Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Учетные записи с привилегированными административными ролями являются частыми целями злоумышленников. Требование фишингобезопасной многофакторной проверки подлинности (MFA) для этих учетных записей снижает риск компрометации.
Внимание
Прежде чем создавать политику, требующую устойчивую к фишингу многофакторную аутентификацию, убедитесь, что администраторы зарегистрировали соответствующие методы. Включение этой политики без выполнения этого шага может привести к блокировке вашего тенанта. Администраторы могут настроить временный проход доступа для регистрации методов проверки подлинности без пароля или выполнить действия, описанные в регистрации ключа доступа (FIDO2).
Корпорация Майкрософт рекомендует требовать многофакторную проверку подлинности с защитой от фишинга по крайней мере для следующих ролей:
- глобальный администратор
- Администратор приложений
- Администратор проверки подлинности
- администратора выставления счетов;
- Администратор облачных приложений
- Администратор условного доступа
- Администратор Exchange
- Администратор службы технической поддержки
- Администратор паролей
- Привилегированный администратор проверки подлинности
- Администратор привилегированных ролей
- Администратор безопасности
- Администратор SharePoint
- Администратор пользователей
Организации могут включать или исключать роли в зависимости от их требований.
Организации могут использовать эту политику с такими функциями, как управление привилегированными удостоверениями (PIM), что позволяет требовать многофакторную проверку подлинности для активации ролей.
Надежность проверки подлинности
Эта статья поможет вашей организации разработать политику MFA в вашей среде с помощью сильных методов аутентификации. Идентификатор Microsoft Entra предлагает три встроенных преимущества проверки подлинности:
- Уровень многофакторной проверки подлинности (менее строгий)
- Уровень безопасности MFA без пароля
- Устойчивость MFA к фишинг-атакам (наиболее строгая), рекомендована в этой статье
Используйте одну из встроенных сильных сторон или создайте настраиваемую силу проверки подлинности на основе необходимых методов проверки подлинности.
В сценариях внешнего пользователя методы проверки подлинности MFA, которые клиент ресурсов принимает, зависят от того, завершает ли пользователь MFA в домашнем клиенте или в клиенте ресурса. Дополнительные сведения см. в разделе "Надежность проверки подлинности для внешних пользователей".
Пользовательские исключения
Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:
-
Аварийный доступ или учетные записи для аварийного вмешательства, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
- Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
-
Учетные записи служб и принципы обслуживания, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые служебными принципалами, не блокируются политиками условного доступа, предназначенными для пользователей. Используйте условный доступ для рабочих идентификаторов, чтобы определить политики, предназначенные для сервисных субъектов.
- Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.
Создание политики условного доступа
Предупреждение
При использовании внешних методов проверки подлинности эти методы в настоящее время несовместимы с преимуществами проверки подлинности. Вместо этого используйте элемент управления " Требовать многофакторную проверку подлинности ".
- Войдите в Центр администрирования Microsoft Entra как минимум как Администратор условного доступа.
- Перейдите к Entra ID>условного доступа>политикам.
- Выберите новую политику.
- Назовите политику. Создайте значимый стандарт именования для политик вашей организации.
- В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
В разделе Включить выберите роли каталога и отметьте, как минимум, ранее перечисленные роли.
Предупреждение
Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются для других типов ролей, включая роли с ограничением на административные единицы или пользовательские роли.
В области Исключить, выберите "Пользователи и группы", и выберите учетные записи аварийного доступа или экстренного доступа вашей организации.
- В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>ВыберитеВсе ресурсы (ранее "Все облачные приложения").
- В разделе "Управление доступом>Предоставление" выберите "Предоставить доступ".
- Выберите "Требуемая степень защиты при аутентификации", затем выберите из списка степень MFA, устойчивую к фишингу.
- Нажмите кнопку "Выбрать".
- Подтвердите параметры и установите Политику включения на Только отчеты.
- Нажмите кнопку "Создать", чтобы включить политику.
После подтверждения параметров с помощью режима влияния политики или режима только для отчета переведите переключатель "Включить политику" с положения Только отчет на Включено.
Связанный контент
- Встроенные роли Microsoft Entra
- Шаблоны условного доступа
- Узнайте, как настроить параметры ролей Microsoft Entra в службе "Управление привилегированными пользователями".