Поделиться через

Требовать многофакторную проверку подлинности для регистрации устройства

  • Статья

Используйте действие пользователя условного доступа для принудительного применения политики при регистрации или присоединении устройств к идентификатору Microsoft Entra. Этот элемент управления обеспечивает детализацию при настройке многофакторной проверки подлинности для регистрации или присоединения устройств вместо политики на уровне клиента, которая в настоящее время существует. Администраторы могут настроить эту политику в соответствии с потребностями безопасности организации.

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи для экстренного входа, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и служебные аккаунты, например учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными принципалами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, нацеленные на основные службы.

Создание политики условного доступа

Предупреждение

Если вы используете внешние методы проверки подлинности, эти методы в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления " Требовать многофакторную проверку подлинности ".

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор условного доступа.
  2. Перейдите к Entra ID>условного доступа>политикам.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "учетные записи рабочих нагрузок".
    1. В разделе "Включить" выберите "Все пользователи".
    2. В разделе Исключить выберите пользователей и группы и выберите учетные записи аварийного доступа вашей организации или учетные записи break-glass.
  6. В разделе " Действия пользователей целевых ресурсов>" выберите "Регистрация или присоединение устройств".
  7. В разделе "Контроль доступа>Предоставление", выберите "Предоставить доступ".
    1. Выберите "Требовать силу проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
    2. Нажмите кнопку "Выбрать".
  8. Подтвердите параметры и установите Политику включения в режим только отчет.
  9. Нажмите кнопку "Создать", чтобы включить политику.

После того как администраторы оценивают параметры политики с помощью режимов воздействия политики или только отчетов, они могут переместить переключатель "Включить политику" из "только отчет" в "Вкл".

Предупреждение

Если политика условного доступа настроена с помощью действия пользователя "Регистрация или присоединение устройств", необходимо задать Entra ID>устройства>Обзор>Параметры устройств - Require Multifactor Authentication to register or join devices with Microsoft Entra на "Нет". В противном случае политики условного доступа с этим действием пользователя не применяются должным образом. Дополнительные сведения об этом параметре устройства см. в разделе "Настройка параметров устройства".

Снимок экрана: требование многофакторной проверки подлинности для регистрации или присоединения устройств с помощью элемента управления Microsoft Entra для отключения.

Связанный контент