Office365

ביטול 2FA ב-365

לעיתים רחוקות מאוד, נתבקש להוריד את ה-Multi-factor Authentication למשתמש או קבוצה. הדבר אינו מומלץ, אך אם בכל זאת מתעקשים יש להביא בחשבון את הנקודות הבאות.

שימו לב: ביטול ה-2FA ברמת הארגון יכול להביא לנזקים. ההמלצה היא להגדיר קבוצה (ובה מספר משתמשים מועט) אותה תרצו להחריג מה-2FA.

הבנת מודול האבטחה ב-365

ראשית צריך להבין איך מודול האבטחה עובד ב-Entra:

  • ה-Registration campaign- מאפשר לנו לכפות על המשתמשים בארגון, הרשמה ל-MFA.
  • ה-Multi-factor הוא ה-Method שנבחר לכפייה
  • ה-Conditinal Access Policy היא פוליסי שמאפשרת לנו לקבוע כללי אבטחה, כגון ביטול MFA למשתמש בודד. (מחייב כיבוי של ה-Security defaults)
  • Security defaults מגיע דיפולטיבי עם המערכת

ביטול 2FA למשתמש ברמת הקבוצה

על מנת לבטל 2FA למשתמש ברמת הקבוצה יש לבצע מספר פעולות:

  1. יצירת קבוצה ב-365 בשם NoOTP (זה יכול להיות כל שם אחר)
  2. הוספת המשתמש לקבוצה
  3. הוספת הקבוצה ל-Exclude ב-Entra (או בשמה הקודם: AAD)

יצירת קבוצה ב-365

למי שעוד לא מכיר התהליך די פשוט:

נכנסים לניהול 365 אל Teams & Groups ואז על Active Teams & Groups

וכאן נלחץ על Add a Microsoft 365 group

כאן נתחיל מהבסיס- שם לקבוצה. נקרא לה NoOTP ואז נלחץ על Next:

במסך הבא נלחץ על Assign owners ונלחץ על Next:

כאן נבחר את המשתמש שיהיה הבעלים של הקבוצה, ונלחץ על Add:

נלחץ על Next

במסך הבא נלחץ על Add members על מנת להוסיף את המשתמשים לקבוצה:

נבחר את המשתמש הרצוי להוספה לקבוצה, ונלחץ על Add

נלחץ על Next

במסך הבא ניתן שם לקבוצה, ונגדיר את הפרטיות שלה (Public/Private), ונלחץ על Next:

כאן נסקור את כל הפרטים, ולאחר מכן נלחץ על Create group

הוספת הקבוצה ל-Exclude ב-Entra

כאן אנחנו מגיעים לחלק הכי חשוב.

לפני ההגדרה שימו לב להודעת מיקרוסופט הבאה המופיעה בדף ה-Authentication methods:

On September 30th, 2025, the legacy multifactor authentication and self-service password reset policies will be deprecated and you’ll manage all authentication methods here in the authentication methods policy. Use this control to manage your migration from the legacy policies to the new unified policy.

כעת, ניכנס ב-Entra אל Protection ואז על Authentication methods ונקליק על Email OTP

נקליק על Add (בדוגמה שלנו מופיע כבר שם הקבוצה):

כאן נחפש, נבחר את שם הקבוצה, ונלחץ על Select

נלחץ על Save לסיום

זהו. היוזר מעתה ייכנס ללא 2FA

ביטול 2FA ברמת הארגון

ראשית נצטרך לבטל את ה-Security Defaults

שימו לב: ביטול של הSecurity Defaults עלול להביא לנזקים משמעותיים בארגון.

על מנת לעשות את, יש לגשת אל Identity ו אז על Overview

כאן נלחץ על Properties ואז על Manage security defaults

בתפריט הנפתח בצד ימין נבחר ב- Disabled

שימו לב: נדרש שימוש ברישיון Azure AD P1 או P2 על מנת להשתמש ב-Conditional Access.

כאן תיפתח לנו חלונית, ונסמן בה את הסימון הרצוי (נוודא כמובן שיש לנו רישיון PA או P2), ונלחץ על Save

איך מבטלים את הרישום ל-2FA ברמת הארגון?

נכנסים אל https://entra.microsoft.com/#home , לוחצים על Protection ואז על Authentication Methods

כאן נקליק על Policies ואז על Microsoft Authenticator

במסך הבא נוודא שהכפתור נמצא על Enable בצבע אפור (כלומר הגדרה לא פעילה):

ונלחץ על Save לסיום

בנוסף יש לגשת אל Authentication Methods ואז על Settings

כאן ליד State יש לסמן בתפריט הנפתח את Disabled

וללחוץ על Save לסיום

מאמרים קשורים

Leave a Reply

Your email address will not be published. Required fields are marked *

אתה תאהב גם את זה
Close
Back to top button