Multi-factor authentication (MFA) พิสูจน์ว่าผู้ใช้มีสิ่งที่รู้ (รหัสผ่าน) และสิ่งที่มี (โทรศัพท์ passkey หรือ hardware token) Conditional Access เพิ่มบริบท: เข้าจากที่ไหน แอปไหน อุปกรณ์ compliant หรือไม่ และระดับความเสี่ยง
Rollout MFA โดยไม่เกิดการต่อต้าน
1. Pilot ผู้บริหารและ IT ก่อน แล้วแก้สคริปต์ helpdesk
2. สื่อสารเหตุผล (ความไว้วางใจลูกค้า ประกัน การฉ้อโกง) ด้วยภาษาง่าย
3. ใช้การอนุมัติ push Microsoft Authenticator มากกว่า SMS เท่าที่ทำได้
4. จัดoffice hour หนึ่งครั้งสำหรับอัปเกรดโทรศัพท์และวิธีสำรอง
5. บังคับกับadmin ก่อนพนักงานทั้งหมดถ้าต้องการเฟส
นโยบาย Conditional Access (ชุดเริ่มต้น)
| แนวคิดนโยบาย | ผล |
|---|---|
| บังคับ MFA ทุกผู้ใช้ | การป้องกันพื้นฐาน |
| บล็อก legacy auth | หยุดไคลเอนต์เก่าข้าม MFA |
| บังคับอุปกรณ์ compliant สำหรับเมลบนมือถือ | ควบคุม BYOD |
| บล็อก sign-in จากประเทศเสี่ยง | ถ้าไม่มีธุรกิจที่นั่น |
| บังคับ MFA admin เสมอ | เข้มกว่าพนักงานทั่วไป |
นโยบายกำหนดเป้าผู้ใช้ แอป และเงื่อนไข ทดสอบด้วยโหมด report-only ก่อนเพื่อดูว่าใครจะถูกบล็อก
ข้อยกเว้นอย่างปลอดภัย
- บัญชี break-glass ยกเว้นจากนโยบายแต่ monitor และใช้น้อย
- Service accounts ใช้ใบรับรอง modern auth ไม่ใช่รหัสผ่านบนโน้ต
- Kiosk หรือแท็บเล็ตแชร์ อาจต้องนโยบายเฉพาะ ไม่ใช่ปิด MFA ทั้ง tenant
Passkey และ passwordless
Microsoft รองรับ Windows Hello FIDO2 keys และ passkey ใน Authenticator สำหรับ sign-in แบบไม่มีรหัสผ่าน คุ้ม pilot กับผู้บริหารที่เป็นเป้า spear phishing
ไลเซนส์
Conditional Access ต้องการ Entra ID P1 (รวมใน Microsoft 365 Business Premium และ E3/E5 ในการตั้งค่าทั่วไป) ยืนยัน SKU ก่อนสัญญาว่ามี mobile app protection
เทมเพลตการ implement เป็นบริการหลักของพาร์ทเนอร์ ติดต่อ สำหรับ workshop ทบทวนนโยบาย
