Требовать многофакторную проверку подлинности для всех пользователей

Обзор

Как Алекс Вайнерт, директор по безопасности идентификационных данных компании Майкрософт, упоминает в своем блоге Your Pa$$word не имеет значения:

Ваш пароль не имеет значения, а вот многофакторная аутентификация важна! Согласно нашим исследованиям применение MFA позволяет снизить вероятность компрометации вашей учетной записи более чем на 99,9 %.

Надежность проверки подлинности

Руководство, приведенное в этой статье, помогает вашей организации создать политику MFA для вашей среды с помощью возможностей аутентификации. Microsoft Entra ID предоставляет три встроенные преимущества проверки подлинности:

• Уровень многофакторной проверки подлинности (менее строгий) рекомендуется в этой статье
• Надежность многофакторной аутентификации без пароля
• Уровень безопасности многофакторной аутентификации, устойчивой к фишингу (самый строгий)

Вы можете использовать одну из встроенных сильных сторон или создать настраиваемую силу проверки подлинности на основе необходимых методов проверки подлинности.

В сценариях внешнего пользователя методы проверки подлинности MFA, которые клиент ресурсов может принимать, зависят от того, выполняет ли пользователь MFA в своем домашнем клиенте или в клиенте ресурса. Дополнительные сведения см. в разделе "Надежность проверки подлинности для внешних пользователей".

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

• Аварийный доступ или экстренные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Дополнительные сведения можно найти в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
• учетные записи сервисов и сервисных принципалов, например: учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.
  • Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.

Создание политики условного доступа

Следующие шаги помогут создать политику условного доступа, требуя от всех пользователей выполнения многофакторной аутентификации, используя политику надёжности аутентификации, без каких-либо исключений для приложений.

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.

2. Перейдите к Entra ID>условному доступу>политикам.

3. Выберите Новая политика.

4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.

5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

   1. В разделе Включить выберите Все пользователи.
   2. В разделе " Исключить":
      1. Выберите Пользователи и группы
         1. Выберите учетные записи экстренного или аварийного доступа вашей организации.
         2. Если вы используете решения гибридного удостоверения, такие как Microsoft Entra Connect или Microsoft Entra Connect Cloud Sync, выберите Роли директории, затем выберите Учетные записи синхронизации каталога
      2. Вы можете исключить гостевых пользователей, если вы применяете к ним специализированную политику для гостевых пользователей.

6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>, включитевсе ресурсы (ранее «Все облачные приложения»).

   Совет

   Корпорация Майкрософт рекомендует всем организациям создать базовую политику условного доступа, которая предназначена для всех пользователей, всех ресурсов без исключений приложений и требует многофакторной проверки подлинности.

7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.

   1. Выберите "Требовать надежность проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
   2. Выбрать Выбрать.

8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.

9. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Названные места

Организации могут решить включить известные сетевые расположения, называемые именованными расположениями, в свои политики условного доступа. Эти именованные расположения могут включать доверенные IP-сети, например, используемые в основном офисе. Дополнительные сведения о настройке именованных расположений см. в статье Что такое условие расположения в условном доступе Microsoft Entra?

В предыдущем примере политики организация может не требовать многофакторной проверки подлинности при доступе к облачному приложению из корпоративной сети. При этом они могли добавить в политику следующую конфигурацию:

1. В разделе "Назначения" выберите "Сеть".
   1. Выберите Да.
   2. Включите любую сеть или местоположение.
   3. Исключите все доверенные сети и местоположения.
2. Сохраните изменения политики.

Связанный контент

• Шаблоны условного доступа
• Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.
• активация подписки Windows
• Настройка параметров доступа между клиентами