通过

要求管理员进行防网络钓鱼多重身份验证

具有特权管理角色的帐户是攻击者的常见目标。 要求这些帐户进行防钓鱼多重身份验证(MFA),可降低泄露风险。

注意

在创建需要网络钓鱼多重身份验证的策略之前,请确保管理员注册适当的方法。 在不完成此步骤的情况下启用此策略可能会将你锁定在租户外。 管理员可以 配置临时访问传递来注册无密码身份验证方法 ,或按照 注册密码密钥(FIDO2)中的步骤作。

Microsoft建议至少需要以下角色进行防钓鱼多重身份验证:

  • 全局管理员角色
  • 应用程序管理员
  • 身份验证管理员
  • 计费管理员
  • 云应用管理员
  • 条件访问管理员
  • Exchange 管理员
  • 支持管理员
  • 密码管理员
  • 特权身份验证管理员
  • 特权角色管理员
  • 安全管理员
  • SharePoint 管理员
  • 用户管理员

组织可以根据自己的要求包括或排除角色。

组织可以将此策略与 Privileged Identity Management(PIM)等功能一起使用,这样就可以 要求 MFA 才能激活角色

身份验证强度

本文可帮助组织使用身份验证强度为环境创建 MFA 策略。 Microsoft Entra ID 提供三 种内置身份验证优势

  • 多重身份验证强度(限制较少)
  • 无密码的多因素身份验证强度
  • 本文中推荐的防钓鱼 MFA 强度(限制性最强)

使用一种内置优势,或根据所需的身份验证方法创建自定义 身份验证强度

对于外部用户方案,资源租户接受的 MFA 身份验证方法因用户在其主租户或资源租户中完成 MFA 而异。 有关详细信息,请参阅外部用户的身份验证强度

用户排除项

条件访问策略是功能强大的工具。 建议从策略中排除以下帐户:

  • “紧急访问”帐户或“应急”帐户,用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下,紧急访问管理帐户可用于登录和恢复访问权限。
  • 服务帐户服务主体,例如 Microsoft Entra Connect 同步帐户。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序,但它们也用于登录系统以实现管理目的。 由服务主体发出的调用不受范围限定为用户的条件访问策略阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
    • 如果你的组织在脚本或代码中使用这些帐户,请将这些帐户替换为 托管标识

模板部署

组织可以按照下面所述的步骤或使用 条件访问模板部署此策略。

创建条件访问策略

警告

如果使用 外部身份验证方法,这些方法当前与身份验证强度不兼容。 请改用 “需要多重身份验证 ”授予控制。

  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心
  2. 请导航到 Entra ID>条件访问>策略
  3. 选择“新策略”
  4. 为策略命名。 为组织的策略创建有意义的命名标准。
  5. 在“分配”下,选择“用户或工作负载标识”。

    1. 在“包括”下,选择“目录角色”并至少选择之前列出的角色。

      警告

      条件访问策略支持内置角色。 对于其他角色类型(包括 管理单元范围自定义角色),不会强制实施条件访问策略。

    2. 在“ 排除”下,选择 “用户和组”,然后选择组织的紧急访问或中断帐户。

  6. 在“目标资源”>“资源(以前为云应用)”>“包括”下,选择“所有资源(以前为‘所有云应用’)”。
  7. 在“访问控制”“授予”下,选择“授予访问权限”。>
    1. 选择要求身份验证强度,然后从列表中选择防钓鱼 MFA 强度
    2. 选择“选择”
  8. 确认设置,并将 “启用策略 ”设置为 “仅报告”。
  9. 选择“ 创建 ”以启用策略。

使用 策略影响或仅报告模式确认设置后,将 “启用策略 ”切换从 “仅报告 ”移动到 打开”。

相关内容