Требовать многофакторную проверку подлинности для гостевого доступа

Требовать многофакторную проверку подлинности гостевых пользователей при доступе к ресурсам организации. Некоторые организации могут быть готовы перейти к более строгим методам проверки подлинности для своих гостевых пользователей. Эти организации могут выбрать реализацию такой политики, как описано в статье "Требовать многофакторную надежность проверки подлинности для внешних пользователей".

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи для аварийного доступа, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаций рабочих нагрузок, чтобы определить политики, нацеленные на служебные принципы.
  • Если в вашей организации используются эти учетные записи в сценариях или коде, попробуйте заменить их управляемыми удостоверениями.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора условного доступа.
2. Перейдите ко Entra ID>условного доступа>политикам.
3. Выберите новую политику.
4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
5. В разделе "Назначения" выберите "Пользователи" или "Удостоверения рабочей нагрузки".
   1. В разделе "Включить" выберите "Все гостевые и внешние пользователи"
   2. В разделе Исключить выберите Пользователи и группы и выберите учетные записи аварийного доступа вашей организации или учетные записи для экстренного доступа.
6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>выберитеВсе ресурсы (ранее 'Все облачные приложения').
   1. В разделе "Исключить" выберите все приложения, которые не требуют многофакторной проверки подлинности.
7. В разделе Управление доступом>Предоставление, выберите «Предоставить доступ», «Требовать многофакторную аутентификацию» и выберите «Выбрать».
8. Подтвердите параметры и установите Включить политику на Только отчёт.
9. Нажмите кнопку "Создать", чтобы включить политику.

После того как администраторы оценят параметры политики, используя режим влияния политики или только отчет, они могут переключить переключатель 'Включить политику' из положения 'Только отчет' в положение 'Вкл'.

Следующие шаги

Шаблоны условного доступа

Используйте режим только для условного доступа, чтобы определить результаты новых решений политики.