Требовать многофакторную проверку подлинности для всех пользователей

Как и Алекс Вайнерт, директор по безопасности удостоверений Майкрософт, упоминается в своем блоге Your Pa$$word не имеет значения:

Ваш пароль не важен в отличие от многофакторной проверки подлинности (MFA)! Согласно нашим исследованиям применение MFA позволяет снизить вероятность компрометации вашей учетной записи более чем на 99,9 %.

Надежность проверки подлинности

Руководство, приведенное в этой статье, помогает вашей организации создать политику MFA для вашей среды с помощью сильных сторон проверки подлинности. Идентификатор Microsoft Entra предоставляет три встроенных преимущества проверки подлинности:

  • Уровень многофакторной проверки подлинности (менее строгий) рекомендуется в этой статье
  • Сила MFA без пароля
  • Устойчивость к фишингу MFA (самая строгая)

Вы можете использовать одну из встроенных сильных сторон или создать настраиваемую силу проверки подлинности на основе необходимых методов проверки подлинности.

В сценариях внешнего пользователя методы проверки подлинности MFA, которые клиент ресурсов может принимать, зависят от того, выполняет ли пользователь MFA в своем домашнем клиенте или в клиенте ресурса. Дополнительные сведения см. в разделе "Надежность проверки подлинности для внешних пользователей".

Пользовательские исключения

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.

Развертывание шаблона

Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.

Создание политики условного доступа

Ниже описано, как создать политику условного доступа, чтобы все пользователи использовали многофакторную проверку подлинности с помощью политики надежности проверки подлинности.

Предупреждение

Если вы используете внешние методы проверки подлинности, они в настоящее время несовместимы с силой проверки подлинности и следует использовать элемент управления "Требовать многофакторную проверку подлинности".

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к политикам условного доступа>защиты>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе " Исключить " выберите "Пользователи" и "Группы " и выберите учетные записи аварийного доступа вашей организации или учетные записи с разрывом.
      1. Вы можете исключить гостевых пользователей, если вы нацелены на них с помощью политики гостевых пользователей.
  6. В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включите все ресурсы (ранее — "Все облачные приложения").
    1. В разделе Исключить выберите приложения, которые не требуют многофакторной проверки подлинности.
  7. В разделе Управление доступом>Предоставить разрешение выберите Предоставить доступ.
    1. Выберите "Требовать надежность проверки подлинности", а затем выберите встроенную силу многофакторной проверки подлинности из списка.
    2. Выберите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
  9. Нажмите Создать, чтобы создать и включить политику.

После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.

Именованные расположения

Организации могут выбрать включение известных сетевых расположений, известных как именованные расположения в политиках условного доступа. Эти именованные расположения могут включать доверенные IP-сети, такие как для основного расположения офиса. Дополнительные сведения о настройке именованных расположений см. в статье "Что такое условие расположения в условном доступе Microsoft Entra?

В предыдущем примере политики организация может не требовать многофакторной проверки подлинности при доступе к облачному приложению из корпоративной сети. При этом они могли добавить в политику следующую конфигурацию:

  1. В разделе "Назначения" выберите "Сеть".
    1. Выберите Да.
    2. Включите любую сеть или расположение.
    3. Исключите все доверенные сети и расположения.
  2. Сохраните изменения политики.

Исключения приложений

Организации могут использовать множество облачных приложений. Не все эти приложения требуют равной безопасности. Например, приложения заработной платы и посещаемости могут требовать MFA, но кафетерия, вероятно, не имеет. Администраторы могут исключать определенные приложения из политики.

Активация подписки

Организации, использующие функцию активации подписки, чтобы пользователи могли "шагнуть" из одной версии Windows в другую и использовать политики условного доступа для управления доступом, чтобы исключить одно из следующих облачных приложений из политик условного доступа с помощью выбора исключенных облачных приложений:

Хотя идентификатор приложения совпадает в обоих экземплярах, имя облачного приложения зависит от клиента.

Если устройство находится в автономном режиме в течение длительного периода времени, оно может не активироваться автоматически, если это исключение условного доступа не выполняется. Установка этого исключения условного доступа гарантирует, что активация подписки продолжает работать без проблем.

Начиная с Windows 11 версии 23H2 с KB5034848 или более поздней, пользователям предлагается выполнить проверку подлинности с всплывающее уведомление, когда активация подписки должна быть повторно активирована. Всплывающее уведомление отображает следующее сообщение:

Для вашей учетной записи требуется проверка подлинности

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Кроме того, в области активации может появиться следующее сообщение:

Войдите в рабочую или учебную учетную запись, чтобы проверить вашу информацию.

Запрос на проверку подлинности обычно возникает, когда устройство находится в автономном режиме в течение длительного периода времени. Это изменение устраняет необходимость исключения в политике условного доступа для Windows 11 версии 23H2 с KB5034848 или более поздней. Политика условного доступа по-прежнему может использоваться с Windows 11 версии 23H2 с KB5034848 или более поздней, если запрос на проверку подлинности пользователя с помощью всплывающего уведомления не требуется.