Conditional Accass Policies neboli CAP jsou hlavním ochranným prvkem po silných a unikátních heslech, a proto pokud máte tu možnost, tak si je rozhodně nastavte.

V dnešní článku si ukáže prvních pár, v příštím článku si ukážeme zbytek. Velmi důležitá věc, než začneme, buďte s implementací CAP opatrní a mějte vždy alespoň jeden účet, který je ze všech politik vyjmutý a je Globální Administrátor!!! První věc, co musíte udělat před nastavením CAP je vypnout tzv. Security defaults.

Teď na nastavení CAP! První věc, kterou nastavíme je require MFA for admin (vynucení MFA pro administrátory) a použijeme na to už předvytvořenou šablonu od Microsoftu. Otevřete si portál Entra, přejděte k protection a pod tím Conditional Access. Poté klikněte na New policy from template. Zezačátku nechte politiky v módu Report Only, zjednoduší vám to doladění a testování. Taky silně doporučuji nastavit si jmennou konvenci u CAP a přidat do jména číslo politiky, velmi vám to usnadní řešení problémů. Rozklikněte si politiku a klikněte na Users. Do Exclude dejte skupinu/y nebo uživatele, kteří mají být vyřazeni. To znamená ten jeden Global Administrator účet. Tato politika se bude vztahovat na vybrané administrátorské role a nebude se vztahovat na vyřazený účet. Pod tím v Target resources vidíme, že se bude vztahovat na All cloud apps. Potom dlouho nic a až u Access Control pod záložkou Grant vidíme, že je vynucené více faktorové ověřování.

Jedna důležitá věc, kterou bych rád zmínil je, že politiky se můžou vztahovat, jak na zařízení, tak na uživatele, ale ne zároveň. Nesmí se míchat!

Teď přejdeme k další politice, a to je Block Legacy Authentication. Zase ji pojmenujte a nechte v módu Report Only. Toto nastavení mám zapnuté pro všechny uživatele vyjma dvou skupin, ve kterých mám účet poslední záchrany a vyřazené uživatele. Zase mám nastavené na All cloud apps. Kde se ale nastavení mění je u Conditions, kde mám nastavené blokování zastaralých autentizačních klientů, jako je SMTP, POP, IMAP a další. Pokud máte nějaká zařízení, která se přes profil ověřují u Entra ID pomocí některého z těchto protokolů, tak je přidejte do Exclude

Na závěr

Kuchařku najdete ZDE

Získejte ZDARMA návrh řešení

ICT-GROUP poskytuje bleskovou IT podporu s týmem elitních IT odborníků na které se vaše firma může spolehnout. Nezávisle na tom, jestli pracujete na dálku nebo jste na pracovišti, zajistíme Vám za nízké měsíční náklady řešení problémů v reálném čase, zabezpečení na úrovni zařízení, aplikací, sítě a komplexní správu IT.

Nemáte rádi formuláře? Zavolejte nám 777 800 167 nebo napište sales@ict-group.cz. Ozveme se Vám nejpozději do 24 hodin, velice pravděpodobně ale o dost dříve.

Cookie	Délka	Popis
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Nastavení tenanta 06 Conditional Access Policies!

Na závěr