Ensure Multi-factor Authentication is Required to access Microsoft Admin Portals

Zakaj je to pomembno

Skrbniška portala, kot so Microsoft 365 Admin Center, Azure Portal in Exchange Admin Center, so visoko vredne tarče za napadalce. Če je ogrožen en sam skrbniški račun, ki uporablja le geslo, lahko napadalec pridobi popoln nadzor nad celotnim okoljem Microsoft 365, spremeni varnostne nastavitve, dostopa do občutljivih podatkov in povzroči obsežne motnje. Zahteva po večfaktorski avtentikaciji za te portale drastično zmanjša tveganje kraje poverilnic za nepooblaščena skrbniška dejanja.

Kaj preverja Aether365

Aether365 preverja, ali je pravilnik za pogojni dostop (Conditional Access) konfiguriran tako, da zahteva večfaktorsko avtentikacijo za vse uporabnike, ki dostopajo do Microsoft Admin Portals. To preverjanje se prikaže na nadzorni plošči Aether365 pod vnosom entraid-1106 znotraj preverjanj Microsoft Entra ID.

Kako odpraviti težavo

Sledite tem korakom za ustvarjanje ali posodobitev pravilnika za pogojni dostop, ki uveljavlja večfaktorsko avtentikacijo za skrbniške portale.

1. Prijavite se v Azure Portal kot skrbnik za pogojni dostop (Conditional Access Administrator), varnostni skrbnik (Security Administrator) ali globalni skrbnik (Global Administrator).
2. Pomaknite se do Microsoft Entra ID, nato izberite "Security" in nato "Conditional Access."
3. Kliknite "+ New policy" ali izberite obstoječ pravilnik za urejanje.
4. Pod "Assignments" kliknite "Users and groups." Izberite "All users," da pravilnik velja za vse. Po potrebi lahko dodate določene uporabnike ali skupine na seznam "Exclude," vendar te izjeme skrbno dokumentirajte.
5. Pod "Cloud apps or actions" izberite "Select apps." Poiščite in izberite "Microsoft Admin Portals" (ali enakovreden identifikator aplikacije za vaše okolje). Po potrebi lahko vključite tudi dodatne skrbniške portale, kot sta Azure Portal ali Exchange Admin Center.
6. Pod "Conditions" konfigurirajte želene pogoje, kot sta lokacija ali stanje naprave, vendar vsaj zagotovite, da pravilnik velja za vse poskuse dostopa.
7. Pod "Access controls" izberite "Grant." Označite polje "Require multi-factor authentication." Prepričajte se, da je izbrano "Require all selected controls."
8. Najprej nastavite "Enable policy" na "Report-only," da preizkusite vpliv. Preglejte dnevnik prijav in orodje "What If," da potrdite pričakovano vedenje. Če ne pride do težav, spremenite pravilnik v "On."
9. Redno spremljajte izključene uporabniške račune in izvajajte preglede dostopa (access reviews), da zagotovite, da so izjeme še vedno upravičene.

Skladnost

• CIS Microsoft Azure Foundations 3.0.0 2.2.9 (Microsoft Entra ID)
• Microsoft Azure Security Benchmark: IM-7 Restrict resource access based on conditions

Povezani viri

• Conditional Access policy for admin MFA
• Manage emergency access accounts
• Troubleshoot Conditional Access with What If tool
• Plan a Conditional Access deployment
• Microsoft Azure Security Benchmark IM-7

Microsoft references

• Howto conditional access policy admin mfa
• Security emergency access
• Troubleshoot conditional access what if
• Plan conditional access
• Security controls v3 identity management