Általános feltételes hozzáférési szabályzat: MFA megkövetelése minden felhasználó számára

Ahogy Alex Weinert, a Microsoft Identitásbiztonság címtára, megemlíti blogbejegyzésében a Pa$$word nem számít:

A jelszó nem számít, de az MFA igen! Tanulmányaink alapján a fiókja több mint 99,9%-kal kisebb valószínűséggel lesz illetéktelen kezekbe, ha MFA-t használ.

Az ebben a cikkben található útmutató segítséget nyújt a szervezetnek egy MFA-szabályzat létrehozásához a környezethez.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

• A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáférés vagy biztonsági mentési fiókok. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiókjával bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • További információt a vészhelyzeti hozzáférési fiókok kezelése Azure AD című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Azure AD Szinkronizálási fiók csatlakoztatása. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem hajtható végre. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem tiltja le.
  • Ha szervezete használja ezeket a fiókokat szkriptekben vagy kódban, érdemes lehet felügyelt identitásokra cserélni őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Alkalmazáskizárások

A szervezetek számos felhőalkalmazást használhatnak. Nem minden alkalmazás igényelhet egyenlő biztonságot. Előfordulhat például, hogy a bérszámfejtési és részvételi kérelmekhez MFA szükséges, de a cafeteria valószínűleg nem. A rendszergazdák dönthetnek úgy, hogy bizonyos alkalmazásokat kizárnak a szabályzatukból.

Előfizetés aktiválása

Azok a szervezetek, amelyek előfizetés-aktiválást használnak, hogy lehetővé tegyék a felhasználók számára a Windows egyik verziójáról a másikra való "lépés" lehetőségét, érdemes lehet kizárni az Univerzális áruház szolgáltatás API-jait és webalkalmazásait, az AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f házirendet az összes felhasználójukból.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok (előzetes verzió) használatával telepíthetik ezt a szabályzatot.

Feltételes hozzáférési szabályzat létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy minden felhasználó többtényezős hitelesítést végezhessen.

1. Jelentkezzen be a Azure Portal feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként.
2. Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférését.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a szabályzatnak. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések területen válassza a Felhasználók vagy a számítási feladat identitásai lehetőséget.
   1. A Belefoglalás területen válassza a Minden felhasználó lehetőséget
   2. A Kizárás területen válassza a Felhasználók és csoportok elemet , és válassza ki a szervezet vészhelyzeti hozzáférését vagy törésüveg-fiókjait.
6. A Felhőalkalmazások vagy műveletek>Belefoglalva területen válassza a Minden felhőalkalmazás lehetőséget.
   1. A Kizárás területen válassza ki azokat az alkalmazásokat, amelyekhez nincs szükség többtényezős hitelesítésre.
7. A Hozzáférés-vezérlések>Megadása területen válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a csak jelentésalapú módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Nevesített helyek

A szervezetek dönthetnek úgy, hogy az ismert hálózati helyeket nevesített helyként tartalmazzák a feltételes hozzáférési szabályzataikban. Ezek a megnevezett helyek megbízható IPv4-hálózatokat tartalmazhatnak, például egy fő irodahelyhez tartozókat. A megnevezett helyek konfigurálásával kapcsolatos további információkért lásd: Mi a helyfeltétel az Azure Active Directory feltételes hozzáférésében?

A fenti példaszabályzatban a szervezetek dönthetnek úgy, hogy nem igényelnek többtényezős hitelesítést, ha egy felhőalkalmazást a vállalati hálózatukról érnek el. Ebben az esetben a következő konfigurációt adhatják hozzá a szabályzathoz:

1. A Hozzárendelések területen válassza a Feltételek>helye lehetőséget.
   1. Konfigurálja az Igen beállítást.
   2. Adjon meg minden helyet.
   3. Zárja ki az Összes megbízható helyet.
   4. Válassza a Kész lehetőséget.
2. Válassza a Kész lehetőséget.
3. Mentse a szabályzat módosításait.

Következő lépések

Feltételes hozzáférés – gyakori szabályzatok

Bejelentkezési viselkedés szimulálása a feltételes hozzáférés what if eszközzel