrivskyddad åtkomst men inte uppladdningar.
• Namnge dina principer för att se till att det är enkelt att hitta dem under ett avbrott. Inkludera följande element i principnamnet:
  • Ett etikettnummer för principen.
  • Text som ska visas, den här principen är endast avsedd för nödsituationer. Exempel: AKTIVERA I NÖDFALL
  • Den störning som den gäller för. Till exempel: Under MFA-avbrott
  • Ett sekvensnummer för att visa den ordning du måste aktivera principerna.
  • Apparna som den gäller för.
  • De kontroller som ska tillämpas.
  • De villkor som krävs.

Den här namngivningsstandarden för beredskapsprinciperna är följande:

EMnnn - ENABLE IN EMERGENCY: [Disruption][i/n] - [Apps] - [Controls] [Conditions]

Följande exempel: Exempel A – Princip för villkorlig åtkomst för oförutsedda händelser för att återställa åtkomst till verksamhetskritiska Samarbetsappar är en typisk företagsförutsägning. I det här scenariot kräver organisationen vanligtvis MFA för all Exchange Online- och SharePoint Online-åtkomst, och i det här fallet är MFA-providern för kunden ett avbrott (oavsett om Microsoft Entra multifaktorautentisering, lokal MFA-provider eller MFA från tredje part). Den här principen minskar detta avbrott genom att ge specifika målanvändare åtkomst till dessa appar från betrodda Windows-enheter endast när de kommer åt appen från sitt betrodda företagsnätverk. Det kommer också att undanta nödkonton och kärnadministratörer från dessa begränsningar. De riktade användarna får sedan åtkomst till Exchange Online och SharePoint Online, medan andra användare fortfarande inte har åtkomst till apparna på grund av avbrottet. Det här exemplet kräver en namngiven nätverksplats CorpNetwork och en säkerhetsgrupp ContingencyAccess med målanvändarna, en grupp med namnet CoreAdmins med kärnadministratörerna och en grupp med namnet EmergencyAccess med konton för åtkomst till nödsituationer. Beredskapen kräver fyra principer för att ge önskad åtkomst.

Exempel A – Principer för villkorlig åtkomst för oförutsedda händelser för att återställa åtkomst till verksamhetskritiska samarbetsappar:

• Princip 1: Kräv domänanslutna enheter för Exchange och SharePoint
  • Namn: EM001 – AKTIVERA I NÖDFALL: MFA-avbrott[1/4] – Exchange SharePoint – Kräv Microsoft Entra-hybridanslutning
  • Användare och grupper: Inkludera ContingencyAccess. Exkludera CoreAdmins och EmergencyAccess
  • Cloud Apps: Exchange Online och SharePoint Online
  • Villkor: Alla
  • Bevilja kontroll: Kräv domänansluten
  • Tillstånd: Endast rapport
• Princip 2: Blockera andra plattformar än Windows
  • Namn: EM002 – AKTIVERA I NÖDFALL: MFA-avbrott[2/4] – Exchange SharePoint – Blockera åtkomst utom Windows
  • Användare och grupper: Inkludera alla användare. Exkludera CoreAdmins och EmergencyAccess
  • Cloud Apps: Exchange Online och SharePoint Online
  • Villkor: Enhetsplattformen omfattar alla plattformar, exkluderar Windows
  • Bevilja kontroll: Blockera
  • Tillstånd: Endast rapport
• Princip 3: Blockera andra nätverk än CorpNetwork
  • Namn: EM003 – AKTIVERA I NÖDFALL: MFA-avbrott[3/4] – Exchange SharePoint – Blockera åtkomst utom företagsnätverk
  • Användare och grupper: Inkludera alla användare. Exkludera CoreAdmins och EmergencyAccess
  • Cloud Apps: Exchange Online och SharePoint Online
  • Villkor: Platser Inkluderar valfri plats, exkluderar CorpNetwork
  • Bevilja kontroll: Blockera
  • Tillstånd: Endast rapport
• Princip 4: Blockera EAS explicit
  • Namn: EM004 – AKTIVERA I NÖDSITUATION: MFA-avbrott[4/4] – Exchange – Blockera EAS för alla användare
  • Användare och grupper: Inkludera alla användare
  • Cloud Apps: Inkludera Exchange Online
  • Villkor: Klientappar: Exchange Active Sync
  • Bevilja kontroll: Blockera
  • Tillstånd: Endast rapport

Aktiveringsordning:

1. Undanta ContingencyAccess, CoreAdmins och EmergencyAccess från den befintliga MFA-principen. Kontrollera att en användare i ContingencyAccess kan komma åt SharePoint Online och Exchange Online.
2. Aktivera princip 1: Kontrollera att användare på domänanslutna enheter som inte ingår i exkluderingsgrupperna har åtkomst till Exchange Online och SharePoint Online. Kontrollera att användare i gruppen Exkludera kan komma åt SharePoint Online och Exchange från valfri enhet.
3. Aktivera princip 2: Kontrollera att användare som inte ingår i exkluderingsgruppen inte kan komma till SharePoint Online och Exchange Online från sina mobila enheter. Kontrollera att användare i gruppen Exkludera kan komma åt SharePoint och Exchange från valfri enhet (Windows/iOS/Android).
4. Aktivera princip 3: Kontrollera att användare som inte finns i exkluderingsgrupperna inte kan komma åt SharePoint och Exchange utanför företagsnätverket, även med en domänansluten dator. Kontrollera att användare i gruppen Exkludera kan komma åt SharePoint och Exchange från valfritt nätverk.
5. Aktivera princip 4: Kontrollera att alla användare inte kan hämta Exchange Online från de interna e-postprogrammen på mobila enheter.
6. Inaktivera den befintliga MFA-principen för SharePoint Online och Exchange Online.

I nästa exempel, Exempel B – Principer för villkorsstyrd åtkomst för att tillåta mobil åtkomst till Salesforce, återställs en företagsapps åtkomst. I det här scenariot kräver kunden vanligtvis att deras säljare får åtkomst till Salesforce (konfigurerat för enkel inloggning med Microsoft Entra-ID) från mobila enheter för att endast tillåtas från kompatibla enheter. Störningen i det här fallet är att det finns ett problem med att utvärdera enhetsefterlevnad och avbrott sker vid en känslig tidpunkt där säljteamet behöver åtkomst till Salesforce för att slutföra avtal. Dessa beredskapsprinciper ger kritiska användare åtkomst till Salesforce från en mobil enhet så att de kan fortsätta att avsluta avtal och inte störa verksamheten. I det här exemplet innehåller SalesforceContingency alla sales-anställda som behöver behålla åtkomsten och SalesAdmins innehåller nödvändiga administratörer för Salesforce.

Exempel B – Principer för villkorlig åtkomst för oförutsedda händelser:

• Princip 1: Blockera alla som inte ingår i SalesContingency-teamet
  • Namn: EM001 – AKTIVERA I NÖDFALL: Avbrott i enhetsefterlevnad[1/2] – Salesforce – Blockera alla användare utom SalesforceContingency
  • Användare och grupper: Inkludera alla användare. Exkludera SalesAdmins och SalesforceContingency
  • Cloud Apps: Salesforce.
  • Villkor: Ingen
  • Bevilja kontroll: Blockera
  • Tillstånd: Endast rapport
• Princip 2: Blockera säljteamet från någon annan plattform än mobil (för att minska attackytan)
  • Namn: EM002 – AKTIVERA I NÖDFALL: Avbrott i enhetsefterlevnad[2/2] – Salesforce – Blockera alla plattformar utom iOS och Android
  • Användare och grupper: Inkludera SalesforceContingency. Exkludera SalesAdmins
  • Cloud Apps: Salesforce
  • Villkor: Enhetsplattformen omfattar alla plattformar, exkluderar iOS och Android
  • Bevilja kontroll: Blockera
  • Tillstånd: Endast rapport

Aktiveringsordning:

1. Exkludera SalesAdmins och SalesforceContingency från den befintliga enhetsefterlevnadsprincipen för Salesforce. Kontrollera att en användare i gruppen SalesforceContingency har åtkomst till Salesforce.
2. Aktivera princip 1: Kontrollera att användare utanför SalesContingency inte kan komma åt Salesforce. Kontrollera att användare i SalesAdmins och SalesforceContingency har åtkomst till Salesforce.
3. Aktivera princip 2: Kontrollera att användare i gruppen SalesContingency inte kan komma åt Salesforce från sina bärbara Windows-/Mac-datorer men fortfarande kan komma åt dem från sina mobila enheter. Kontrollera att SalesAdmin fortfarande kan komma åt Salesforce från valfri enhet.
4. Inaktivera den befintliga enhetsefterlevnadsprincipen för Salesforce.

Oförutsedda händelser för användarutelåsning från lokala resurser (NPS-tillägg)

Om du skyddar VPN-åtkomst med hjälp av NPS-tillägget för multifaktorautentisering i Microsoft Entra kan du överväga att federera VPN-lösningen som en SAML-app och fastställa appkategorin enligt rekommendationerna nedan.

Om du har distribuerat NPS-tillägget för multifaktorautentisering i Microsoft Entra för att skydda lokala resurser, till exempel VPN och Fjärrskrivbordsgateway, med MFA, bör du överväga i förväg om du är redo att inaktivera MFA i händelse av nödsituationer.

I det här fallet kan du inaktivera NPS-tillägget, vilket innebär att NPS-servern endast verifierar primär autentisering och inte framtvingar MFA för användarna.

Inaktivera NPS-tillägget:

• Exportera registernyckeln HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters som en säkerhetskopia.
• Ta bort registervärdena för "AuthorizationDLLs" och "ExtensionDLLs", inte parameternyckeln.
• Starta om IAS-tjänsten (Network Policy Service) för att ändringarna ska börja gälla
• Kontrollera om den primära autentiseringen för VPN lyckas.

När tjänsten har återställts och du är redo att tillämpa MFA på användarna igen aktiverar du NPS-tillägget:

• Importera registernyckeln från säkerhetskopieringen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters
• Starta om IAS-tjänsten (Network Policy Service) för att ändringarna ska börja gälla
• Kontrollera om den primära autentiseringen och den sekundära autentiseringen för VPN lyckas.
• Granska NPS-servern och VPN-loggen för att avgöra vilka användare som har loggat in under nödfönstret.

Distribuera synkronisering av lösenordshash även om du är federerad eller använder direktautentisering

Användarutelåsning kan också inträffa om följande villkor är uppfyllda:

• Din organisation använder en hybrididentitetslösning med direktautentisering eller federation.
• Dina lokala identitetssystem (till exempel Active Directory, AD FS eller en beroende komponent) är inte tillgängliga.

För att vara mer motståndskraftig bör din organisation aktivera synkronisering av lösenordshash eftersom det gör att du kan växla till att använda synkronisering av lösenordshash om dina lokala identitetssystem är nere.

Microsoft-rekommendationer

Aktivera synkronisering av lösenordshash med hjälp av guiden Microsoft Entra Anslut, oavsett om din organisation använder federations- eller direktautentisering.

Viktigt!

Det krävs inte för att konvertera användare från federerad till hanterad autentisering för att använda synkronisering av lösenordshash.

Under ett avbrott

Om du har valt att implementera en åtgärdsplan kan du automatiskt överleva en enda åtkomstkontrollsstörning. Men om du valde att skapa en beredskapsplan kan du aktivera dina beredskapsprinciper under avbrott i åtkomstkontrollen:

1. Aktivera dina beredskapsprinciper som ger målanvändare åtkomst till specifika appar från specifika nätverk.
2. Inaktivera dina vanliga kontrollbaserade principer.

Microsoft-rekommendationer

Beroende på vilka åtgärder eller oförutsedda händelser som används under ett avbrott kan din organisation bevilja åtkomst med bara lösenord. Inget skydd är en betydande säkerhetsrisk som måste vägas noggrant. Organisationer måste:

1. Som en del av din strategi för ändringskontroll dokumenterar du varje ändring och föregående tillstånd för att kunna återställa eventuella eventualiteter som du implementerade så snart åtkomstkontrollerna är fullt fungerande.
2. Anta att skadliga aktörer försöker samla in lösenord via lösenordsspray eller nätfiskeattacker medan du inaktiverade MFA. Dåliga aktörer kanske redan har lösenord som tidigare inte gav åtkomst till någon resurs som kan försökas under det här fönstret. För kritiska användare, till exempel chefer, kan du delvis minska den här risken genom att återställa deras lösenord innan du inaktiverar MFA för dem.
3. Arkivera all inloggningsaktivitet för att identifiera vem som har åtkomst till vad under den tid som MFA inaktiverades.
4. Sortera alla riskidentifieringar som rapporterats under det här fönstret.

Efter ett avbrott

Ångra de ändringar som du gjorde som en del av den aktiverade beredskapsplanen när tjänsten har återställts som orsakade störningen.

1. Aktivera vanliga principer
2. Inaktivera dina beredskapsprinciper tillbaka till rapportläge.
3. Återställ alla andra ändringar som du har gjort och dokumenterat under avbrottet.
4. Om du använde ett konto för nödåtkomst ska du komma ihåg att återskapa autentiseringsuppgifter och fysiskt skydda de nya autentiseringsuppgifterna som en del av procedurerna för ditt konto för nödåtkomst.
5. Fortsätt att sortera alla riskidentifieringar som rapporterats efter avbrottet för misstänkt aktivitet.
6. Återkalla alla uppdateringstoken som har utfärdats för att rikta in sig på en uppsättning användare. Det är viktigt att återkalla alla uppdateringstoken för privilegierade konton som används under avbrottet och det tvingar dem att autentisera igen och uppfylla kontrollen över de återställde principerna.

Alternativ för nödsituationer

I en nödsituation och din organisation inte tidigare implementerade en åtgärds- eller beredskapsplan följer du sedan rekommendationerna i avsnittet Beredskap för användarutelåsning om de redan använder principer för villkorsstyrd åtkomst för att framtvinga MFA. Om din organisation använder äldre MFA-principer per användare kan du överväga följande alternativ:

• Om du har företagets utgående IP-adress för nätverket kan du lägga till dem som betrodda IP-adresser för att endast aktivera autentisering i företagsnätverket.
• Om du inte har inventeringen av utgående IP-adresser, eller om du behöver aktivera åtkomst i och utanför företagsnätverket, kan du lägga till hela IPv4-adressutrymmet som betrodda IP-adresser genom att ange 0.0.0.0/1 och 128.0.0.0/1.

Viktigt!

Om du breddar de betrodda IP-adresserna för att avblockera åtkomst genereras inte riskidentifieringar som är associerade med IP-adresser (till exempel omöjliga resor eller okända platser).

Kommentar

Konfigurera betrodda IP-adresser för Microsoft Entra multifaktorautentisering är endast tillgängligt med Microsoft Entra ID P1- eller P2-licenser.

Läs mer

• Dokumentation om Microsoft Entra-autentisering
• Hantera administrativa konton för nödåtkomst i Microsoft Entra-ID
• Konfigurera namngivna platser i Microsoft Entra-ID
  • Set-MsolDomainFederation Inställningar
• Så här konfigurerar du Hybrid-anslutna Microsoft Entra-enheter
• Distributionsguide för Windows Hello för företag
  • Lösenordsvägledning – Microsoft Research
• Vilka villkor gäller för villkorsstyrd åtkomst i Microsoft Entra?
• Vad är åtkomstkontroller i Villkorsstyrd åtkomst i Microsoft Entra?
• Vad är läget Endast rapport för villkorsstyrd åtkomst?