Поделиться через

Требовать устойчивую к фишингу многофакторную аутентификацию для администраторов

  • Статья

Учетные записи, которым назначены привилегированные административные роли, являются частыми целями злоумышленников. Требование фишингобезопасной многофакторной проверки подлинности (MFA) на этих учетных записях является простым способом снижения риска компрометации этих учетных записей.

Внимание

Прежде чем создавать политику, требующую многофакторную аутентификацию с защитой от фишинга, убедитесь, что у администраторов зарегистрированы соответствующие методы. Если включить эту политику, не завершив этот шаг, вы рискуете заблокировать себе доступ к вашему тенанту. Администраторы могут настроить временный проход доступа для регистрации методов проверки подлинности без пароля или выполнить действия, описанные в разделе "Регистрация ключа доступа( FIDO2)".

Корпорация Майкрософт рекомендует использовать многофакторную проверку подлинности, устойчивую к фишингу, как минимум, для следующих ролей:

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Организации могут включать или исключать роли в соответствии с собственными требованиями.

Организации могут использовать эту политику в сочетании с такими функциями, как управление привилегированными пользователями (PIM) и его способность требовать многофакторную проверку подлинности для активации ролей.

Надежность проверки подлинности

Руководство, приведенное в этой статье, помогает вашей организации создать политику MFA для вашей среды, используя сильные стороны аутентификации. Идентификатор Microsoft Entra предоставляет три встроенных преимущества проверки подлинности:

  • Уровень многофакторной проверки подлинности (менее строгий)
  • Уровень безопасности MFA без пароля
  • уровень защиты от фишинга MFA (самый строгий) рекомендуемый в данной статье

Вы можете использовать одну из встроенных сильных сторон или создать настраиваемую силу проверки подлинности на основе необходимых методов проверки подлинности.

В сценариях внешнего пользователя методы проверки подлинности MFA, которые клиент ресурсов может принимать, зависят от того, выполняет ли пользователь MFA в своем домашнем клиенте или в клиенте ресурса. Дополнительные сведения см. в разделе "Надежность проверки подлинности для внешних пользователей".

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи для аварийного вмешательства, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и принципы обслуживания, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными принципалами, не блокируются политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочих процессов, чтобы определить политики, применяемые к служебным принципалам.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Предупреждение

Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления " Требовать многофакторную проверку подлинности ".

  1. Войдите в Центр администрирования Microsoft Entra как минимум как Администратор условного доступа.
  2. Перейдите к Entra ID>условного доступа>политикам.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".

    1. В разделе Включить выберите роли каталога и отметьте, как минимум, ранее перечисленные роли.

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются для других типов ролей, таких как административные единицы с ограниченной областью действия или настраиваемые роли.

    2. В разделе Исключить выберите Пользователи и группы, а затем выберите аварийные учетные записи вашей организации или учетные записи для экстренного доступа.

  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>ВыберитеВсе ресурсы (ранее "Все облачные приложения").
  7. В разделе "Управление доступом>Предоставление" выберите "Предоставить доступ".
    1. Выберите "Требуемая степень защиты при аутентификации", затем выберите из списка степень MFA, устойчивую к фишингу.
    2. Нажмите кнопку "Выбрать".
  8. Подтвердите параметры и установите Политику включения в режим Только отчет.
  9. Нажмите кнопку "Создать", чтобы включить политику.

После того, как администраторы оценивают параметры политики с помощью режима воздействия или режима только отчета, они могут переместить переключатель Включить политику из Только отчет на Вкл.

Связанный контент