V dnešním článku si projedeme další část CAP, které doporučuji jako základní nastavení pro kohokoliv s Business Premium tenantem. Samozřejmě kreativitě se meze nekladou a pokud něco specifického budete potřebovat povolit nebo zablokovat, tak to přes CAP skoro určitě půjde. Další politika, kterou si nastavíme je Require MFA for all users. Tato politika může být a nejspíš bude složitá nastavit, pokud vaši zaměstnanci nejsou s technikou moc kamarádi, přesto je ale nesmírně důležitá a zabrání skoro všem útokům. Proto pokud máte více zaměstnanců, tak si implementaci rozdělte do menších částí, ať vás nezahltí velká spousta požadavků typu: co to po mě chce, proč to po mě chce, a na co je to potřeba. Ze zkušenosti přijdou a 5 najednou se zvládnou dá, ale 50 rozhodně ne!!!

Pro nastavení této politiky si prvně tedy vytvoříme security skupinu, do které budeme manuálně přidávat uživatele (ano je to pakárna, ale řešit všechny najednou je za mě horší). Skupinu vytvoříme v portálu Entra, pod záložkou Identy a Groups. Skupinu nezapomeňte pojmenovat podle vaší konvence.

Teď si do skupiny přidáme uživatele, na které chceme cílit jako první. Jenom rychlá odbočka, všechny ve skupině nechte a nikoho, kromě lidí, co u vás už nepracují, z ní nevyndávejte, protože po tom co do ní dostanete všechny, tak ze skupiny můžete udělat dynamickou. Zpátky k vytváření politiky. Otevřete si v Entra portálu CAP a zvolte šablonu Require multifactor authentication for all users.

Teď si politiku otevřete, vyberete users, poté Select users and groups, Users and groups a nakonec přidejte svoji skupinu, kterou jsme vytvořili v předchozím kroku. Poté už stačí jenom vyndat přes Exclude účty záchrany a máte hotovo!

Teď si vytvoříme politiku, díky které bude vynucený TAP pro připojení zařízení k Entra ID. V menu, kde jste doteď vytvářeli politiky přes šablony si teď vytvoříme politiku, na kterou šablona není.

Zacílíme ji na všechny uživatele a vyhodíme z ní účty záchrany a vyřazené uživatele, jako u všech skupin a poté jdeme na konfiguraci. Rozklikneme si Target resources a vybereme, že se politiky budou aplikovat na User actions a v tomto menu na Register or join a device. Poté už stačí jen přejít do sekce Grant, kde zaškrtnete Require authentication strength a zde vybere TAP. Pak už stačí jen uložit v Report-only módu a máte to.

Odkaz na kuchařku ZDE

Získejte ZDARMA návrh řešení

ICT-GROUP poskytuje bleskovou IT podporu s týmem elitních IT odborníků na které se vaše firma může spolehnout. Nezávisle na tom, jestli pracujete na dálku nebo jste na pracovišti, zajistíme Vám za nízké měsíční náklady řešení problémů v reálném čase, zabezpečení na úrovni zařízení, aplikací, sítě a komplexní správu IT.

Nemáte rádi formuláře? Zavolejte nám 777 800 167 nebo napište sales@ict-group.cz. Ozveme se Vám nejpozději do 24 hodin, velice pravděpodobně ale o dost dříve.

Cookie	Délka	Popis
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Nastavení tenanta 07 Conditional Access Policies část druhá!!!