Поделиться через

Требовать многофакторную проверку подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт

  • Статья

Корпорация Майкрософт рекомендует защитить доступ к любым порталам администрирования Майкрософт, таким как Microsoft Entra, Microsoft 365, Exchange и Azure. С помощью приложений Microsoft Admin Portals организации могут управлять интерактивным доступом к порталам администрирования Майкрософт.

Корпорация Майкрософт рекомендует использовать многофакторную проверку подлинности, устойчивую к фишингу, как минимум, для следующих ролей:

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или резервные учетные записи, чтобы предотвратить блокировку из-за ошибок в настройке политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и сервисные объекты, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, идущие от служебных принципалов, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для управления идентификаторами рабочих нагрузок, чтобы задать политики, направленные на служебные принципы.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

  1. Войдите в Центр администрирования Microsoft Entra в роли администратора условного доступа или выше.
  2. Перейдите к идентификатору Entra>условного доступа>политики.
  3. Выберите новую политику.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".

    1. В разделе "Включить" выберите роли каталога и выберите по крайней мере ранее перечисленные роли.

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются для других типов ролей, включая роли, ограниченные административными единицами или настраиваемые роли.

    2. В разделе "Исключить" выберите "Пользователи" и "Группы" и выберите учетные записи аварийного доступа вашей организации или учетные записи с разрывом.

  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>в разделе "Включить", в пункте Выбор ресурсов, выберите порталы администрирования Microsoft.
  7. В разделе "Предоставлениедоступа>" выберите "Предоставить доступ", "Требовать силу проверки подлинности", выберите многофакторную проверку подлинности, а затем нажмите кнопку "Выбрать".
  8. Подтвердите параметры и установите включение политики на режим только отчет.
  9. Нажмите кнопку "Создать", чтобы включить политику.

После того как администраторы оценивают параметры политики с помощью режима влияния политики или режима только отчета, они могут переместить переключатель " Включить политику " из " Только отчет " в "Вкл".

Связанный контент