概述
分配了管理权限的帐户是攻击者的目标。 要求具有这些高特权权限的用户从已标记为合规或加入Microsoft Entra混合的设备上执行操作,有助于减少可能的风险暴露。
有关设备合规性策略的详细信息,可参阅使用 Intune 在设备上设置规则以允许访问组织中的资源一文。
要求 Microsoft Entra 混合联接的设备的前提是这些设备已经是 Microsoft Entra 混合联接的。 有关详细信息,请参阅文章 配置 Microsoft Entra 混合联接。
Microsoft建议至少对以下角色进行防钓鱼多重身份验证:
- 全局管理员
- 应用程序管理员
- 身份验证管理员
- 计费管理员
- 云应用管理员
- 条件访问管理员
- Exchange管理员
- 服务台管理员
- 密码管理员
- 特权身份验证管理员
- 特权角色管理员
- 安全管理员
- SharePoint管理员
- 用户管理员
组织可以根据情况选择包括或排除角色。
排除用户
条件访问策略是功能强大的工具。 建议从策略中排除以下帐户:
- 紧急访问或不受限帐户,用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下,紧急访问管理帐户可用于登录和恢复访问权限。
-
Service accounts 和 Service principals(如 Microsoft Entra Connect Sync Account)。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序,但它们也用于登录系统以实现管理目的。 服务主体进行的调用不受适用于用户的条件访问策略的阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
- 如果你的组织在脚本或代码中使用这些帐户,请将这些帐户替换为 托管标识。
模板部署
组织可以按照下面所述的步骤或使用 条件访问模板部署此策略。
创建条件访问策略
创建条件访问策略的以下步骤可帮助您要求多重身份验证,或确保访问资源的设备标记为符合组织的 Intune 合规性策略,或者设备通过 Microsoft Entra 混合注册。
- 登录到 Azure 门户,并至少具有条件访问管理员的身份。
- 浏览到 Microsoft Entra ID>安全性>条件访问。
- 选择“创建新策略”。
- 为策略指定名称。 为策略的名称创建有意义的标准。
- 在“分配”下,选择“用户或工作负载标识” 。
在“包含”下,先选择“目录角色”,并至少选择之前列出的角色。
在“排除”下选择“用户和组”,然后选择组织的紧急访问帐户或不受限帐户。
- 在“目标资源”>“资源(以前为云应用)”>“包括”下,选择“所有资源(以前为‘所有云应用’)”。
- 在“访问控制”“授予”下。
- 选择 要求设备被标记为合规,以及 要求 Microsoft Entra 混合加入的设备
- 对于多个控件,选择“需要某一已选控件”。
- 选择Select。
- 确认设置,然后将“启用策略”设置为“仅限报告”。
- 选择“ 创建 ”以启用策略。
确认设置后,使用策略影响模式或仅报告模式,将“启用策略”开关从 “仅报告” 切换到 “打开”。
注意
即使为“所有用户”和“所有资源(以前为‘所有云应用’)”选择“要求将设备标记为符合”,也可以使用前面的步骤将新设备注册到 Intune。 “要求设备被标记为合规”控制不会阻止 Intune 注册。
已知行为
在Windows 7、iOS、Android、macOS 和一些非Microsoft Web 浏览器上,Microsoft Entra ID使用在向 Microsoft Entra ID 注册设备时预配的客户端证书来标识设备。 用户首次通过浏览器登录时,系统会提示用户选择此证书。 最终用户必须选择此证书才能继续使用浏览器。
订阅激活
使用 Subscription Activation 功能来使用户能够从一个版本的 Windows “提升”到另一个版本的组织,可能需要将 Windows Store for Business(应用程序 ID 45a330b1-b1ec-4cc1-9161-9f03992aa49f)排除在其设备合规性策略之外。