Az Teljes felügyelet identitás- és eszközhozzáférési szabályzatok implementálásának előfeltételei
Ez a cikk ismerteti azokat az előfeltételeket, amelyeknek a rendszergazdáknak meg kell felelniük az ajánlott Teljes felügyelet identitás- és eszközelérési szabályzatok használatához, valamint a feltételes hozzáférés használatához. Emellett ismerteti az ügyfélplatformok a legjobb egyszeri bejelentkezéshez (SSO) való konfigurálásához javasolt alapértelmezett beállításokat is.
Előfeltételek
Az ajánlott Teljes felügyelet identitás- és eszközhozzáférési szabályzatok használata előtt a szervezetnek teljesítenie kell az előfeltételeket. A felsorolt identitás- és hitelesítési modellekre vonatkozó követelmények eltérőek:
- Csak felhőbeli
- Hibrid jelszókivonat-szinkronizálási (PHS-) hitelesítéssel
- Hibrid átmenő hitelesítéssel (PTA)
- Összevont
Az alábbi táblázat az összes identitásmodellre vonatkozó előfeltétel-szolgáltatásokat és azok konfigurációját ismerteti, kivéve, ha fel van jegyezve.
| Konfiguráció | Kivételek | Licencek |
|---|---|---|
| PhS konfigurálása. Ezt a funkciót engedélyezni kell a kiszivárgott hitelesítő adatok észleléséhez és a kockázatalapú feltételes hozzáféréshez való fellépéshez. Vegye figyelembe, hogy ez attól függetlenül szükséges, hogy a szervezet összevont hitelesítést használ-e. | Csak felhőbeli | Microsoft 365 E3 vagy E5 |
| Engedélyezze a zökkenőmentes egyszeri bejelentkezést a felhasználók automatikus bejelentkezéséhez, amikor a szervezeti hálózatához csatlakoztatott szervezeti eszközeiken vannak. | Csak felhőalapú és összevont | Microsoft 365 E3 vagy E5 |
| Névvel ellátott helyek konfigurálása. Microsoft Entra ID-védelem összegyűjti és elemzi az összes elérhető munkamenet-adatot a kockázati pontszám létrehozásához. Javasoljuk, hogy a Microsoft Entra ID nevű helyek konfigurációjában adja meg a szervezet nyilvános IP-tartományait a hálózatához. Az ilyen tartományokból érkező forgalom alacsonyabb kockázati pontszámot kap, a szervezeti környezeten kívüli forgalom pedig magasabb kockázati pontszámot kap. | Microsoft 365 E3 vagy E5 | |
| Regisztráljon minden felhasználót az önkiszolgáló jelszó-visszaállításhoz (SSPR) és a többtényezős hitelesítéshez (MFA). Javasoljuk, hogy előre regisztrálja a felhasználókat a Microsoft Entra többtényezős hitelesítésére. Microsoft Entra ID-védelem a Microsoft Entra többtényezős hitelesítést használja további biztonsági ellenőrzés végrehajtásához. Emellett a legjobb bejelentkezési élmény érdekében javasoljuk, hogy a felhasználók telepítsék a Microsoft Authenticator alkalmazást és a Microsoft Céges portál alkalmazást az eszközeikre. Ezek minden platformhoz telepíthetők az App Store-ból. | Microsoft 365 E3 vagy E5 | |
| Tervezze meg a Microsoft Entra hibrid csatlakozás implementációját. A feltételes hozzáférés gondoskodik arról, hogy az alkalmazásokhoz csatlakozó eszközök tartományhoz csatlakozzanak vagy megfelelőek legyenek. Ennek a Windows rendszerű számítógépeken való támogatásához az eszközt a Microsoft Entra-azonosítóval kell regisztrálni. Ez a cikk az automatikus eszközregisztráció konfigurálását ismerteti. | Csak felhőbeli | Microsoft 365 E3 vagy E5 |
| Készítse elő a támogatási csoportot. Olyan tervvel rendelkezik, amely nem tudja befejezni az MFA-t. Ez lehet, hogy hozzáadja őket egy szabályzatkizárási csoporthoz, vagy új MFA-információkat regisztrál hozzájuk. A biztonsági szempontból érzékeny módosítások bármelyikének elvégzése előtt meg kell győződnie arról, hogy a tényleges felhasználó a kérést hajtja végre. Hatékony lépés, ha a felhasználók kezelőinek segítségre van szükségük a jóváhagyáshoz. | Microsoft 365 E3 vagy E5 | |
| Jelszóvisszaíró konfigurálása a helyszíni AD-be. A jelszóvisszaírás lehetővé teszi, hogy a Microsoft Entra-azonosító megkövetelje a felhasználóktól a helyszíni jelszavak módosítását, ha magas kockázatú fiók sérülését észlelik. Ezt a funkciót kétféleképpen engedélyezheti a Microsoft Entra Csatlakozás használatával: engedélyezheti a jelszóvisszaírást a Microsoft Entra választható funkcióinak képernyőjén Csatlakozás beállításában, vagy engedélyezheti a Windows PowerShellen keresztül. | Csak felhőbeli | Microsoft 365 E3 vagy E5 |
| Konfigurálja a Microsoft Entra jelszóvédelmét. A Microsoft Entra Password Protection észleli és letiltja az ismert gyenge jelszavakat és azok változatait, valamint letilthatja a szervezetre jellemző további gyenge kifejezéseket is. A rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat a Microsoft Entra-bérlő összes felhasználója számára. Egyéni tiltott jelszólistában további bejegyzéseket is megadhat. Amikor a felhasználók módosítják vagy visszaállítják a jelszavaikat, a tiltott jelszólistákat ellenőrzik, hogy kényszerítsék az erős jelszavak használatát. | Microsoft 365 E3 vagy E5 | |
| Engedélyezze a Microsoft Entra ID-védelem. Microsoft Entra ID-védelem lehetővé teszi a szervezet identitásait érintő lehetséges biztonsági rések észlelését, valamint egy automatizált szervizelési szabályzat alacsony, közepes és magas bejelentkezési kockázatra és felhasználói kockázatra való konfigurálását. | Microsoft 365 E5 vagy Microsoft 365 E3 az E5 Biztonsági bővítményrel | |
| Engedélyezze a modern hitelesítést az Exchange Online-hozés a Skype Vállalati verzió Online-hoz. A modern hitelesítés az MFA használatának előfeltétele. A modern hitelesítés alapértelmezés szerint engedélyezve van az Office 2016- és 2019-ügyfelek, a SharePoint és a OneDrive Vállalati verzió esetében. | Microsoft 365 E3 vagy E5 | |
| Folyamatos hozzáférés-kiértékelés engedélyezése a Microsoft Entra-azonosítóhoz. A folyamatos hozzáférés-kiértékelés proaktív módon leállítja az aktív felhasználói munkameneteket, és közel valós időben kényszeríti ki a bérlői szabályzat módosításait. | Microsoft 365 E3 vagy E5 |
Ajánlott ügyfélkonfigurációk
Ez a szakasz azokat az alapértelmezett platform-ügyfélkonfigurációkat ismerteti, amelyeket javasoljuk, hogy a lehető legjobb egyszeri bejelentkezést nyújtsa a felhasználóknak, valamint a feltételes hozzáférés technikai előfeltételeit.
Windows rendszerű eszközök
A Windows 11 vagy a Windows 10 (2004-es vagy újabb verzió) használatát javasoljuk, mivel az Azure úgy lett kialakítva, hogy a lehető leggördülékenyebb egyszeri bejelentkezést biztosítsa a helyszíni és a Microsoft Entra-azonosítóhoz is. A munkahelyi vagy iskolai eszközöknek úgy kell konfigurálva lenniük, hogy közvetlenül csatlakozzanak a Microsoft Entra-azonosítóhoz, vagy ha a szervezet helyszíni AD-tartományhoz való csatlakozást használ, ezeket az eszközöket úgy kell konfigurálni, hogy automatikusan és csendesen regisztráljanak a Microsoft Entra-azonosítóval.
BYOD Windows-eszközök esetén a felhasználók használhatják a Munkahelyi vagy iskolai fiók hozzáadása lehetőséget. Vegye figyelembe, hogy a Windows 11 vagy Windows 10 rendszerű eszközökön a Google Chrome böngésző felhasználóinak telepíteniük kell egy bővítményt , hogy ugyanolyan zökkenőmentes bejelentkezési élményt kapjanak, mint a Microsoft Edge-felhasználók. Ha a szervezet tartományhoz csatlakoztatott Windows 8 vagy 8.1 rendszerű eszközökkel rendelkezik, telepítheti a Microsoft Workplace Join alkalmazást nem Windows 10 rendszerű számítógépekre. Töltse le a csomagot az eszközök Microsoft Entra-azonosítóval való regisztrálásához .
iOS-eszközök
Javasoljuk, hogy a Feltételes hozzáférési vagy MFA-szabályzatok telepítése előtt telepítse a Microsoft Authenticator alkalmazást felhasználói eszközökre. Legalább akkor kell telepíteni az alkalmazást, ha a rendszer arra kéri a felhasználókat, hogy regisztrálják eszközüket a Microsoft Entra-azonosítóban egy munkahelyi vagy iskolai fiók hozzáadásával, vagy amikor telepítik az Intune vállalati portálalkalmazást az eszköz felügyeletbe való regisztrálásához. Ez a konfigurált feltételes hozzáférési szabályzattól függ.
Androidos eszközök
Javasoljuk, hogy a felhasználók a feltételes hozzáférési szabályzatok üzembe helyezése vagy bizonyos hitelesítési kísérletek során szükség esetén telepítse a Intune Céges portál alkalmazást és a Microsoft Authenticator alkalmazást. Az alkalmazás telepítése után előfordulhat, hogy a felhasználókat arra kérik, hogy regisztráljanak a Microsoft Entra-azonosítóval, vagy regisztrálják eszközüket az Intune-ban. Ez a konfigurált feltételes hozzáférési szabályzattól függ.
Azt is javasoljuk, hogy a szervezeti tulajdonú eszközök szabványosítva legyenek az operációs rendszereken és az Android for Work-t vagy a Samsung Knoxot támogató verziókon a levelezési fiókok engedélyezéséhez, az Intune MDM-szabályzatának felügyeletéhez és védelméhez.
Ajánlott e-mail-ügyfelek
Az alábbi e-mail-ügyfelek támogatják a modern hitelesítést és a feltételes hozzáférést.
| Platform | Ügyfél | Verzió/jegyzetek |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | iOS Outlook | Legújabb |
| Android | Outlook for Android | Legújabb |
| macOS | Outlook | 2019 és 2016 |
| Linux | Nem támogatott |
Ajánlott ügyfélplatformok a dokumentumok védelmekor
A biztonságos dokumentumokra vonatkozó szabályzat alkalmazásakor a következő ügyfelek használata ajánlott.
| Platform | Word/Excel/PowerPoint | OneNote | OneDrive App | SharePoint-alkalmazás | OneDrive szinkronizálási app ügyfél |
|---|---|---|---|---|---|
| Windows 11 vagy Windows 10 | Támogatott | Támogatott | N.A. | N.A. | Támogatott |
| Windows 8.1 | Támogatott | Támogatott | N.A. | N.A. | Támogatott |
| Android | Támogatott | Támogatott | Támogatott | Támogatott | n/a |
| iOS | Támogatott | Támogatott | Támogatott | Támogatott | n/a |
| macOS | Támogatott | Támogatott | N.A. | N.A. | Nem támogatott |
| Linux | Nem támogatott | Nem támogatott | Nem támogatott | Nem támogatott | Nem támogatott |
Microsoft 365-ügyféltámogatás
A Microsoft 365 ügyféltámogatásával kapcsolatos további információkért tekintse meg az alábbi cikkeket:
- Microsoft 365 ügyfélalkalmazás támogatása – Feltételes hozzáférés
- Microsoft 365 ügyfélalkalmazás támogatása – többtényezős hitelesítés
Rendszergazdai fiókok védelme
Microsoft 365 E3 vagy E5 esetén, illetve különálló Microsoft Entra-azonosítójú P1 vagy P2 licenccel rendelkező rendszergazdai fiókokhoz MFA szükséges manuálisan létrehozott feltételes hozzáférési szabályzattal. Lásd: Feltételes hozzáférés: MFA megkövetelése rendszergazdáknak a részletekért.
A Feltételes hozzáférést nem támogató Microsoft 365- vagy Office 365-kiadások esetében engedélyezheti , hogy a biztonsági alapértékek minden fiókhoz MFA-t igényeljenek.
Íme néhány további javaslat:
- A Microsoft Entra Privileged Identity Management használatával csökkentheti az állandó felügyeleti fiókok számát.
- Emelt szintű hozzáférés-kezeléssel megvédheti a szervezetet azoktól a biztonsági incidensektől, amelyek meglévő emelt szintű rendszergazdai fiókokat használhatnak a bizalmas adatokhoz való folyamatos hozzáféréssel vagy a kritikus konfigurációs beállításokhoz való hozzáféréssel.
- Hozzon létre és használjon külön fiókokat, amelyek csak rendszergazdai szerepkörökhöz vannak hozzárendelve Microsoft 365-ös rendszergazdai szerepkörökhöz. Rendszergazda saját felhasználói fiókkal kell rendelkeznie a rendszeres, nem rendszergazdai használatra, és csak akkor használjon rendszergazdai fiókot, ha szükséges a szerepkörével vagy feladatfüggvényével társított feladat elvégzéséhez.
- Kövesse az ajánlott eljárásokat a kiemelt fiókok Microsoft Entra-azonosítóban való biztonságossá tételéhez.
Következő lépés
A közös Teljes felügyelet identitás- és eszközelérési szabályzatok konfigurálása
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: