At least one Conditional Access policy is configured to require MFA for users with administrator roles
Miksi tämä on tärkeää
Järjestelmänvalvojaroolit tarjoavat korotettuja käyttöoikeuksia, jotka voivat vaarantuessaan johtaa vuokraajan laajuisiin tietomurtoihin ja tietojen menetykseen. Ilman ehdollista käyttöoikeuskäytäntöä, joka vaatii MFA:ta näille rooleille, organisaatiosi altistuu tunnistetietovarkauksille, kuten tietojenkalastelulle ja salasanaruiskutukselle, jotka kohdistuvat korkean käyttöoikeuden tileihin.
Mitä Aether365 tarkistaa
Tämä tarkistus varmistaa, että vähintään yksi ehdollinen käyttöoikeuskäytäntö vuokraajassasi on määritetty vaatimaan monitekijätodennusta järjestelmänvalvojaroolien käyttäjille. Näet tämän arvioinnin Aether365-hallintapaneelissa Microsoft 365 -tarkistusosiossa.
Korjaaminen
- Kirjaudu sisään Microsoft Entra admin centeriin ehdollisen käyttöoikeuden järjestelmänvalvojana tai yleisenä järjestelmänvalvojana.
- Siirry kohtaan Protection > Conditional Access > Policies.
- Napsauta New policy ja anna sille kuvaava nimi, kuten "Require MFA for Admin Roles."
- Valitse kohdassa Assignments joko Users or workload identities ja valitse sitten Select users and groups. Valitse Administrator roles- vaihtoehto ja valitse kaikki asiaankuuluvat sisäänrakennetut järjestelmänvalvojaroolit (esimerkiksi Global Administrator, SharePoint Administrator, Exchange Administrator).
- Valitse kohdassa Cloud apps or actions kohta All cloud apps.
- Jätä Conditions-osion oletusasetukset ennalleen tai säädä niitä tarpeen mukaan, esimerkiksi sulkemalla pois luotetut sijainnit.
- Valitse kohdassa Grant ensin Grant access ja valitse sitten Require multifactor authentication. Varmista, ettet valitse Require password change.
- Aseta Enable policy ensin tilaan Report-only testataksesi vaikutusta ja vaihda se tilaan On vahvistuksen jälkeen.
- Napsauta Create tallentaaksesi käytännön.
Vaatimustenmukaisuus
Tämä tarkistus on linjassa seuraavan viitekehyksen kanssa:
- Other