Bylo to dlouhé tažení, ale jsme na konci mého základního doporučení. Dbejte na slovo základní, protože s CAP je možné si opravdu vyhrát. V dnešním článku si teda probereme poslední 3 politiky, které budou zahrnovat vynucení více faktorového ověřování pro tzv. Azure management, který zahrnuje všechny správce virtuální infrastruktury v Azure, vynucení více faktorového ověřování u externistů a hostovských účtů a vynucení používání Microsoft aplikací pro přístup k firemním datům a účtům. Všechny politiky je možné vytvořit z katalogu od Microsoftu, takže je projedeme trochu rychleji.
Pro nastavení MFA pro Azure management stačí jít do New policy from template a vybereme Require multifactor authentication for Azure management. Poté stačí upravit název a můžete politiky vytvořit.
Poté si politiku rozklikneme a odebereme z ní pod kolonkou Users Exclude náš účet poslední záchrany. Pak ještě silně doporučuji nastavit maximální dobu přihlášení na 8 hodin.
Jako další si nastavíme vynucení více faktorového ověřování pro externisty. Zase si otevřete Create new policy from templates a pod kolonkou Zero Trust vyberte Require multifactor authentication for guest access. Poté stačí znovu jen vyhodit pomocí Exclude účet poslední záchrany a máte hotovo!
A jako posední se podíváme na vynucení používání Microsoft aplikací, jako je Outlook, pro přístup k firemním datům a účtům. Toto nastavení, ač může vypadat jako v celku restriktivní, tak řeší velkou část synchronizačních problémů, protože Microsoft aplikace se se sebou synchronizují lépe než třeba s Apple mail aplikací. Pro vytvoření takovéto politiky nám znovu stačí se podívat do Create new policy from template a poté pod kolonkou Remote work najdete šablonu s názvem Use application enforced restrictions for O365 apps.
Poté vyndejte z politiky účet poslední záchrany a můžete mít hotovo. Pokud, ale nechcete být tak přísní a stačí vám, že na telefonech budou lidi používat Microsoft aplikace a na počítačích ať si dělají co chtějí, nebo naopak (nebo jakkoliv jinak), tak můžete upravit zacílení na specifický druh zařízení. Po rozkliknutí politiky přejděte do sekce Conditions a poté do sekce Device platforms. Zde si vyberte Any device a poté přejděte do kolonky exclude.V této kolonce si vyberte, na jaká zařízení nechcete cílit a máte hotovo!
Na závěr k CAP
Rozhodně si vytvořte účet posední záchrany, bude se vám hodit! A buďte při nastavování pozorní, protože odříznout se je jednoduché. Také velmi důležitá věc, opravdu si nechte všechny politiky v módu Report Only (pokud už ve vašem tenantu fungujete) a až po odlazení je zapínejte. Ze zkušenosti je totiž dost velká šance, že něco rozbijete.
Odkaz na kuchařku ZDE