Microsoft 建議保護任何 Microsoft 管理入口網站的存取權,例如 Microsoft Entra、Microsoft 365、Exchange 和 Azure。 使用 Microsoft 管理入口網站 應用程式組織可以控制Microsoft管理入口網站的互動式存取。
Microsoft 建議您至少要求下列角色進行防網釣多重驗證:
- 全域管理員
- 應用程式系統管理員
- 驗證管理員
- 計費管理員
- 雲端應用程式系統管理員
- 條件式存取系統管理員
- Exchange 系統管理員
- 服務台系統管理員
- 密碼管理員
- 特殊權限驗證管理員
- 特殊權限角色管理員
- 安全性系統管理員
- Sharepoint 系統管理員
- 使用者管理員
使用者排除
條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶:
-
緊急存取 或 破窗帳戶 ,以防止因為原則設定錯誤導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下,您的緊急存取系統管理帳戶可用來登入和復原存取權。
- 如需詳細資訊,請參閱 管理Microsoft Entra標識符中的緊急存取帳戶一文。
-
服務帳戶 和 服務主體,例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式,但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請將其取代 為受控識別。
範本部署
組織可以遵循下列步驟,或使用 條件式存取範本來部署此原則。
建立條件式存取原則
- 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取>原則。
- 選取 新政策。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
在 [包含] 下,選取 [目錄角色],然後選擇至少先前列出的角色。
在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或備援帳戶。
- 在
目標資源 資源(以前稱為雲端應用程式) 包含 ,選取資源 ,選取Microsoft 系統管理入口網站 。 - 在 [存取控制]>[授與] 底下,選取 [授與存取權],然後選取 [需要驗證強度],選擇 [多重要素驗證],最後選取 [選取]。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 建立 以啟用您的原則。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。