Általános feltételes hozzáférési szabályzat: MFA megkövetelése minden felhasználó számára
Ahogy Alex Weinert, a Microsoft Identitásbiztonság címtára, megemlíti blogbejegyzésében a Pa$$word nem számít:
A jelszó nem számít, de az MFA igen! Tanulmányaink alapján a fiókja több mint 99,9%-kal kisebb valószínűséggel lesz illetéktelen kezekbe, ha MFA-t használ.
Az ebben a cikkben található útmutató segítséget nyújt a szervezetnek egy MFA-szabályzat létrehozásához a környezethez.
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:
- A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáférés vagy biztonsági mentési fiókok. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiókjával bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
- További információt a vészhelyzeti hozzáférési fiókok kezelése Azure AD című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Azure AD Szinkronizálási fiók csatlakoztatása. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem hajtható végre. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem tiltja le.
- Ha szervezete használja ezeket a fiókokat szkriptekben vagy kódban, érdemes lehet felügyelt identitásokra cserélni őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.
Alkalmazáskizárások
A szervezetek számos felhőalkalmazást használhatnak. Nem minden alkalmazás igényelhet egyenlő biztonságot. Előfordulhat például, hogy a bérszámfejtési és részvételi kérelmekhez MFA szükséges, de a cafeteria valószínűleg nem. A rendszergazdák dönthetnek úgy, hogy bizonyos alkalmazásokat kizárnak a szabályzatukból.
Előfizetés aktiválása
Azok a szervezetek, amelyek előfizetés-aktiválást használnak, hogy lehetővé tegyék a felhasználók számára a Windows egyik verziójáról a másikra való "lépés" lehetőségét, érdemes lehet kizárni az Univerzális áruház szolgáltatás API-jait és webalkalmazásait, az AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f házirendet az összes felhasználójukból.
Sablonalapú telepítés
A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok (előzetes verzió) használatával telepíthetik ezt a szabályzatot.
Feltételes hozzáférési szabályzat létrehozása
Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy minden felhasználó többtényezős hitelesítést végezhessen.
- Jelentkezzen be a Azure Portal feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként.
- Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférését.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a szabályzatnak. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések területen válassza a Felhasználók vagy a számítási feladat identitásai lehetőséget.
- A Belefoglalás területen válassza a Minden felhasználó lehetőséget
- A Kizárás területen válassza a Felhasználók és csoportok elemet , és válassza ki a szervezet vészhelyzeti hozzáférését vagy törésüveg-fiókjait.
- A Felhőalkalmazások vagy műveletek>Belefoglalva területen válassza a Minden felhőalkalmazás lehetőséget.
- A Kizárás területen válassza ki azokat az alkalmazásokat, amelyekhez nincs szükség többtényezős hitelesítésre.
- A Hozzáférés-vezérlések>Megadása területen válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután megerősítette a beállításokat a csak jelentésalapú módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.
Nevesített helyek
A szervezetek dönthetnek úgy, hogy az ismert hálózati helyeket nevesített helyként tartalmazzák a feltételes hozzáférési szabályzataikban. Ezek a megnevezett helyek megbízható IPv4-hálózatokat tartalmazhatnak, például egy fő irodahelyhez tartozókat. A megnevezett helyek konfigurálásával kapcsolatos további információkért lásd: Mi a helyfeltétel az Azure Active Directory feltételes hozzáférésében?
A fenti példaszabályzatban a szervezetek dönthetnek úgy, hogy nem igényelnek többtényezős hitelesítést, ha egy felhőalkalmazást a vállalati hálózatukról érnek el. Ebben az esetben a következő konfigurációt adhatják hozzá a szabályzathoz:
- A Hozzárendelések területen válassza a Feltételek>helye lehetőséget.
- Konfigurálja az Igen beállítást.
- Adjon meg minden helyet.
- Zárja ki az Összes megbízható helyet.
- Válassza a Kész lehetőséget.
- Válassza a Kész lehetőséget.
- Mentse a szabályzat módosításait.
Következő lépések
Feltételes hozzáférés – gyakori szabályzatok
Bejelentkezési viselkedés szimulálása a feltételes hozzáférés what if eszközzel