Dela via

Skydda registrering av säkerhetsinformation med princip för villkorsstyrd åtkomst

Det är möjligt att skydda när och hur användare registrerar sig för Microsoft Entra multifaktorautentisering och självbetjänad återställning av lösenord med hjälp av användaråtgärder i en villkorsstyrd åtkomstprincip. Den här funktionen är tillgänglig för organisationer som aktiverar kombinerad registrering. Med den här funktionen kan organisationer hantera registreringsprocessen som alla program i en princip för villkorsstyrd åtkomst och använda den fullständiga kraften i villkorlig åtkomst för att skydda upplevelsen. Användare som loggar in på Microsoft Authenticator-appen eller aktiverar lösenordslös telefoninloggning omfattas av den här principen.

Vissa organisationer tidigare kan ha använt betrodd nätverksplats eller enhetsefterlevnad som ett sätt att skydda registreringsupplevelsen. Med tillägg av tillfälligt åtkomstpass i Microsoft Entra-ID kan administratörer tillhandahålla tidsbegränsade autentiseringsuppgifter till sina användare som gör att de kan registrera sig från valfri enhet eller plats. Autentiseringsuppgifter för tillfälligt åtkomstpass uppfyller kraven för villkorsstyrd åtkomst för multifaktorautentisering.

Användarundantag

Principer för villkorlig åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från dina principer:

  • Nödåtkomst eller break-glass-konton (akutkonton) för att förhindra utelåsning på grund av felkonfiguration av policyer. I det osannolika scenariot där alla administratörer är utelåst kan ditt administratörskonto för akut åtkomst användas för att logga in och återställa åtkomst.
  • Tjänstkonton och tjänstens huvudnamn, till exempel Microsoft Entra Connect Sync-kontot. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon specifik användare. De används vanligtvis av serverdelstjänster för att tillåta programmatisk åtkomst till program, men de används också för att logga in på system för administrativa ändamål. Anrop som görs av tjänstens huvudnamn blockeras inte av principer för villkorsstyrd åtkomst som är begränsade till användare. Använd villkorlig åtkomst för arbetsbelastningsidentiteter för att definiera principer som är avsedda för tjänstens huvudnamn.
    • Om din organisation använder dessa konton i skript eller kod ersätter du dem med hanterade identiteter.

Mallutplacering

Organisationer kan distribuera den här principen genom att följa stegen nedan eller med hjälp av mallarna för villkorsstyrd åtkomst.

Skapa en princip för att skydda registreringen

Följande princip gäller för de valda användare som försöker registrera sig med hjälp av den kombinerade registreringsupplevelsen. Principen kräver att användare som inte är i ett betrott nätverk utför multifaktorautentisering. Användare från betrodda nätverk undantas från den här principen.

Varning

Om du använder externa autentiseringsmetoderär dessa för närvarande inte kompatibla med autentiseringsstyrkan och du bör använda Kräv multifaktorautentisering bevilja kontroll.

  1. Logga in på Microsoft Entra Admincenter som minst en Villkorsstyrd åtkomst-administratör.
  2. Bläddra till Entra-ID>Villkorsstyrd åtkomst>Principer.
  3. Välj Ny princip.
  4. I Namn anger du ett namn för den här principen. Till exempel Kombinerad registrering av säkerhetsinformation med TAP.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.

    1. Under Inkludera väljer du Alla användare.

      Varning

      Användare måste vara aktiverade för den kombinerade registreringen.

    2. Under Exkludera.

      1. Välj Alla gästanvändare och externa användare.

        Anteckning

        Tillfälligt åtkomstpass fungerar inte för gästanvändare.

      2. Välj Användare och grupper och välj organisationens konton för nödåtkomst eller break-glass-konton.

  6. Under Målresurser>Användaråtgärder kontrollerar du Registrera säkerhetsinformation.
  7. Under villkor>platser.
    1. Ställ in KonfigureraJa.
      1. Inkludera valfri plats.
      2. Exkludera alla betrodda platser.
  8. Under Åtkomstkontroller>Bevilja väljer du Bevilja åtkomst.
    1. Välj Kräv autentiseringsstyrka och välj sedan lämplig inbyggd eller anpassad autentiseringsstyrka i listan.
    2. Välj Välj.
  9. Bekräfta inställningarna och ställ in Aktivera policyn till Endast rapport.
  10. Välj Skapa för att skapa och aktivera din policy.

När du har bekräftat dina inställningar med hjälp av princippåverkan eller rapportläge flyttar du växlingsknappen Aktivera princip från Endast rapport till .

Administratörer måste utfärda autentiseringsuppgifter för tillfälligt åtkomstpass till nya användare så att de kan uppfylla kraven för multifaktorautentisering för registrering. Steg för att utföra den här uppgiften finns i avsnittet Skapa ett tillfälligt åtkomstpass i administrationscentret för Microsoft Entra.

Organisationer kan välja att kräva andra beviljandekontroller med eller i stället för Kräv multifaktorautentisering i steg 8a. När du väljer flera kontroller, se till att välja rätt alternativknapp för att kräva alla eller en av de valda kontrollerna när du gör den här ändringen.

Registrering av gästanvändare

För gästanvändare som behöver registrera sig för multifaktorautentisering i din katalog kan du välja att blockera registrering utanför betrodda nätverksplatser med hjälp av följande guide.

  1. Logga in på Microsoft Entra Admincenter som minst en Villkorsstyrd åtkomst-administratör.
  2. Bläddra till Entra-ID>Villkorsstyrd åtkomst>Principer.
  3. Välj Ny princip.
  4. I Namn anger du ett namn för den här principen. Till exempel kombinerad registrering av säkerhetsinformation i betrodda nätverk.
  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
    1. Under Inkludera väljer du Alla gästanvändare och externa användare.
  6. Under Målresurser>Användaråtgärder kontrollerar du Registrera säkerhetsinformation.
  7. Under villkor>platser.
    1. Konfigurera Ja.
    2. Inkludera valfri plats.
    3. Exkludera alla betrodda platser.
  8. Under Åtkomstkontroller>Beviljan.
    1. Välj Blockera åtkomst.
    2. Välj sedan Välj.
  9. Bekräfta inställningarna och ställ in Aktivera policyn till Endast rapport.
  10. Välj Skapa för att skapa och aktivera din policy.

När du har bekräftat dina inställningar med hjälp av princippåverkan eller rapportläge flyttar du växlingsknappen Aktivera princip från Endast rapport till .

Relaterat innehåll