常見的條件式存取原則:要求管理員進行防網釣魚多重要素驗證
獲指派高特殊管理權限的帳戶是攻擊者的常見目標。 在這些帳戶上 (MFA) 要求防網路釣魚多重要素驗證,是降低這些帳戶遭到入侵風險的簡單方法。
警告
在建立需要防網路釣魚多重要素驗證的原則之前,請確定您的系統管理員已註冊適當的方法。 如果您啟用此原則而未完成此步驟,則有可能將自己鎖在租用戶之外。
Microsoft 建議您至少要求下列角色進行防網路釣魚多重要素驗證:
- 全域管理員
- 應用程式系統管理員
- 驗證管理員
- 計費管理員
- 雲端應用程式系統管理員
- 條件式存取系統管理員
- Exchange 系統管理員
- 服務台系統管理員
- 密碼管理員
- 特殊權限驗證管理員
- 特殊權限角色管理員
- 安全性系統管理員
- Sharepoint 系統管理員
- 使用者管理員
組織可以選擇在適當情況下包含或排除角色。
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
- 緊急存取或急用帳戶,以防止整個租用戶帳戶鎖定。 雖然不太可能發生,但如果所有管理員都遭到鎖定而無法使用租用戶,緊急存取系統管理帳戶就可以用來登入租用戶,以採取存取權復原步驟。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
- [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。
範本部署
組織可以選擇使用下面所述的步驟來部署此原則,或使用條件式存取範本。
建立條件式存取原則
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[條件式存取]>[原則]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
在 [包含] 底下,選取 [目錄角色],然後選擇至少先前列出的角色。
在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
- 在 [目標資源]>[雲端應用程式]>[包含] 底下,選取 [所有雲端應用程式]。
- 在 [存取控制]>[授與] 底下選取 [授與存取權] 和 [需要驗證強度],選取[防網路釣魚多重要素驗證],然後選取 [選取]。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
相關內容
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: