ביטול 2FA ב-365
לעיתים רחוקות מאוד, נתבקש להוריד את ה-Multi-factor Authentication למשתמש או קבוצה. הדבר אינו מומלץ, אך אם בכל זאת מתעקשים יש להביא בחשבון את הנקודות הבאות.
תוכן העניינים
הבנת מודול האבטחה ב-365
ראשית צריך להבין איך מודול האבטחה עובד ב-Entra:
- ה-Registration campaign- מאפשר לנו לכפות על המשתמשים בארגון, הרשמה ל-MFA.
- ה-Multi-factor הוא ה-Method שנבחר לכפייה
- ה-Conditinal Access Policy היא פוליסי שמאפשרת לנו לקבוע כללי אבטחה, כגון ביטול MFA למשתמש בודד. (מחייב כיבוי של ה-Security defaults)
- Security defaults מגיע דיפולטיבי עם המערכת
ביטול 2FA למשתמש ברמת הקבוצה
על מנת לבטל 2FA למשתמש ברמת הקבוצה יש לבצע מספר פעולות:
- יצירת קבוצה ב-365 בשם NoOTP (זה יכול להיות כל שם אחר)
- הוספת המשתמש לקבוצה
- הוספת הקבוצה ל-Exclude ב-Entra (או בשמה הקודם: AAD)
יצירת קבוצה ב-365
למי שעוד לא מכיר התהליך די פשוט:
נכנסים לניהול 365 אל Teams & Groups ואז על Active Teams & Groups
וכאן נלחץ על Add a Microsoft 365 group
כאן נתחיל מהבסיס- שם לקבוצה. נקרא לה NoOTP ואז נלחץ על Next:
במסך הבא נלחץ על Assign owners ונלחץ על Next:
כאן נבחר את המשתמש שיהיה הבעלים של הקבוצה, ונלחץ על Add:
נלחץ על Next
במסך הבא נלחץ על Add members על מנת להוסיף את המשתמשים לקבוצה:
נבחר את המשתמש הרצוי להוספה לקבוצה, ונלחץ על Add
נלחץ על Next
במסך הבא ניתן שם לקבוצה, ונגדיר את הפרטיות שלה (Public/Private), ונלחץ על Next:
כאן נסקור את כל הפרטים, ולאחר מכן נלחץ על Create group
הוספת הקבוצה ל-Exclude ב-Entra
כאן אנחנו מגיעים לחלק הכי חשוב.
לפני ההגדרה שימו לב להודעת מיקרוסופט הבאה המופיעה בדף ה-Authentication methods:
כעת, ניכנס ב-Entra אל Protection ואז על Authentication methods ונקליק על Email OTP
נקליק על Add (בדוגמה שלנו מופיע כבר שם הקבוצה):
כאן נחפש, נבחר את שם הקבוצה, ונלחץ על Select
נלחץ על Save לסיום
זהו. היוזר מעתה ייכנס ללא 2FA
ביטול 2FA ברמת הארגון
ראשית נצטרך לבטל את ה-Security Defaults
על מנת לעשות את, יש לגשת אל Identity ו אז על Overview
כאן נלחץ על Properties ואז על Manage security defaults
בתפריט הנפתח בצד ימין נבחר ב- Disabled
כאן תיפתח לנו חלונית, ונסמן בה את הסימון הרצוי (נוודא כמובן שיש לנו רישיון PA או P2), ונלחץ על Save
איך מבטלים את הרישום ל-2FA ברמת הארגון?
נכנסים אל https://entra.microsoft.com/#home , לוחצים על Protection ואז על Authentication Methods
כאן נקליק על Policies ואז על Microsoft Authenticator
במסך הבא נוודא שהכפתור נמצא על Enable בצבע אפור (כלומר הגדרה לא פעילה):
ונלחץ על Save לסיום
בנוסף יש לגשת אל Authentication Methods ואז על Settings
כאן ליד State יש לסמן בתפריט הנפתח את Disabled
וללחוץ על Save לסיום