Általános feltételes hozzáférési szabályzat: MFA megkövetelése rendszergazdák számára

A rendszergazdai jogosultságokkal rendelkező fiókokat a támadók célba kapják. Az ilyen fiókok többtényezős hitelesítésének (MFA) megkövetelése egyszerű módszer a fiókok biztonságának csökkentésére.

A Microsoft azt javasolja, hogy legalább az identitáspontszám-javaslatok alapján igényelje az MFA-t a következő szerepkörökhöz:

  • Globális rendszergazda
  • Alkalmazásadminisztrátor
  • Hitelesítési rendszergazda
  • Számlázási adminisztrátor
  • Felhőalkalmazás-rendszergazda
  • Feltételes hozzáférés rendszergazdája
  • Exchange-rendszergazda
  • Ügyfélszolgálati rendszergazda
  • Jelszókezelő
  • Emelt szintű hitelesítés rendszergazdája
  • Kiemelt szerepkörű rendszergazda
  • Biztonsági rendszergazda
  • SharePoint-rendszergazda
  • Felhasználói rendszergazda

A szervezetek dönthetnek úgy, hogy belefoglalják vagy kizárják a szerepköröket, ahogy azt megfelelőnek látják.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáférés vagy biztonsági mentési fiókok. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiókjával bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Azure AD Szinkronizálási fiók csatlakoztatása. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem hajtható végre. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem tiltja le.
    • Ha szervezete használja ezeket a fiókokat szkriptekben vagy kódban, érdemes lehet felügyelt identitásokra cserélni őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok (előzetes verzió) használatával telepíthetik ezt a szabályzatot.

Feltételes hozzáférési szabályzat létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli a hozzájuk rendelt rendszergazdai szerepköröket a többtényezős hitelesítés végrehajtásához.

  1. Jelentkezzen be a Azure Portal feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként.
  2. Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférését.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a szabályzatnak. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések területen válassza a Felhasználók vagy a számítási feladat identitásai lehetőséget.
    1. A Belefoglalás területen válassza a Címtárszerepkörök lehetőséget, és válassza ki a beépített szerepköröket, például:

      • Globális rendszergazda
      • Alkalmazásadminisztrátor
      • Hitelesítési rendszergazda
      • Számlázási adminisztrátor
      • Felhőalkalmazás-rendszergazda
      • Feltételes hozzáférés rendszergazdája
      • Exchange-rendszergazda
      • Ügyfélszolgálati rendszergazda
      • Jelszókezelő
      • Emelt szintű hitelesítés rendszergazdája
      • Kiemelt szerepkörű rendszergazda
      • Biztonsági rendszergazda
      • SharePoint-rendszergazda
      • Felhasználói rendszergazda

      Figyelmeztetés

      A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokhoz, például a felügyeleti egységek hatókörébe tartozó vagy egyéni szerepkörökhöz.

    2. A Kizárás területen válassza a Felhasználók és csoportok elemet , és válassza ki a szervezet vészhelyzeti hozzáférését vagy törésüveg-fiókjait.

  6. A Felhőalkalmazások vagy műveletek>Belefoglalva területen válassza a Minden felhőalkalmazás lehetőséget.
  7. A Hozzáférés-vezérlések>Megadása területen válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a csak jelentésalapú módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Következő lépések

Feltételes hozzáférés – gyakori szabályzatok

Bejelentkezési viselkedés szimulálása a feltételes hozzáférés what if eszközzel