Требовать многофакторную проверку подлинности для регистрации устройства

Обзор

Используйте действие пользователя Conditional Access для применения политики при регистрации или присоединении устройств к Microsoft Entra ID. Этот элемент управления обеспечивает детализацию при настройке многофакторной проверки подлинности для регистрации или присоединения устройств вместо политики на уровне клиента, которая в настоящее время существует. Администраторы могут настроить эту политику в соответствии с потребностями безопасности организации.

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи для экстренного входа, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • учетные записи сервисов и сервисных принципалов, например: учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.

Создание политики условного доступа

Предупреждение

Если вы используете внешние методы проверки подлинности, эти методы в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления " Требовать многофакторную проверку подлинности ".

  1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к Entra ID>условного доступа>политикам.
  3. Выберите новую политику.
  4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
  5. В разделе "Назначения" выберите "Пользователи" или "учетные записи рабочих нагрузок".
    1. В разделе "Включить" выберите "Все пользователи".
    2. В разделе Исключить выберите пользователей и группы и выберите учетные записи аварийного доступа вашей организации или учетные записи break-glass.
  6. В разделе " Действия пользователей целевых ресурсов>" выберите "Регистрация или присоединение устройств".
  7. В разделе "Контроль доступа>Предоставление", выберите "Предоставить доступ".
    1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
    2. Нажмите кнопку "Выбрать".
  8. Подтвердите параметры и установите Политику включения в режим только отчет.
  9. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Предупреждение

Если политика условного доступа настроена с помощью действия пользователя Register или join devices, необходимо установить параметры Entra ID>Devices>Overview>Device Settings - Require Multifactor Authentication to register or join devices with Microsoft Entra на Нет. В противном случае политики условного доступа с этим действием пользователя не применяются должным образом. Дополнительные сведения об этом параметре устройства см. в разделе "Настройка параметров устройства".

Снимок экрана, на котором показано отключение параметра Требовать многофакторную аутентификацию для регистрации или присоединения устройств с помощью управления Microsoft Entra.

Связанный контент

  • Last updated on