Az Teljes felügyelet identitás- és eszközhozzáférési szabályzatok implementálásának előfeltételei
Ez a cikk azokat az előfeltételeket ismerteti, amelyeknek a rendszergazdáknak meg kell felelniük az ajánlott Teljes felügyelet identitás- és eszközhozzáférés-szabályzatok, valamint a feltételes hozzáférés használatához. Emellett ismerteti az ügyfélplatformok a legjobb egyszeri bejelentkezési (SSO-) élményhez való konfigurálásához ajánlott alapértelmezett beállításokat is.
Előfeltételek
A javasolt Teljes felügyelet identitás- és eszközhozzáférési szabályzatok használata előtt a szervezetnek meg kell felelnie az előfeltételeknek. A felsorolt különböző identitás- és hitelesítési modellek követelményei eltérőek:
- Csak felhőben
- Hibrid jelszókivonat-szinkronizálási (PHS-) hitelesítés
- Hibrid átmenő hitelesítéssel (PTA)
- Összevont
Az alábbi táblázat az összes identitásmodellre vonatkozó előfeltétel-funkciókat és azok konfigurációját ismerteti, kivéve, ha fel van jegyezve.
Konfiguráció | Kivételek | Licencelés |
---|---|---|
Konfigurálja a PHS-t. Ezt a funkciót engedélyezni kell a kiszivárgott hitelesítő adatok észleléséhez és a kockázatalapú feltételes hozzáféréshez való műveletekhez. Megjegyzés: Erre attól függetlenül szükség van, hogy a szervezet összevont hitelesítést használ-e. | Csak felhőben | Microsoft 365 E3 vagy E5 |
Engedélyezze a zökkenőmentes egyszeri bejelentkezést , hogy a felhasználók automatikusan bejelentkezhessenek, amikor a szervezeti eszközeiken csatlakoznak a szervezeti hálózathoz. | Csak felhőalapú és összevont | Microsoft 365 E3 vagy E5 |
Névvel ellátott helyek konfigurálása. Microsoft Entra ID-védelem összegyűjti és elemzi az összes elérhető munkamenet-adatot a kockázati pontszám létrehozásához. Javasoljuk, hogy a Microsoft Entra ID nevű helyek konfigurációjában adja meg a szervezet nyilvános IP-címtartományait a hálózatához. Az ezekből a tartományokból érkező forgalom alacsonyabb kockázati pontszámot kap, a szervezeti környezeten kívülről érkező forgalom pedig magasabb kockázati pontszámot kap. | Microsoft 365 E3 vagy E5 | |
Regisztrálja az összes felhasználót az önkiszolgáló jelszó-visszaállításra (SSPR) és a többtényezős hitelesítésre (MFA). Javasoljuk, hogy előre regisztráljon felhasználókat Microsoft Entra többtényezős hitelesítésre. Microsoft Entra ID-védelem Microsoft Entra többtényezős hitelesítést használ a további biztonsági ellenőrzés végrehajtásához. Emellett a legjobb bejelentkezési élmény érdekében azt javasoljuk, hogy a felhasználók telepítsék a Microsoft Authenticator alkalmazást és a Microsoft Céges portál alkalmazást az eszközeikre. Ezek minden platformhoz telepíthetők az App Store-ból. | Microsoft 365 E3 vagy E5 | |
Tervezze meg a Microsoft Entra hibrid csatlakozás implementációját. A feltételes hozzáférés gondoskodik arról, hogy az alkalmazásokhoz csatlakozó eszközök tartományhoz csatlakozzanak vagy megfelelőek legyenek. Ennek támogatásához Windows rendszerű számítógépeken az eszközt regisztrálni kell a Microsoft Entra ID. Ez a cikk az automatikus eszközregisztráció konfigurálását ismerteti. | Csak felhőben | Microsoft 365 E3 vagy E5 |
Készítse elő a támogatási csapatot. Olyan tervvel kell rendelkeznie a felhasználóknak, amelyek nem tudják elvégezni az MFA-t. Ez lehet, hogy hozzáadja őket egy szabályzatkizárási csoporthoz, vagy új MFA-információkat regisztrál hozzájuk. A biztonsági szempontból érzékeny módosítások elvégzése előtt meg kell győződnie arról, hogy a tényleges felhasználó küldi el a kérést. Hatékony lépés, ha a felhasználói vezetőknek segítségre van szükségük a jóváhagyáshoz. | Microsoft 365 E3 vagy E5 | |
Jelszóvisszaíró konfigurálása a helyszíni AD-be. A jelszóvisszaíró lehetővé teszi, hogy Microsoft Entra ID megkövetelje a felhasználóktól a helyszíni jelszavaik módosítását, ha magas kockázatú fiók biztonsága sérül. Ezt a funkciót kétféleképpen engedélyezheti a Microsoft Entra Connect használatával: engedélyezheti a Jelszóvisszaírót a Microsoft Entra Connect beállítás választható funkcióinak képernyőjén, vagy engedélyezheti Windows PowerShell keresztül. | Csak felhőben | Microsoft 365 E3 vagy E5 |
Konfigurálja Microsoft Entra jelszóvédelmet. Microsoft Entra Password Protection észleli és letiltja az ismert gyenge jelszavakat és azok változatait, valamint letilthatja a szervezetre jellemző további gyenge kifejezéseket is. A rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat a Microsoft Entra bérlő összes felhasználója számára. Az egyéni tiltott jelszavak listájában további bejegyzéseket is megadhat. Amikor a felhasználók módosítják vagy alaphelyzetbe állítják a jelszavukat, a rendszer ellenőrzi ezeket a tiltott jelszólistákat, hogy kényszerítsék az erős jelszavak használatát. | Microsoft 365 E3 vagy E5 | |
Engedélyezze Microsoft Entra ID-védelem. Microsoft Entra ID-védelem lehetővé teszi, hogy észlelje a szervezet identitását érintő potenciális biztonsági réseket, és konfiguráljon egy automatikus javítási szabályzatot alacsony, közepes és magas bejelentkezési kockázatra és felhasználói kockázatra. | Microsoft 365 E5 vagy Microsoft 365 E3 az E5 biztonsági bővítménnyel | |
Modern hitelesítés engedélyezéseExchange Online és Skype Vállalati verzió Online esetén. A modern hitelesítés az MFA használatának előfeltétele. A modern hitelesítés alapértelmezés szerint engedélyezve van az Office 2016- és 2019-ügyfelek, a SharePoint és a OneDrive Vállalati verzió esetében. | Microsoft 365 E3 vagy E5 | |
Engedélyezze Microsoft Entra ID folyamatos hozzáférés-kiértékelését. A folyamatos hozzáférés-kiértékelés proaktívan leállítja az aktív felhasználói munkameneteket, és közel valós időben kényszeríti ki a bérlői szabályzat módosításait. | Microsoft 365 E3 vagy E5 |
Ajánlott ügyfélkonfigurációk
Ez a szakasz azokat az alapértelmezett platformügyfél-konfigurációkat ismerteti, amelyeket javasoljuk, hogy a lehető legjobb egyszeri bejelentkezést biztosítsa a felhasználóknak, valamint a feltételes hozzáférés technikai előfeltételeit.
Windows-eszközök
Javasoljuk, hogy Windows 11 vagy Windows 10 (2004-es vagy újabb verzió), mivel az Azure úgy lett kialakítva, hogy a lehető leggördülékenyebb egyszeri bejelentkezést biztosítsa a helyszíni és a Microsoft Entra ID számára. A munkahelyi vagy iskolai eszközöknek úgy kell konfigurálva lenniük, hogy közvetlenül csatlakozzanak Microsoft Entra ID, vagy ha a szervezet helyszíni AD-tartományhoz való csatlakozást használ, ezeket az eszközöket úgy kell konfigurálni, hogy automatikusan és csendesen regisztráljanak az Microsoft Entra ID.
BYOD Windows-eszközök esetén a felhasználók használhatják a Munkahelyi vagy iskolai fiók hozzáadása lehetőséget. Vegye figyelembe, hogy a Google Chrome böngésző felhasználóinak Windows 11 vagy Windows 10 eszközökön telepíteniük kell egy bővítményt, hogy ugyanolyan zökkenőmentes bejelentkezési élményben legyen része, mint a Microsoft Edge-felhasználóknak. Ha szervezete tartományhoz csatlakoztatott Windows 8 vagy 8.1-es eszközökkel rendelkezik, a Microsoft Workplace Join alkalmazást nem Windows 10 számítógépekhez is telepítheti. Töltse le a csomagot, hogy regisztrálja az eszközöket a Microsoft Entra ID.
iOS-eszközök
Javasoljuk, hogy a Feltételes hozzáférés vagy az MFA-szabályzatok telepítése előtt telepítse a Microsoft Authenticator alkalmazást a felhasználói eszközökre. Az alkalmazást legalább akkor kell telepíteni, amikor a felhasználókat arra kérik, hogy regisztrálják eszközüket a Microsoft Entra ID munkahelyi vagy iskolai fiók hozzáadásával, vagy amikor telepítik a Intune vállalati portál alkalmazást, hogy regisztrálják az eszközüket a felügyeletbe. Ez a konfigurált feltételes hozzáférési szabályzattól függ.
Android-eszközök
Azt javasoljuk a felhasználóknak, hogy a feltételes hozzáférési szabályzatok telepítése előtt vagy bizonyos hitelesítési kísérletek során szükség esetén telepítsék a Intune Céges portál alkalmazást és a Microsoft Authenticator alkalmazást. Az alkalmazás telepítése után a rendszer kérheti a felhasználókat, hogy regisztráljanak Microsoft Entra ID, vagy regisztrálják eszközüket a Intune. Ez a konfigurált feltételes hozzáférési szabályzattól függ.
Azt is javasoljuk, hogy a szervezet tulajdonában lévő eszközök szabványosítva legyenek az Android for Work vagy a Samsung Knox operációs rendszert támogató operációs rendszereken és verziókon, hogy engedélyezhessenek e-mail fiókokat, Intune MDM-házirenddel felügyelhetők és védhetők.
Ajánlott e-mail-ügyfelek
A következő e-mail-ügyfelek támogatják a modern hitelesítést és a feltételes hozzáférést.
Platform | Ügyfél | Verzió/megjegyzések |
---|---|---|
A Windows | Outlook | 2019, 2016 |
iOS | iOS Outlook | Legújabb |
Android | Android Outlook | Legújabb |
macOS | Outlook | 2019 és 2016 |
Linux | Nem támogatott |
Ajánlott ügyfélplatformok a dokumentumok biztonságossá tételénél
A biztonságos dokumentumokra vonatkozó szabályzat alkalmazásakor a következő ügyfelek használata ajánlott.
Platform | Word/Excel/PowerPoint | OneNote | OneDrive App | SharePoint App | OneDrive szinkronizálási app-ügyfél |
---|---|---|---|---|---|
Windows 11 vagy Windows 10 | Támogatott | Támogatott | – | – | Támogatott |
Windows 8.1 | Támogatott | Támogatott | – | – | Támogatott |
Android | Támogatott | Támogatott | Támogatott | Támogatott | – |
iOS | Támogatott | Támogatott | Támogatott | Támogatott | – |
macOS | Támogatott | Támogatott | – | – | Nem támogatott |
Linux | Nem támogatott | Nem támogatott | Nem támogatott | Nem támogatott | Nem támogatott |
Microsoft 365-ügyféltámogatás
A Microsoft 365 ügyféltámogatásával kapcsolatos további információkért tekintse meg a következő cikkeket:
- Microsoft 365-ügyfélalkalmazások támogatása – Feltételes hozzáférés
- Microsoft 365-ügyfélalkalmazások támogatása – többtényezős hitelesítés
Rendszergazdai fiókok védelme
Microsoft 365 E3 vagy E5 esetén, illetve különálló P1 vagy P2 licenccel rendelkező Microsoft Entra ID esetén MFA szükséges a manuálisan létrehozott feltételes hozzáférési szabályzattal rendelkező rendszergazdai fiókokhoz. A részletekért lásd : Feltételes hozzáférés: MFA megkövetelése rendszergazdák számára.
A Microsoft 365 vagy Office 365 olyan kiadásai esetében, amelyek nem támogatják a feltételes hozzáférést, engedélyezheti az alapértelmezett biztonsági beállításokat az MFA megköveteléséhez az összes fiókhoz.
Íme néhány további javaslat:
- Az állandó rendszergazdai fiókok számának csökkentéséhez használja a Microsoft Entra Privileged Identity Management.
- Emelt szintű hozzáférés-kezeléssel megvédheti a szervezetet azokkal a biztonsági incidensekkel szemben, amelyek bizalmas adatokhoz vagy kritikus konfigurációs beállításokhoz való folyamatos hozzáféréssel rendelkező, meglévő kiemelt rendszergazdai fiókokat használhatnak.
- Hozzon létre és használjon különálló fiókokat, amelyek csak rendszergazdai szerepkörökhöz vannak hozzárendelve Microsoft 365-ös rendszergazdai szerepkörökhöz. A rendszergazdáknak saját felhasználói fiókkal kell rendelkezniük a rendszeres nem rendszergazdai használathoz, és csak akkor használnak rendszergazdai fiókot, ha szükséges a szerepkörükhöz vagy feladatukhoz társított feladat elvégzéséhez.
- Kövesse az ajánlott eljárásokat az emelt szintű fiókok védelméhez Microsoft Entra ID.
További lépés
A gyakori Teljes felügyelet identitás- és eszközhozzáférés-szabályzatok konfigurálása
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: