Általános feltételes hozzáférési szabályzat: MFA megkövetelése minden felhasználó számára

Ahogy Alex Weinert, a Microsoft Identitásbiztonság címtára, megemlíti blogbejegyzésében a Pa$$word nem számít:

A jelszó nem számít, de az MFA igen! Tanulmányaink alapján a fiókja több mint 99,9%-kal kisebb valószínűséggel lesz illetéktelen kezekbe, ha MFA-t használ.

Az ebben a cikkben található útmutató segítséget nyújt a szervezetnek egy MFA-szabályzat létrehozásához a környezethez.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáférés vagy biztonsági mentési fiókok. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiókjával bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Azure AD Szinkronizálási fiók csatlakoztatása. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem hajtható végre. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem tiltja le.
    • Ha szervezete használja ezeket a fiókokat szkriptekben vagy kódban, érdemes lehet felügyelt identitásokra cserélni őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Alkalmazáskizárások

A szervezetek számos felhőalkalmazást használhatnak. Nem minden alkalmazás igényelhet egyenlő biztonságot. Előfordulhat például, hogy a bérszámfejtési és részvételi kérelmekhez MFA szükséges, de a cafeteria valószínűleg nem. A rendszergazdák dönthetnek úgy, hogy bizonyos alkalmazásokat kizárnak a szabályzatukból.

Előfizetés aktiválása

Azok a szervezetek, amelyek előfizetés-aktiválást használnak, hogy lehetővé tegyék a felhasználók számára a Windows egyik verziójáról a másikra való "lépés" lehetőségét, érdemes lehet kizárni az Univerzális áruház szolgáltatás API-jait és webalkalmazásait, az AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f házirendet az összes felhasználójukból.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok (előzetes verzió) használatával telepíthetik ezt a szabályzatot.

Feltételes hozzáférési szabályzat létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy minden felhasználó többtényezős hitelesítést végezhessen.

  1. Jelentkezzen be a Azure Portal feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként.
  2. Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférését.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a szabályzatnak. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések területen válassza a Felhasználók vagy a számítási feladat identitásai lehetőséget.
    1. A Belefoglalás területen válassza a Minden felhasználó lehetőséget
    2. A Kizárás területen válassza a Felhasználók és csoportok elemet , és válassza ki a szervezet vészhelyzeti hozzáférését vagy törésüveg-fiókjait.
  6. A Felhőalkalmazások vagy műveletek>Belefoglalva területen válassza a Minden felhőalkalmazás lehetőséget.
    1. A Kizárás területen válassza ki azokat az alkalmazásokat, amelyekhez nincs szükség többtényezős hitelesítésre.
  7. A Hozzáférés-vezérlések>Megadása területen válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a csak jelentésalapú módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Nevesített helyek

A szervezetek dönthetnek úgy, hogy az ismert hálózati helyeket nevesített helyként tartalmazzák a feltételes hozzáférési szabályzataikban. Ezek a megnevezett helyek megbízható IPv4-hálózatokat tartalmazhatnak, például egy fő irodahelyhez tartozókat. A megnevezett helyek konfigurálásával kapcsolatos további információkért lásd: Mi a helyfeltétel az Azure Active Directory feltételes hozzáférésében?

A fenti példaszabályzatban a szervezetek dönthetnek úgy, hogy nem igényelnek többtényezős hitelesítést, ha egy felhőalkalmazást a vállalati hálózatukról érnek el. Ebben az esetben a következő konfigurációt adhatják hozzá a szabályzathoz:

  1. A Hozzárendelések területen válassza a Feltételek>helye lehetőséget.
    1. Konfigurálja az Igen beállítást.
    2. Adjon meg minden helyet.
    3. Zárja ki az Összes megbízható helyet.
    4. Válassza a Kész lehetőséget.
  2. Válassza a Kész lehetőséget.
  3. Mentse a szabályzat módosításait.

Következő lépések

Feltételes hozzáférés – gyakori szabályzatok

Bejelentkezési viselkedés szimulálása a feltételes hozzáférés what if eszközzel