Feltételes hozzáférési sablonok (előzetes verzió)
A feltételes hozzáférési sablonok kényelmes módszert biztosítanak a Microsoft-javaslatoknak megfelelő új szabályzatok üzembe helyezéséhez. Ezek a sablonok a különböző ügyféltípusokban és helyeken általánosan használt szabályzatokhoz igazodva nyújtanak maximális védelmet.
14 feltételes hozzáférési szabályzatsablon létezik, amelyeket öt különböző forgatókönyv szűr:
- Biztonságos alapozás
- Teljes felügyelet
- Távoli munka
- Rendszergazdák védelme
- Újonnan felmerülő fenyegetések
- Mind
Keresse meg a sablonokat a Azure Portal>Azure Active Directory>Biztonsági>feltételes hozzáférés>új szabályzata sablonból (előzetes verzió). Válassza a Továbbiak megjelenítése lehetőséget az egyes forgatókönyvekben található összes szabályzatsablon megtekintéséhez.
Fontos
A feltételes hozzáférési sablonházirendek csak a szabályzatot létrehozó felhasználót zárják ki a sablonból. Ha a szervezetnek ki kell zárnia más fiókokat, a szabályzatot a létrehozásuk után módosíthatja. Egyszerűen lépjen a Azure Portal>Azure Active Directory>biztonsági>feltételes hozzáférési>szabályzataira, válassza ki a szabályzatot a szerkesztő megnyitásához, és módosítsa a kizárt felhasználókat és csoportokat a kizárni kívánt fiókok kiválasztásához.
Alapértelmezés szerint minden szabályzat csak jelentési módban jön létre, ezért javasoljuk a szervezeteknek, hogy teszteljék és monitorozzák a használatot, hogy a kívánt eredményt biztosítsák, mielőtt bekapcsolná az egyes szabályzatokat.
A szervezetek kiválaszthatják az egyes szabályzatsablonokat, és az alábbiakat:
- Tekintse meg a szabályzatbeállítások összegzését.
- Szerkesztés a szervezeti igények alapján történő testreszabáshoz.
- Exportálja a JSON-definíciót a programozott munkafolyamatokban való használathoz.
- Ezek a JSON-definíciók szerkeszthetők, majd importálhatók a fő Feltételes hozzáférési szabályzatok lapon az Importálási házirendfájl beállítással.
Feltételes hozzáférési sablonszabályzatai
- Örökölt hitelesítés letiltása*
- Többtényezős hitelesítés megkövetelése rendszergazdák számára*
- Többtényezős hitelesítés megkövetelése minden felhasználó számára*
- Többtényezős hitelesítés megkövetelése az Azure-felügyelethez*
* Ez a négy házirend együtt konfigurálva hasonló funkciókat biztosít, amelyeket a biztonsági alapértelmezések engedélyeznek.
- Ismeretlen vagy nem támogatott eszközplatform hozzáférésének letiltása
- Nincs állandó böngésző-munkamenet
- Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelem megkövetelése
- Megfelelő vagy hibrid Azure AD csatlakoztatott eszköz vagy többtényezős hitelesítés megkövetelése minden felhasználó számára
- Megfelelő vagy hibrid Azure AD csatlakoztatott eszköz megkövetelése rendszergazdák számára
- Többtényezős hitelesítés megkövetelése kockázatos bejelentkezés eseténPrémium szintű Azure AD P2 szükséges hozzá
- Többtényezős hitelesítés megkövetelése a vendéghozzáféréshez
- Jelszómódosítás megkövetelése kockázatos felhasználók esetébenPrémium szintű Azure AD P2 szükséges hozzá
- A biztonsági információk regisztrálásának védelme
- Az alkalmazás által kényszerített korlátozások használata nem felügyelt eszközök esetében
Egyéb gyakori szabályzatok
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:
- A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáférés vagy biztonsági mentési fiókok. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiókjával bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
- További információt a vészhelyzeti hozzáférési fiókok kezelése Azure AD című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Azure AD Szinkronizálási fiók csatlakoztatása. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem hajtható végre. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem tiltja le.
- Ha szervezete használja ezeket a fiókokat szkriptekben vagy kódban, érdemes lehet felügyelt identitásokra cserélni őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.