3. lépés: A Microsoft 365-ös felhasználói fiókok védelme
Tekintse meg az összes kisvállalati verzióval kapcsolatos tartalmunkat a Kisvállalati segítség és képzésen.
A felhasználói bejelentkezések biztonságának növelése:
- A Vállalati Windows Hello használata
- A Microsoft Entra Jelszóvédelem használata
- Többtényezős hitelesítés (MFA) használata
- Identitás- és eszközhozzáférés-konfigurációk üzembe helyezése
- Védelem a hitelesítő adatok sérülése ellen a Microsoft Entra ID-védelem
Vállalati Windows Hello
Vállalati Windows Hello a Windows 11 Nagyvállalati verzió a jelszavakat erős kétfaktoros hitelesítésre cseréli windowsos eszközre való bejelentkezéskor. A két tényező egy új típusú felhasználói hitelesítő adat, amely egy eszközhöz és egy biometrikus vagy PIN-kódhoz van kötve.
További információ: Vállalati Windows Hello Áttekintés.
Microsoft Entra Jelszóvédelem
Microsoft Entra Password Protection észleli és letiltja az ismert gyenge jelszavakat és azok változatait, valamint letilthatja a szervezetre jellemző további gyenge kifejezéseket is. A rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat a Microsoft Entra bérlő összes felhasználója számára. Az egyéni tiltott jelszavak listájában további bejegyzéseket is megadhat. Amikor a felhasználók módosítják vagy alaphelyzetbe állítják a jelszavukat, a rendszer ellenőrzi ezeket a tiltott jelszólistákat, hogy kényszerítsék az erős jelszavak használatát.
További információ: Microsoft Entra jelszóvédelem konfigurálása.
MFA
Az MFA megköveteli, hogy a felhasználói bejelentkezéseket a felhasználói fiók jelszaván túl további ellenőrzésnek kell alávetni. Még akkor is, ha egy rosszindulatú felhasználó meghatároz egy felhasználói fiók jelszavát, képesnek kell lennie válaszolnia egy további ellenőrzésre is, például egy sms-nek, amelyet a hozzáférés megadása előtt egy okostelefonra küldenek.
Az MFA használatának első lépése az , hogy minden rendszergazdai fiókhoz megkövetelje, más néven kiemelt jogosultságú fiókokhoz. Az első lépésen túl a Microsoft az MFA használatát javasolja minden felhasználó számára.
A Microsoft 365-csomag alapján háromféleképpen követelheti meg a felhasználóktól az MFA használatát.
| Csomag | Javaslat |
|---|---|
| Minden Microsoft 365-csomag (Microsoft Entra ID P1 vagy P2 licenc nélkül) | Engedélyezze az alapértelmezett biztonsági beállításokat a Microsoft Entra ID. A Microsoft Entra ID alapértelmezett biztonsági beállításai közé tartozik az MFA a felhasználók és rendszergazdák számára. |
| Microsoft 365 E3 (Microsoft Entra ID P1 licenceket is tartalmaz) | A következő szabályzatok konfigurálásához használja a gyakori feltételes hozzáférési szabályzatokat : - MFA megkövetelése rendszergazdák számára - MFA megkövetelése minden felhasználó számára - Örökölt hitelesítés letiltása |
| Microsoft 365 E5 (Microsoft Entra ID P2 licenceket tartalmaz) | A Microsoft Entra ID-védelem kihasználva kezdje el implementálni a Microsoft által javasolt feltételes hozzáférési és kapcsolódó szabályzatokat az alábbi két szabályzat létrehozásával: - MFA megkövetelése, ha a bejelentkezési kockázat közepes vagy magas - A nagy kockázatú felhasználóknak módosítaniuk kell a jelszót |
Alapértelmezett biztonsági beállítások
Az alapértelmezett biztonsági beállítások a Microsoft 365 új funkciója, és Office 365 2019. október 21. után létrehozott fizetős vagy próbaverziós előfizetések. Ezekben az előfizetésekben be vannak kapcsolva az alapértelmezett biztonsági beállítások, ami megköveteli, hogy az összes felhasználó az MFA-t használja a Microsoft Authenticator alkalmazással.
A felhasználóknak 14 napjuk van arra, hogy regisztráljanak az MFA-ra a Microsoft Authenticator alkalmazással az okostelefonjukról, ami az alapértelmezett biztonsági beállítások engedélyezése után az első bejelentkezéstől kezdődik. 14 nap elteltével a felhasználó nem tud bejelentkezni, amíg az MFA-regisztráció be nem fejeződik.
Az alapértelmezett biztonsági beállítások biztosítják, hogy minden szervezet alapszintű biztonsági szinttel rendelkezzen a felhasználói bejelentkezéshez, amely alapértelmezés szerint engedélyezve van. Letilthatja az alapértelmezett biztonsági beállításokat az MFA feltételes hozzáférési szabályzatokkal vagy az egyes fiókok esetében.
További információkért tekintse meg az alapértelmezett biztonsági beállítások áttekintését.
Feltételes hozzáférési szabályzatok
A feltételes hozzáférési szabályzatok olyan szabályok, amelyek meghatározzák a bejelentkezések kiértékelésének és a hozzáférés megadásának feltételeit. Létrehozhat például egy feltételes hozzáférési szabályzatot, amely a következőt állítja be:
- Ha a felhasználói fióknév tagja egy csoportnak az Exchange, a felhasználó, a jelszó, a biztonság, a SharePoint, az Exchange-rendszergazda, a SharePoint-rendszergazda vagy a globális rendszergazdai szerepkörrel rendelkező felhasználók számára, a hozzáférés engedélyezése előtt MFA szükséges.
Ez a szabályzat lehetővé teszi, hogy csoporttagság alapján megkövetelje az MFA-t ahelyett, hogy egyéni felhasználói fiókokat próbálna konfigurálni az MFA-hoz, amikor ezekhez a rendszergazdai szerepkörökhöz vannak hozzárendelve vagy ki vannak rendelve.
A feltételes hozzáférési szabályzatokat speciálisabb képességekhez is használhatja, például megkövetelheti a bejelentkezést egy megfelelő eszközről, például a Windows 11 futó laptopról.
A feltételes hozzáféréshez Microsoft Entra ID P1-licencek szükségesek, amelyek a Microsoft 365 E3 és az E5 csomag részét képezik.
További információ: A feltételes hozzáférés áttekintése.
A metódusok együttes használata
Tartsa szem előtt a következőket:
- Ha a feltételes hozzáférési szabályzatok engedélyezve vannak, nem engedélyezheti az alapértelmezett biztonsági beállításokat.
- Nem engedélyezhet feltételes hozzáférési szabályzatokat, ha engedélyezve vannak az alapértelmezett biztonsági beállítások.
Ha az alapértelmezett biztonsági beállítások engedélyezve vannak, a rendszer minden új felhasználótól MFA-regisztrációt és a Microsoft Authenticator alkalmazás használatát kéri.
Ez a táblázat az MFA alapértelmezett biztonsági és feltételes hozzáférési szabályzatokkal történő engedélyezésének eredményeit mutatja be.
| Módszer | Engedélyezve. | Letiltva | További hitelesítési módszer |
|---|---|---|---|
| Alapértelmezett biztonsági beállítások | A feltételes hozzáférési szabályzatok nem használhatók | Használhat feltételes hozzáférési szabályzatokat | Microsoft Authenticator alkalmazás |
| Feltételes hozzáférési szabályzatok | Ha bármelyik engedélyezve van, nem engedélyezheti az alapértelmezett biztonsági beállításokat | Ha minden le van tiltva, engedélyezheti az alapértelmezett biztonsági beállításokat | A felhasználó az MFA-regisztráció során adja meg |
Teljes felügyeletű identitás- és eszközhozzáférési konfigurációk
Teljes felügyelet az identitás- és eszközhozzáférés-beállítások és -szabályzatok ajánlott előfeltételként szolgáló funkciók és beállításaik feltételes hozzáféréssel, Intune és Microsoft Entra ID-védelem szabályzatokkal kombinálva, amelyek meghatározzák, hogy egy adott hozzáférési kérést meg kell-e adni, és milyen feltételek mellett. Ez a meghatározás a bejelentkezés felhasználói fiókján, a használt eszközön, a felhasználó által a hozzáféréshez használt alkalmazáson, a hozzáférési kérelem helyén és a kérelem kockázatának felmérésén alapul. Ez a képesség biztosítja, hogy csak a jóváhagyott felhasználók és eszközök férhessenek hozzá a kritikus fontosságú erőforrásokhoz.
Megjegyzés:
Microsoft Entra ID-védelem Microsoft Entra ID P2 licencre van szükség, amelyek a Microsoft 365 E5 részét képezik.
Az identitás- és eszközhozzáférés-szabályzatok három szinten használhatók:
- Az alapkonfiguráció védelme az alkalmazásokhoz és adatokhoz hozzáférő identitások és eszközök minimális biztonsági szintje.
- A bizalmas védelem további biztonságot nyújt bizonyos adatok számára. Az identitások és az eszközök magasabb szintű biztonsági és eszközállapot-követelmények hatálya alá tartoznak.
- A szigorúan szabályozott vagy besorolt adatokkal rendelkező környezetek védelme általában kis mennyiségű, szigorúan besorolt, üzleti titkokat tartalmazó vagy adatszabályzat hatálya alá tartozó adatra vonatkozik. Az identitások és az eszközök sokkal magasabb biztonsági és eszközállapot-követelmények hatálya alá tartoznak.
Ezek a szintek és a hozzájuk tartozó konfigurációk egységes szintű védelmet biztosítanak az adatok, identitások és eszközök számára.
A Microsoft kifejezetten javasolja Teljes felügyelet identitás- és eszközhozzáférési szabályzatok konfigurálását és bevezetését a szervezetben, beleértve a Microsoft Teams, a Exchange Online és a SharePoint speciális beállításait. További információ: Teljes felügyelet identitás- és eszközhozzáférés-konfigurációk.
Microsoft Entra ID-védelem
Ebben a szakaszban megtudhatja, hogyan konfigurálhat olyan szabályzatokat, amelyek védelmet nyújtanak a hitelesítő adatok sérülése ellen, amikor egy támadó meghatározza a felhasználó fióknevét és jelszavát a szervezet felhőszolgáltatásaihoz és adataihoz való hozzáféréshez. Microsoft Entra ID-védelem számos módszert kínál annak megakadályozására, hogy egy támadó veszélyeztetje a felhasználói fiók hitelesítő adatait.
A Microsoft Entra ID-védelem az alábbiakat teheti:
| Képesség | Leírás |
|---|---|
| A szervezet identitásaiban található lehetséges biztonsági rések meghatározása és kezelése | Microsoft Entra ID gépi tanulással észleli az anomáliákat és gyanús tevékenységeket, például a bejelentkezéseket és a bejelentkezés utáni tevékenységeket. Ezen adatok felhasználásával Microsoft Entra ID-védelem jelentéseket és riasztásokat hoz létre, amelyek segítenek a problémák kiértékelésében és a műveletek végrehajtásában. |
| Észleli a szervezet identitásaihoz kapcsolódó gyanús műveleteket, és automatikusan válaszol rájuk | Olyan kockázatalapú szabályzatokat konfigurálhat, amelyek automatikusan reagálnak az észlelt problémákra egy adott kockázati szint elérésekor. Ezek a szabályzatok a Microsoft Entra ID és Microsoft Intune által biztosított egyéb feltételes hozzáférés-vezérlőkön kívül automatikusan letilthatják a hozzáférést, vagy korrekciós műveleteket hajthatnak végre, beleértve a jelszó-visszaállítást, és Microsoft Entra többtényezős hitelesítést igényelnek a későbbi bejelentkezésekhez. |
| Gyanús incidensek kivizsgálása és megoldása rendszergazdai műveletekkel | A kockázati eseményeket a biztonsági incidenssel kapcsolatos információk alapján vizsgálhatja meg. Alapszintű munkafolyamatok érhetők el a vizsgálatok nyomon követéséhez és a javítási műveletek, például a jelszó-visszaállítás kezdeményezéséhez. |
További információ a Microsoft Entra ID-védelem.
Tekintse meg a Microsoft Entra ID-védelem engedélyezésének lépéseit.
technikai erőforrások Rendszergazda az MFA-hoz és a biztonságos bejelentkezésekhez
- Microsoft 365 MFA
- Identitás üzembe helyezése a Microsoft 365-ben
- Azure Academy Microsoft Entra ID oktatóvideó
- A Microsoft Entra többtényezős hitelesítés regisztrációs szabályzatának konfigurálása
- Identitás- és eszközhozzáférési konfigurációk
További lépés
Folytassa a 4. lépéssel az identitásinfrastruktúra a választott identitásmodell alapján történő üzembe helyezéséhez:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: