Поделиться через


Этап 1. Повышение безопасности входа для гибридных рабочих ролей с помощью MFA

Чтобы повысить безопасность входа гибридных рабочих ролей, используйте многофакторную проверку подлинности (MFA). В MFA для входа в систему кроме пароля учетной записи пользователя необходимо использовать дополнительные проверки. Даже если злонамеренный пользователь определит пароль учетной записи пользователя, до получения доступа он должен пройти дополнительные проверки, например ответить на текстовые сообщения, отправленные на смартфон.

Правильный пароль и дополнительная проверка обеспечивают успешный вход.

Для всех пользователей, в том числе для гибридных рабочих ролей и особенно для администраторов, корпорация Майкрософт настоятельно рекомендует использование MFA.

Обеспечить применение пользователями MFA на основе плана Microsoft 365 можно тремя способами.

План Рекомендация
Все планы Microsoft 365 (без лицензий Microsoft Entra ID P1 или P2) Включите параметры безопасности по умолчанию в идентификаторе Microsoft Entra. Параметры безопасности по умолчанию в идентификаторе Microsoft Entra включают MFA для пользователей и администраторов.
Microsoft 365 E3 (включает лицензии Microsoft Entra ID P1) Используйте Общие политики условного доступа для настройки указанных ниже политик.
- Обязательное использование MFA для администраторов
- Обязательное использование MFA для всех пользователей
- Блокирование традиционной проверки подлинности
Microsoft 365 E5 (включает лицензии Microsoft Entra ID P2) Используя преимущества функции Microsoft Entra id, начните реализовывать рекомендуемый корпорацией Майкрософт набор условного доступа и связанные политики, такие как:
— требуется MFA, если риск входа средний или высокий.
— блокировка клиентов, которые не поддерживают современную проверку подлинности.
— требуется, чтобы пользователи с высоким риском меняли свой пароль.

Параметры безопасности по умолчанию

Параметры безопасности по умолчанию — новая функция в платных и пробных подписках Microsoft 365 и Office 365, появившаяся после 21 октября 2019 г. Эти подписки имеют включенные параметры безопасности по умолчанию, поэтому все пользователи должны использовать MFA с приложением Microsoft Authenticator.

На регистрацию MFA в приложении Microsoft Authenticator с помощью смартфонов у пользователей есть 14 дней с момента первого входа в систему после включения параметров безопасности по умолчанию. По истечении 14 дней пользователь не сможет войти в систему до завершения регистрации MFA.

Применение параметров безопасности по умолчанию гарантирует, что все организации имеют базовый уровень безопасности при входе пользователей в систему, включенный по умолчанию. Вы можете отключить параметры безопасности по умолчанию, если предпочитаете использовать MFA с условным доступом или для отдельных учетных записей.

Дополнительные сведения см. в статье Обзор параметров безопасности, заданных по умолчанию.

Политики условного доступа

Политики условного доступа — это набор правил, определяющих условия, в соответствии с которым оценивается и разрешается вход в систему. Например, вы можете создать политику условного доступа, которая устанавливает указанные ниже условия.

  • Если имя учетной записи пользователя является членом группы для пользователей, которым назначены роли Exchange, пользователь, пароль, безопасность, SharePoint или глобальный администратор, требуется MFA, прежде чем разрешить доступ.

Эта политика позволяет вам требовать MFA на основе членства в группах, а не пытаться настроить отдельные учетные записи пользователей для MFA, когда они назначены или не назначены из этих ролей администратора.

Кроме того, вы можете использовать политики условного доступа для более сложных функций, таких как требование выполнения входа с определенного устройства, например ноутбука с Windows 11 или 10.

Для условного доступа требуются лицензии Microsoft Entra идентификатора P1, которые входят в состав Microsoft 365 E3 и E5.

Дополнительные сведения см. в статье Обзор условного доступа.

поддержка Защита идентификации Microsoft Entra

С помощью Защита идентификации Microsoft Entra можно создать дополнительную политику условного доступа, которая гласит:

  • Если риск входа в систему определяется как средний или высокий, требуется MFA.

Защита идентификации Microsoft Entra требуются лицензии Microsoft Entra идентификатора P2, которые входят в состав Microsoft 365 E5.

Для получения дополнительной информации см. Условный доступ на основе риска.

С помощью Защита идентификации Microsoft Entra можно также создать политику, требуя от пользователей регистрации для MFA. Дополнительные сведения см. в статье Настройка политики регистрации многофакторной проверки подлинности Microsoft Entra.

Совместное использование этих методов

Учитывайте следующее:

  • Если для вас включены политики условного доступа, вы не можете включить параметры безопасности по умолчанию.
  • Если для вас включены параметры безопасности по умолчанию, вы не можете включить никакие политики условного доступа.

Если включены параметры безопасности по умолчанию, всем новым пользователям будет предложено пройти регистрацию в MFA и использовать приложение Microsoft Authenticator.

В этой таблице показаны результаты включения MFA с параметрами безопасности по умолчанию и политиками условного доступа.

Метод Включено Отключено Дополнительный метод аутентификации
Параметры безопасности по умолчанию Невозможно использовать политики условного доступа Возможно использование политик условного доступа Приложение Microsoft Authenticator
Политики условного доступа Если включена хотя бы одна из них, то включение параметров безопасности по умолчанию невозможно Если все отключены, вы можете включить настройки безопасности по умолчанию Пользователь указывает при регистрации MFA

Предоставление пользователям прав на самостоятельный сброс пароля

Самостоятельный сброс пароля (SSPR) позволяет пользователям сбрасывать собственные пароли, не обращаясь к ИТ-персоналу. Пользователи могут быстро сбрасывать свои пароли в любое время и в любом месте. Дополнительные сведения см. в статье Планирование развертывания Microsoft Entra самостоятельного сброса пароля.

Вход в приложения SaaS с помощью идентификатора Microsoft Entra

Помимо предоставления облачной проверки подлинности для пользователей, Microsoft Entra id также может быть основным способом защиты всех приложений, будь то локальные, в облаке Майкрософт или в другом облаке. Интегрируя приложения в идентификатор Microsoft Entra, вы можете упростить для гибридных рабочих ролей обнаружение необходимых приложений и безопасный вход в них.

Технические ресурсы для администраторов по MFA и удостоверениям

Результаты этапа 1

После развертывания MFA пользователи:

  • должны использовать MFA для входа в систему.
  • должны завершить процесс регистрации в MFA и использовать MFA для всех операций входа.
  • могут использовать SSPR для сброса своих паролей.

Следующий этап

Этап 2. Обеспечение удаленного доступа к локальным приложениям и службам.

Перейдите к этапу 2, чтобы обеспечить удаленный доступ к локальным приложениям и службам.