Поделиться через

Требовать многофакторную проверку подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт

  • Статья

Корпорация Майкрософт рекомендует защитить доступ к любым порталам администрирования Майкрософт, таким как Microsoft Entra, Microsoft 365, Exchange и Azure. С помощью приложений Microsoft Admin Portals организации могут управлять интерактивным доступом к порталам администрирования Майкрософт.

Корпорация Майкрософт рекомендует использовать многофакторную проверку подлинности, устойчивую к фишингу, как минимум, для следующих ролей:

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.

    1. В разделе "Включить" выберите роли каталога и выберите по крайней мере ранее перечисленные роли.

      Предупреждение

      Политики условного доступа поддерживают встроенные роли. Политики условного доступа не применяются к ролям других типов, включая роли административных единиц или пользовательские роли.

    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.

  6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включите, выберите ресурсы, выберите порталы администрирования Майкрософт.
  7. В разделе "Предоставление доступа>" выберите "Предоставить доступ", "Требовать силу проверки подлинности", выберите многофакторную проверку подлинности, а затем нажмите кнопку "Выбрать".
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Связанный контент