Feltételes hozzáférés: Hozzáférés letiltása

  • Cikk

A konzervatív felhőbeli migrálási megközelítéssel rendelkező szervezetek esetében a minden szabályzat letiltása egy olyan lehetőség, amely használható.

Figyelem

A blokkszabályzat helytelen konfigurálása a szervezetek zárolását eredményezheti.

Az ilyen szabályzatoknak nem kívánt mellékhatásai lehetnek. A megfelelő tesztelés és ellenőrzés elengedhetetlen az engedélyezés előtt. Rendszergazda istratoroknak olyan eszközöket kell használniuk, mint a A feltételes hozzáférés jelentéskészítési módja és a Mi a teendő a feltételes hozzáférésben a módosítások végrehajtásakor.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Feltételes hozzáférési szabályzat létrehozása

Az alábbi lépések segítenek feltételes hozzáférési szabályzatokat létrehozni az összes alkalmazáshoz való hozzáférés letiltásához, kivéve az Office 365-öt , ha a felhasználók nem megbízható hálózaton dolgoznak. Ezek a szabályzatok csak jelentés módban indulnak el, hogy a rendszergazdák megállapíthassák, milyen hatással lesznek a meglévő felhasználókra. Ha a rendszergazdák számára kényelmes, hogy a szabályzatok a kívánt módon legyenek érvényben, bekapcsolhatják őket.

Az első szabályzat letiltja az összes alkalmazás elérését, kivéve a Microsoft 365-alkalmazásokat, ha nem megbízható helyen.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a szabályzatnak. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
  6. A Célerőforrások>felhőalkalmazások területen válassza a következő beállításokat:
    1. A Belefoglalás csoportban válassza az Összes felhőalkalmazás lehetőséget.
    2. A Kizárás csoportban válassza az Office 365, majd a Kiválasztás lehetőséget.
  7. Feltételek szerint:
    1. Feltételek szerinti >hely.
      1. Konfigurálás beállítása igen értékre
      2. A Belefoglalás csoportban válassza a Bármely hely lehetőséget.
      3. A Kizárás csoportban válassza az Összes megbízható hely lehetőséget.
    2. Az Ügyfélalkalmazások területen állítsa a Konfigurálás igen értékre, és válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>megadása területen válassza a Hozzáférés letiltása, majd a Kiválasztás lehetőséget.
  9. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Az alábbiakban egy második szabályzat jön létre, amely többtényezős hitelesítést vagy megfelelő eszközt igényel a Microsoft 365 felhasználói számára.

  1. Válassza az Új szabályzat létrehozása lehetőséget.
  2. Adjon nevet a szabályzatnak. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  3. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
  4. A Célerőforrások területen a felhőalkalmazások>tartalmazzák>az alkalmazások kiválasztását, az Office 365-öt, majd a Kiválasztás lehetőséget.>
  5. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Többtényezős hitelesítés megkövetelése és Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget, válassza a Kiválasztás lehetőséget.
    2. Győződjön meg arról, hogy a kijelölt vezérlők egyikének megkövetelése van kiválasztva.
    3. Válassza a lehetőséget.
  6. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  7. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Megjegyzés:

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

További lépések

Feltételes hozzáférési sablonok

Az effektus meghatározása csak feltételes hozzáférési móddal

A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.