At least one Conditional Access policy is configured to require MFA for users with administrator roles
Prečo je to dôležité
Administrátorské roly majú rozšírené oprávnenia, ktoré môžu v prípade kompromitácie viesť k narušeniu celého tenanta a strate údajov. Bez politiky Conditional Access vyžadujúcej MFA pre tieto roly je vaša organizácia vystavená útokom na krádež poverení, ako je phishing a password spray, ktoré cielia na vysoko privilegované účty.
Čo Aether365 kontroluje
Táto kontrola overuje, či je v tenantovi nakonfigurovaná aspoň jedna politika Conditional Access, ktorá vyžaduje viacfaktorové overenie pre používateľov s administrátorskými rolami. Toto hodnotenie nájdete v dashboarde Aether365 v sekcii kontrol Microsoft 365.
Ako to opraviť
- Prihláste sa do Microsoft Entra admin center ako administrátor Conditional Access alebo globálny administrátor.
- Prejdite na Protection > Conditional Access > Policies.
- Kliknite na New policy a dajte jej zmysluplný názov, napríklad "Require MFA for Admin Roles."
- V časti Assignments vyberte Users or workload identities, potom zvoľte Select users and groups. Zaškrtnite možnosť Administrator roles a vyberte všetky relevantné vstavané administrátorské roly (napríklad Global Administrator, SharePoint Administrator, Exchange Administrator).
- V časti Cloud apps or actions vyberte All cloud apps.
- V časti Conditions ponechajte predvolené nastavenia alebo ich upravte podľa potreby, napríklad vylúčením dôveryhodných lokalít.
- V časti Grant vyberte Grant access a potom zaškrtnite Require multifactor authentication. Uistite sa, že nezaškrtávate Require password change.
- Nastavte Enable policy na Report-only, aby ste najprv otestovali vplyv, a až po overení ju prepnite na On.
- Kliknutím na Create politiku uložte.
Súlad s predpismi
Táto kontrola je v súlade s nasledujúcim rámcom:
- Iné