Vanliga säkerhetsprinciper för Microsoft 365-organisationer
Organisationer har mycket att oroa sig för när de distribuerar Microsoft 365 för sin organisation. Principerna för villkorlig åtkomst, appskydd och enhetsefterlevnad som refereras i den här artikeln baseras på Microsofts rekommendationer och de tre vägledande principerna för Nolltillit:
- Verifiera explicit
- Använd lägsta behörighet
- Anta intrång
Organisationer kan använda dessa principer som de är eller anpassa dem så att de passar deras behov. Testa om möjligt dina principer i en icke-produktionsmiljö innan du distribuerar till dina produktionsanvändare. Testning är viktigt för att identifiera och förmedla eventuella effekter till dina användare.
Vi grupperar dessa principer i tre skyddsnivåer baserat på var du befinner dig på distributionsresan:
- Startpunkt – Grundläggande kontroller som introducerar multifaktorautentisering, säkra lösenordsändringar och appskyddsprinciper.
- Enterprise – Förbättrade kontroller som introducerar enhetsefterlevnad.
- Specialiserad säkerhet – Principer som kräver multifaktorautentisering varje gång för specifika datauppsättningar eller användare.
Följande diagram visar vilken skyddsnivå som varje princip gäller för och om principerna gäller för datorer, telefoner och surfplattor eller båda enhetskategorierna.
Du kan ladda ned det här diagrammet som en PDF-fil .
Tips
Att kräva användning av multifaktorautentisering (MFA) rekommenderas innan du registrerar enheter i Intune för att säkerställa att enheten är i den avsedda användarens ägo. Du måste registrera enheter i Intune innan du kan tillämpa principer för enhetsefterlevnad.
Förutsättningar
Behörigheter
- Användare som ska hantera principer för villkorlig åtkomst måste kunna logga in på Azure Portal som administratör för villkorlig åtkomst, säkerhetsadministratör eller global administratör.
- Användare som ska hantera principer för appskydd och enhetsefterlevnad måste kunna logga in på Intune som Intune-administratör eller global administratör.
- De användare som bara behöver visa konfigurationer kan tilldelas rollerna Säkerhetsläsare eller Global läsare .
Mer information om roller och behörigheter finns i artikeln Microsoft Entra inbyggda roller.
Användarregistrering
Se till att användarna registrerar sig för multifaktorautentisering innan de kräver användning. Om du har licenser som inkluderar Microsoft Entra ID P2 kan du använda MFA-registreringsprincipen i Microsoft Entra ID Protection för att kräva att användarna registrerar sig. Vi tillhandahåller kommunikationsmallar som du kan ladda ned och anpassa för att höja upp registreringen.
Grupper
Alla Microsoft Entra grupper som används som en del av dessa rekommendationer måste skapas som en Microsoft 365-grupp, inte en säkerhetsgrupp. Det här kravet är viktigt för distribution av känslighetsetiketter när du skyddar dokument i Microsoft Teams och SharePoint senare. Mer information finns i artikeln Läs mer om grupper och åtkomsträttigheter i Microsoft Entra ID
Tilldela principer
Principer för villkorlig åtkomst kan tilldelas till användare, grupper och administratörsroller. Intunes appskydds- och enhetsefterlevnadsprinciper kan endast tilldelas grupper. Innan du konfigurerar dina principer bör du identifiera vem som ska inkluderas och undantas. Vanligtvis gäller principer för startpunktsskydd för alla i organisationen.
Här är ett exempel på grupptilldelning och undantag för att kräva MFA när användarna har slutfört användarregistreringen.
| Microsoft Entra princip för villkorsstyrd åtkomst | Inkluderar | Utesluta | |
|---|---|---|---|
| Utgångspunkt | Kräv multifaktorautentisering för medelhög eller hög inloggningsrisk | Alla användare |
|
| Enterprise | Kräv multifaktorautentisering för låg, medel eller hög inloggningsrisk | Ledningsgrupp |
|
| Specialiserad säkerhet | Kräv alltid multifaktorautentisering | Top Secret Project Buckeye-grupp |
|
Var försiktig när du tillämpar högre skyddsnivåer på grupper och användare. Målet med säkerhet är inte att lägga till onödig friktion i användarupplevelsen. Medlemmar i gruppen Top Secret Project Buckeye måste till exempel använda MFA varje gång de loggar in, även om de inte arbetar med det specialiserade säkerhetsinnehållet för projektet. Överdriven säkerhetsfriktion kan leda till trötthet.
Du kan överväga att aktivera lösenordslösa autentiseringsmetoder, till exempel Windows Hello för företag eller FIDO2-säkerhetsnycklar för att minska friktionen som skapas av vissa säkerhetskontroller.
Konton för nödåtkomst
Alla organisationer bör ha minst ett konto för nödåtkomst som övervakas för användning och undantas från principer. Dessa konton används endast om alla andra administratörskonton och autentiseringsmetoder blir utelåst eller på annat sätt otillgängliga. Mer information finns i artikeln Hantera konton för åtkomst till nödsituationer i Microsoft Entra ID.
Undantag
En rekommenderad metod är att skapa en Microsoft Entra grupp för undantag för villkorsstyrd åtkomst. Den här gruppen ger dig ett sätt att ge åtkomst till en användare medan du felsöker åtkomstproblem.
Varning
Den här gruppen rekommenderas endast för användning som en tillfällig lösning. Övervaka och granska den här gruppen kontinuerligt för ändringar och se till att undantagsgruppen endast används som avsett.
Så här lägger du till den här undantagsgruppen i alla befintliga principer:
- Logga in på Azure Portal som administratör för villkorsstyrd åtkomst, säkerhetsadministratör eller global administratör.
- Bläddra till Microsoft Entra ID>Säkerhetsstyrd> åtkomst.
- Välj en befintlig princip.
- Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
- Under Exkludera väljer du Användare och grupper och väljer organisationens nödåtkomst eller break-glass-konton och undantagsgrupp för villkorsstyrd åtkomst.
Distribution
Vi rekommenderar att du implementerar startpunktsprinciperna i den ordning som anges i den här tabellen. MFA-principerna för företagssäkerhet och specialiserade säkerhetsnivåer kan dock implementeras när som helst.
Utgångspunkt
| Politik | Mer information | Licensiering |
|---|---|---|
| Kräv MFA när inloggningsrisken är medelhög eller hög | Använd riskdata från Microsoft Entra ID Protection för att endast kräva MFA när en risk identifieras | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
| Blockera klienter som inte har stöd för modern autentisering | Klienter som inte använder modern autentisering kan kringgå principer för villkorsstyrd åtkomst, så det är viktigt att blockera dem. | Microsoft 365 E3 eller E5 |
| Användare med hög risk måste byta lösenord | Tvingar användare att ändra sitt lösenord när de loggar in om högriskaktivitet identifieras för deras konto. | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
| Tillämpa programskyddsprinciper för dataskydd | En Intune-appskyddsprincip per plattform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 eller E5 |
| Kräv godkända appar och appskyddsprinciper | Tillämpar skyddsprinciper för mobilappar för telefoner och surfplattor med iOS, iPadOS eller Android. | Microsoft 365 E3 eller E5 |
Enterprise
| Politik | Mer information | Licensiering |
|---|---|---|
| Kräv MFA när inloggningsrisken är låg, medel eller hög | Använd riskdata från Microsoft Entra ID Protection för att endast kräva MFA när en risk identifieras | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
| Definiera principer för enhetsefterlevnad | Ange minsta konfigurationskrav. En princip för varje plattform. | Microsoft 365 E3 eller E5 |
| Kräv kompatibla datorer och mobila enheter | Tillämpar konfigurationskraven för enheter som har åtkomst till din organisation | Microsoft 365 E3 eller E5 |
Specialiserad säkerhet
| Politik | Mer information | Licensiering |
|---|---|---|
| Kräv alltid MFA | Användarna måste utföra MFA när de loggar in på dina organisationstjänster | Microsoft 365 E3 eller E5 |
Appskydd principer
Appskydd principer definierar vilka appar som tillåts och vilka åtgärder de kan vidta med organisationens data. Det finns många tillgängliga alternativ och det kan vara förvirrande för vissa. Följande baslinjer är Microsofts rekommenderade konfigurationer som kan skräddarsys efter dina behov. Vi tillhandahåller tre mallar att följa, men tror att de flesta organisationer kommer att välja nivå 2 och 3.
Nivå 2 mappar till vad vi anser vara startpunkt eller säkerhet på företagsnivå , nivå 3 mappar till specialiserad säkerhet.
Grundläggande dataskydd på nivå 1 för företag – Microsoft rekommenderar den här konfigurationen som den minsta dataskyddskonfigurationen för en företagsenhet.
Förbättrat dataskydd på nivå 2 för företag – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Vissa kontroller kan påverka användarupplevelsen.
Hög dataskyddsnivå 3 för företag – Microsoft rekommenderar den här konfigurationen för enheter som körs av en organisation med ett större eller mer avancerat säkerhetsteam, eller för specifika användare eller grupper som löper unikt hög risk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande väsentlig förlust för organisationen). En organisation som sannolikt kommer att bli måltavla för välfinansierade och sofistikerade angripare bör sträva efter den här konfigurationen.
Skapa appskyddsprinciper
Skapa en ny appskyddsprincip för varje plattform (iOS och Android) i Microsoft Intune med hjälp av inställningarna för dataskyddsramverket genom att:
- Skapa principerna manuellt genom att följa stegen i Skapa och distribuera appskyddsprinciper med Microsoft Intune.
- Importera exempel på JSON-mallar för Intune App Protection Policy Configuration Framework med Intunes PowerShell-skript.
Principer för enhetsefterlevnad
Efterlevnadsprinciper för Intune-enheter definierar de krav som enheterna måste uppfylla för att fastställas som kompatibla.
Du måste skapa en princip för varje dator, telefon eller surfplatta. Den här artikeln beskriver rekommendationer för följande plattformar:
Skapa principer för enhetsefterlevnad
Om du vill skapa principer för enhetsefterlevnad loggar du in på Microsoft Intune administrationscenter och går till Principer förenhetsefterlevnad>>. Välj Skapa princip.
Stegvisa anvisningar om hur du skapar efterlevnadsprinciper i Intune finns i Skapa en efterlevnadsprincip i Microsoft Intune.
Inställningar för registrering och efterlevnad för iOS/iPadOS
iOS/iPadOS har stöd för flera registreringsscenarier, av vilka två omfattas av detta ramverk:
- Enhetsregistrering för personligt ägda enheter – dessa enheter är personligt ägda och används för både arbete och personligt bruk.
- Automatisk enhetsregistrering för företagsägda enheter – dessa enheter är företagsägda, associerade med en enskild användare och används uteslutande för arbete och inte för personligt bruk.
Använd principerna som beskrivs i Nolltillit konfigurationer för identitets- och enhetsåtkomst:
- Startpunkts- och företagsskyddsnivåer mappar nära de förbättrade säkerhetsinställningarna på nivå 2.
- Den specialiserade säkerhetsskyddsnivån mappar nära de höga säkerhetsinställningarna på nivå 3.
Kompatibilitetsinställningar för personligt registrerade enheter
- Personlig grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som den minsta säkerhetskonfigurationen för personliga enheter där användarna får åtkomst till arbets- eller skoldata. Den här konfigurationen görs genom att tillämpa lösenordsprinciper, egenskaper för enhetslås och inaktivera vissa enhetsfunktioner, till exempel ej betrodda certifikat.
- Personlig förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare har åtkomst till känslig eller konfidentiell information. Den här konfigurationen tillämpar datadelningskontroller. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
- Personlig hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt hög risk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande materialförlust för organisationen). Den här konfigurationen tillämpar starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner och tillämpar extra dataöverföringsbegränsningar.
Kompatibilitetsinställningar för automatisk enhetsregistrering
- Övervakad grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som den minsta säkerhetskonfigurationen för övervakade enheter där användare får åtkomst till arbets- eller skoldata. Den här konfigurationen görs genom att tillämpa lösenordsprinciper, egenskaper för enhetslås och inaktivera vissa enhetsfunktioner, till exempel ej betrodda certifikat.
- Övervakad förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen utför datadelningskontroller och blockerar åtkomsten till USB-enheter. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
- Övervakad hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt högrisk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande materialförlust för organisationen). Den här konfigurationen tillämpar starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner, tillämpar extra dataöverföringsbegränsningar och kräver att appar installeras via Apples volyminköpsprogram.
Inställningar för registrering och efterlevnad för Android
Android Enterprise stöder flera registreringsscenarier, varav två omfattas som en del av det här ramverket:
- Android Enterprise-arbetsprofil – den här registreringsmodellen används vanligtvis för personligt ägda enheter, där IT-avdelningen vill tillhandahålla en tydlig separationsgräns mellan arbetsdata och personliga data. Principer som kontrolleras av IT säkerställer att arbetsdata inte kan överföras till den personliga profilen.
- Fullständigt hanterade Android Enterprise-enheter – dessa enheter är företagsägda, associerade med en enskild användare och används uteslutande för arbete och inte för personligt bruk.
Säkerhetskonfigurationsramverket för Android Enterprise är indelat i flera olika konfigurationsscenarier, vilket ger vägledning för arbetsprofil och fullständigt hanterade scenarier.
Använd principerna som beskrivs i Nolltillit konfigurationer för identitets- och enhetsåtkomst:
- Startpunkts- och företagsskyddsnivåer mappar nära de förbättrade säkerhetsinställningarna på nivå 2.
- Den specialiserade säkerhetsskyddsnivån mappar nära de höga säkerhetsinställningarna på nivå 3.
Kompatibilitetsinställningar för Android Enterprise-arbetsprofilenheter
- På grund av de inställningar som är tillgängliga för personligt ägda arbetsprofilenheter finns det inget grundläggande säkerhetserbjudande (nivå 1). De tillgängliga inställningarna motiverar ingen skillnad mellan nivå 1 och nivå 2.
- Förbättrad säkerhet för arbetsprofil (nivå 2) – Microsoft rekommenderar den här konfigurationen som den minsta säkerhetskonfigurationen för personliga enheter där användarna får åtkomst till arbets- eller skoldata. Den här konfigurationen introducerar lösenordskrav, separerar arbetsdata och personliga data och validerar Android-enhetsattestering.
- Hög säkerhet för arbetsprofil (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt högrisk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande materialförlust för organisationen). Den här konfigurationen introducerar skydd mot mobilhot eller Microsoft Defender för Endpoint, anger lägsta Android-version, antar starkare lösenordsprinciper och begränsar arbets- och personlig separation ytterligare.
Kompatibilitetsinställningar för fullständigt hanterade Android Enterprise-enheter
- Fullständigt hanterad grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som minsta säkerhetskonfiguration för en företagsenhet. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Den här konfigurationen inför lösenordskrav, anger lägsta Android-version och antar vissa enhetsbegränsningar.
- Fullständigt hanterad förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen antar starkare lösenordsprinciper och inaktiverar funktioner för användare/konto.
- Fullständigt hanterad hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt hög risk. Dessa användare kan hantera mycket känsliga data där obehörigt avslöjande kan orsaka betydande materiella förluster för organisationen. Den här konfigurationen ökar den lägsta Android-versionen, introducerar skydd mot mobilhot eller Microsoft Defender för Endpoint och tillämpar extra enhetsbegränsningar.
Rekommenderade kompatibilitetsinställningar för Windows 10 och senare
Följande inställningar konfigureras i steg 2: Kompatibilitetsinställningar för processen för att skapa efterlevnadsprinciper för Windows 10 och nyare enheter. De här inställningarna överensstämmer med principerna som beskrivs i Nolltillit konfigurationer för identitets- och enhetsåtkomst.
Information om utvärderingsregler för Windows Hälsoattesteringstjänst för enhetshälsa >finns i den här tabellen.
| Egenskap | Värde |
|---|---|
| Kräv BitLocker | Kräver |
| Kräv säker start för att aktiveras på enheten | Kräver |
| Kräv kodintegritet | Kräver |
För Enhetsegenskaper anger du lämpliga värden för operativsystemversioner baserat på dina IT- och säkerhetsprinciper.
För Configuration Manager Efterlevnad, om du befinner dig i en samhanterad miljö med Configuration Manager väljer du Kräv annars väljer du Inte konfigurerad.
Information om systemsäkerhet finns i den här tabellen.
| Egenskap | Värde |
|---|---|
| Kräv lösenord för att låsa upp mobila enheter | Kräver |
| Enkla lösenord | Blockera |
| Lösenordstyp | Enhetsstandard |
| Minsta längd på lösenord | 6 |
| Maximalt antal minuter av inaktivitet innan ett lösenord krävs | 15 minuter |
| Lösenordets giltighetstid (dagar) | 41 |
| Antal tidigare lösenord för att förhindra återanvändning | 5 |
| Kräv lösenord när enheten återgår från inaktivt tillstånd (Mobile och Holographic) | Kräver |
| Kräv kryptering av datalagring på enheten | Kräver |
| Brandvägg | Kräver |
| Antivirus | Kräver |
| Antispyware | Kräver |
| Microsoft Defender program mot skadlig kod | Kräver |
| Microsoft Defender Lägsta version av program mot skadlig kod | Microsoft rekommenderar versioner som inte är mer än fem bakom från den senaste versionen. |
| Microsoft Defender Antimalware-signatur uppdaterad | Kräver |
| Realtidsskydd | Kräver |
För Microsoft Defender för Endpoint
| Egenskap | Värde |
|---|---|
| Kräv att enheten är vid eller under maskinriskpoängen | Medel |
Principer för villkorsstyrd åtkomst
När dina principer för appskydd och enhetsefterlevnad har skapats i Intune kan du aktivera tillämpning med principer för villkorsstyrd åtkomst.
Kräv MFA baserat på inloggningsrisk
Följ riktlinjerna i artikeln Common Conditional Access policy: Sign-in risk-based multifactor authentication to create a policy to require multifactor authentication based on sign-in risk (Vanliga principer för villkorsstyrd åtkomst: Inloggningsriskbaserad multifaktorautentisering) för att skapa en princip för att kräva multifaktorautentisering baserat på inloggningsrisk.
Använd följande risknivåer när du konfigurerar principen.
| Skyddsnivå | Risknivåvärden som behövs | Åtgärd |
|---|---|---|
| Utgångspunkt | Hög, medel | Kontrollera båda. |
| Enterprise | Hög, medel, låg | Kontrollera alla tre. |
Blockera klienter som inte stöder multifaktorautentisering
Följ anvisningarna i artikeln Common Conditional Access policy: Blockera äldre autentisering för att blockera äldre autentisering.
Användare med hög risk måste byta lösenord
Följ anvisningarna i artikeln Common Conditional Access policy: User risk-based password change to require users with compromised credentials to change their password(Användarriskbaserad lösenordsändring) för att kräva att användare med komprometterade autentiseringsuppgifter ändrar sina lösenord.
Använd den här principen tillsammans med Microsoft Entra lösenordsskydd, som identifierar och blockerar kända svaga lösenord och deras varianter utöver termer som är specifika för din organisation. Genom att använda Microsoft Entra lösenordsskydd säkerställer du att ändrade lösenord är starkare.
Kräv godkända appar och appskyddsprinciper
Du måste skapa en princip för villkorsstyrd åtkomst för att tillämpa appskyddsprinciperna som skapats i Intune. För att tillämpa appskyddsprinciper krävs en princip för villkorsstyrd åtkomst och en motsvarande appskyddsprincip.
Om du vill skapa en princip för villkorsstyrd åtkomst som kräver godkända appar och APP-skydd följer du stegen i Kräv godkända klientappar eller appskyddsprincip med mobila enheter. Den här principen tillåter endast att konton i mobilappar som skyddas av appskyddsprinciper får åtkomst till Microsoft 365-slutpunkter.
Blockering av äldre autentisering för andra klientappar på iOS- och Android-enheter säkerställer att dessa klienter inte kan kringgå principer för villkorsstyrd åtkomst. Om du följer anvisningarna i den här artikeln har du redan konfigurerat Blockera klienter som inte stöder modern autentisering.
Kräv kompatibla datorer och mobila enheter
Följande steg hjälper dig att skapa en princip för villkorsstyrd åtkomst som kräver att enheter som har åtkomst till resurser markeras som kompatibla med organisationens Efterlevnadsprinciper för Intune.
Försiktighet
Kontrollera att enheten är kompatibel innan du aktiverar den här principen. Annars kan du bli utelåst och inte kunna ändra den här principen förrän ditt användarkonto har lagts till i undantagsgruppen för villkorsstyrd åtkomst.
- Logga in på Azure-portalen.
- Bläddra till Microsoft Entra ID>Säkerhetsstyrd> åtkomst.
- Välj Ny princip.
- Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
- Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
- Under Inkludera väljer du Alla användare.
- Under Exkludera väljer du Användare och grupper och väljer organisationens nödåtkomst eller break-glass-konton.
- Under Molnappar eller åtgärder>Inkludera väljer du Alla molnappar.
- Om du måste exkludera specifika program från principen kan du välja dem på fliken Exkludera under Välj exkluderade molnappar och välja Välj.
- Under Åtkomstkontroller>Bevilja.
- Välj Kräv att enheten ska markeras som kompatibel.
- Välj Välj.
- Bekräfta inställningarna och ange Aktivera princip till På.
- Välj Skapa för att skapa för att aktivera principen.
Obs!
Du kan registrera dina nya enheter i Intune även om du väljer Kräv att enheten ska markeras som kompatibel för Alla användare och Alla molnappar i din princip. Kräv att enheten markeras som kompatibel kontroll blockerar inte Intune-registrering och åtkomsten till Microsoft Intune Web Företagsportal-programmet.
Prenumerationsaktivering
Organisationer som använder funktionen Prenumerationsaktivering för att göra det möjligt för användare att "stega upp" från en version av Windows till en annan, kanske vill undanta Api:er för Universal Store-tjänsten och webbprogram, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f från sin policy för enhetsefterlevnad.
Kräv alltid MFA
Följ anvisningarna i artikeln Common Conditional Access Policy: Require MFA for all users to require your specialized security level users to always perform multifactor authentication ( Vanliga principer för villkorsstyrd åtkomst): Kräv MFA för att alla användare ska kräva att dina specialiserade användare på säkerhetsnivå alltid utför multifaktorautentisering.
Varning
När du konfigurerar principen väljer du den grupp som kräver särskild säkerhet och använder den i stället för att välja Alla användare.
Nästa steg
Läs mer om principrekommendationer för gästanvändare och externa användare
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för