Feltételes hozzáférési sablonok (előzetes verzió)

A feltételes hozzáférési sablonok kényelmes módszert biztosítanak a Microsoft-javaslatoknak megfelelő új szabályzatok üzembe helyezéséhez. Ezek a sablonok a különböző ügyféltípusokban és helyeken általánosan használt szabályzatokhoz igazodva nyújtanak maximális védelmet.

14 feltételes hozzáférési szabályzatsablon létezik, amelyeket öt különböző forgatókönyv szűr:

• Biztonságos alapozás
• Teljes felügyelet
• Távoli munka
• Rendszergazdák védelme
• Újonnan felmerülő fenyegetések
• Mind

Keresse meg a sablonokat a Azure Portal>Azure Active Directory>Biztonsági>feltételes hozzáférés>új szabályzata sablonból (előzetes verzió). Válassza a Továbbiak megjelenítése lehetőséget az egyes forgatókönyvekben található összes szabályzatsablon megtekintéséhez.

Fontos

A feltételes hozzáférési sablonházirendek csak a szabályzatot létrehozó felhasználót zárják ki a sablonból. Ha a szervezetnek ki kell zárnia más fiókokat, a szabályzatot a létrehozásuk után módosíthatja. Egyszerűen lépjen a Azure Portal>Azure Active Directory>biztonsági>feltételes hozzáférési>szabályzataira, válassza ki a szabályzatot a szerkesztő megnyitásához, és módosítsa a kizárt felhasználókat és csoportokat a kizárni kívánt fiókok kiválasztásához.

Alapértelmezés szerint minden szabályzat csak jelentési módban jön létre, ezért javasoljuk a szervezeteknek, hogy teszteljék és monitorozzák a használatot, hogy a kívánt eredményt biztosítsák, mielőtt bekapcsolná az egyes szabályzatokat.

A szervezetek kiválaszthatják az egyes szabályzatsablonokat, és az alábbiakat:

• Tekintse meg a szabályzatbeállítások összegzését.
• Szerkesztés a szervezeti igények alapján történő testreszabáshoz.
• Exportálja a JSON-definíciót a programozott munkafolyamatokban való használathoz.
  • Ezek a JSON-definíciók szerkeszthetők, majd importálhatók a fő Feltételes hozzáférési szabályzatok lapon az Importálási házirendfájl beállítással.

Feltételes hozzáférési sablonszabályzatai

• Örökölt hitelesítés letiltása*
• Többtényezős hitelesítés megkövetelése rendszergazdák számára*
• Többtényezős hitelesítés megkövetelése minden felhasználó számára*
• Többtényezős hitelesítés megkövetelése az Azure-felügyelethez*

* Ez a négy házirend együtt konfigurálva hasonló funkciókat biztosít, amelyeket a biztonsági alapértelmezések engedélyeznek.

• Ismeretlen vagy nem támogatott eszközplatform hozzáférésének letiltása
• Nincs állandó böngésző-munkamenet
• Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelem megkövetelése
• Megfelelő vagy hibrid Azure AD csatlakoztatott eszköz vagy többtényezős hitelesítés megkövetelése minden felhasználó számára
• Megfelelő vagy hibrid Azure AD csatlakoztatott eszköz megkövetelése rendszergazdák számára
• Többtényezős hitelesítés megkövetelése kockázatos bejelentkezés eseténPrémium szintű Azure AD P2 szükséges hozzá
• Többtényezős hitelesítés megkövetelése a vendéghozzáféréshez
• Jelszómódosítás megkövetelése kockázatos felhasználók esetébenPrémium szintű Azure AD P2 szükséges hozzá
• A biztonsági információk regisztrálásának védelme
• Az alkalmazás által kényszerített korlátozások használata nem felügyelt eszközök esetében

Egyéb gyakori szabályzatok

• Hozzáférés letiltása hely alapján
• Hozzáférés letiltása adott alkalmazások kivételével

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

• A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáférés vagy biztonsági mentési fiókok. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiókjával bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • További információt a vészhelyzeti hozzáférési fiókok kezelése Azure AD című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Azure AD Szinkronizálási fiók csatlakoztatása. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem hajtható végre. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem tiltja le.
  • Ha szervezete használja ezeket a fiókokat szkriptekben vagy kódban, érdemes lehet felügyelt identitásokra cserélni őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Következő lépések

• Szimulálja a bejelentkezési viselkedést a Feltételes hozzáférés What If eszközzel.

• A feltételes hozzáféréshez használja a csak jelentésalapú módot az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.