Feltételes hozzáférés hozzáadása a felhasználói folyamatokhoz az Azure Active Directory B2C-ben

Fontos

Az Azure AD External Identities P2 visszavonásra került az Azure AD B2C bérlők esetében. A P2 részeként az ID Protection továbbra is elérhető marad a munkaerő-bérlőkben. A számlázásról és az alternatívákról további információt a P2 kivonásával kapcsolatos gyakori kérdésekben talál.

Fontos

2025. május 1-jére az Azure AD B2C már nem lesz elérhető az új ügyfelek számára. További információ a GYIK-ben.

Mielőtt hozzákezdene, a lap tetején található Szabályzattípus kiválasztása választóval válassza ki a beállított szabályzat típusát. Az Azure Active Directory B2C két módszert kínál annak meghatározására, hogy a felhasználók hogyan használják az alkalmazásokat: előre definiált felhasználói folyamatokon vagy teljesen konfigurálható egyéni szabályzatokon keresztül. A cikkben szereplő lépések különbözőek az egyes metódusok esetében.

A feltételes hozzáférés hozzáadható az Azure Active Directory B2C (Azure AD B2C) felhasználói folyamataihoz vagy egyéni szabályzataihoz az alkalmazásokba való kockázatos bejelentkezések kezeléséhez. A Microsoft Entra Feltételes hozzáférés az Azure AD B2C által használt eszköz a jelek összehozására, a döntések meghozatalára és a szervezeti szabályzatok kikényszerítésére. A kockázatértékelés szabályzatfeltételekkel történő automatizálása azt jelenti, hogy a kockázatos bejelentkezések azonnal azonosíthatók, majd szervizelhetők vagy blokkolhatók.

A szolgáltatás áttekintése

Az Azure AD B2C kiértékeli az egyes bejelentkezési eseményeket, és biztosítja, hogy a felhasználói hozzáférés biztosítása előtt minden szabályzatkövetelmények teljesülnek. Ebben a kiértékelési fázisban a feltételes hozzáférési szolgáltatás kiértékeli az Identity Protection-kockázatészlelések által a bejelentkezési események során gyűjtött jeleket. A kiértékelési folyamat eredménye egy jogcímkészlet, amely jelzi, hogy a bejelentkezést meg kell-e adni vagy le kell tiltani. Az Azure AD B2C-szabályzat ezeket a jogcímeket használja a felhasználói folyamaton belüli működéshez. Ilyen például a hozzáférés letiltása vagy a felhasználó egy adott szervizeléssel, például többtényezős hitelesítéssel (MFA) való megtámadása. A "Hozzáférés letiltása" felülbírálja az összes többi beállítást.

Az alábbi példa egy feltételes hozzáférési műszaki profilt mutat be, amely a bejelentkezési fenyegetés kiértékelésére szolgál.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Az Identity Protection-jelek megfelelő kiértékeléséhez meg kell hívnia a technikai profilt az összes felhasználó számára, beleértve a ConditionalAccessEvaluationhelyi és a közösségi fiókokat is. Ellenkező esetben az Identity Protection helytelen kockázati fokot jelez a felhasználókhoz.

A következő szervizelési fázisban a felhasználó mFA-val van megtámadva. Miután elkészült, az Azure AD B2C tájékoztatja az Identity Protectiont, hogy az azonosított bejelentkezési fenyegetést kijavították, és melyik módszerrel. Ebben a példában az Azure AD B2C azt jelzi, hogy a felhasználó sikeresen teljesítette a többtényezős hitelesítési feladatot. A szervizelés más csatornákon is megtörténhet. Ha például a fiók jelszavát alaphelyzetbe állítja a rendszergazda vagy a felhasználó. A kockázatos felhasználók jelentésében ellenőrizheti a felhasználó kockázati állapotát.

Fontos

A kockázat sikeres elhárításához az út során győződjön meg arról, hogy a szervizelési műszaki profil meghívása a kiértékelési műszaki profil végrehajtása után történik. Ha a kiértékelésszervizelés nélkül van meghívva, a kockázati állapot kockázatnak minősül. Amikor a kiértékelési műszaki profilra vonatkozó javaslat visszatér Block, nem szükséges meghívni a kiértékelési műszaki profilt. A kockázati állapot kockázati értékre van állítva. Az alábbi példa egy feltételes hozzáférési műszaki profilt mutat be az azonosított fenyegetés elhárításához:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

A megoldás összetevői

Ezek azok az összetevők, amelyek engedélyezik a feltételes hozzáférést az Azure AD B2C-ben:

• Felhasználói folyamat vagy egyéni szabályzat , amely végigvezeti a felhasználót a bejelentkezési és a regisztrációs folyamaton.
• Feltételes hozzáférési szabályzat , amely jeleket hoz létre a döntések meghozatalához és a szervezeti szabályzatok kikényszerítéséhez. Amikor egy felhasználó egy Azure AD B2C-szabályzaton keresztül jelentkezik be az alkalmazásba, a feltételes hozzáférési szabályzat a Microsoft Entra ID Protection-jelekkel azonosítja a kockázatos bejelentkezéseket, és megjeleníti a megfelelő szervizelési műveletet.
• Regisztrált alkalmazás , amely a megfelelő Azure AD B2C felhasználói folyamathoz vagy egyéni szabályzathoz irányítja a felhasználókat.
• TOR Browser a kockázatos bejelentkezés szimulálásához.

Szolgáltatáskorlátozások és szempontok

A Microsoft Entra feltételes hozzáférés használatakor vegye figyelembe a következőket:

• Az Identity Protection helyi és közösségi identitásokhoz, például a Google-hoz vagy a Facebookhoz is elérhető. A közösségi identitások esetében manuálisan kell aktiválnia a feltételes hozzáférést. Az észlelés korlátozott, mert a közösségi fiók hitelesítő adatait a külső identitásszolgáltató kezeli.
• Az Azure AD B2C-bérlőkben csak a Microsoft Entra feltételes hozzáférési szabályzatainak egy része érhető el.

Előfeltételek

• Végezze el az Egyéni szabályzatok használatának első lépéseit az Active Directory B2C-ben. Ez az oktatóanyag bemutatja, hogyan frissítheti az egyéni szabályzatfájlokat az Azure AD B2C-bérlő konfigurációjának használatára.
• Ha még nem regisztrált webalkalmazást, regisztráljon egyet a webalkalmazás regisztrálásának lépéseivel.

Tarifacsomag

Az Azure AD B2C Premium P2 szükséges a kockázatos bejelentkezési szabályzatok létrehozására, de 2025. május 1-től elavulttá vált. A prémium P1-bérlők hely-, alkalmazás-, felhasználó- vagy csoportalapú házirendeken alapuló szabályzatot hozhatnak létre.

Az Azure AD B2C-bérlő előkészítése

Feltételes hozzáférési szabályzat hozzáadásához tiltsa le a biztonsági alapértelmezett beállításokat:

1. Jelentkezzen be a Azure portalra.

2. Ha több bérlőhöz is hozzáférése van, a felső menüben a Beállítások ikont választva váltson az Azure AD B2C-bérlőre a Címtárak + előfizetések menüből.

3. Az Azure-szolgáltatások alatt válassza a Microsoft Entra-azonosítót. Vagy a keresőmezővel megkeresheti és kiválaszthatja a Microsoft Entra-azonosítót.

4. Válassza a Tulajdonságok lehetőséget, majd válassza az Alapértelmezett biztonsági beállítások kezelése lehetőséget.

   

5. Az Alapértelmezett biztonsági beállítások engedélyezése csoportban válassza a Nem lehetőséget.

   

Feltételes hozzáférési szabályzat hozzáadása

A feltételes hozzáférési szabályzat a hozzárendelések és hozzáférés-vezérlések feltételes logikai utasítása. A feltételes hozzáférési szabályzatok jeleket hoznak létre a döntések meghozatalához és a szervezeti szabályzatok kikényszerítéséhez.

Jótanács

Ebben a lépésben konfigurálja a feltételes hozzáférési szabályzatot. Javasoljuk, hogy a következő sablonok egyikét használja : 1. sablon: Bejelentkezési kockázatalapú feltételes hozzáférés, 2. sablon: Felhasználó kockázatalapú feltételes hozzáférése vagy 3. sablon: Helyek letiltása feltételes hozzáféréssel. A feltételes hozzáférési szabályzatot az Azure Portalon vagy az MS Graph API-n keresztül konfigurálhatja.

A hozzárendelések közötti logikai operátor az And. Az egyes hozzárendelések operátora vagy.

Feltételes hozzáférési szabályzat hozzáadása:

1. Az Azure Portalon keresse meg és válassza ki az Azure AD B2C-t.

2. A Biztonsági alatt válassza a Feltételes hozzáférés lehetőséget. Megnyílik a Feltételes hozzáférési szabályzatok lap.

3. Válassza a + Új házirend lehetőséget.

4. Adjon nevet a szabályzatnak, például tiltsa le a kockázatos bejelentkezést.

5. A Hozzárendelések csoportban válassza a Felhasználók és csoportok lehetőséget, majd válassza ki a következő támogatott konfigurációk egyikét:

   Tartalmaz	Licenc	Jegyzetek
   Minden felhasználó	P1, P2	Ez a szabályzat az összes felhasználót érinti. Annak érdekében, hogy ne zárhassa ki magát, zárja ki a rendszergazdai fiókját a Kizárás, a Címtárszerepkörök kiválasztása, majd a Globális rendszergazda lehetőség kiválasztásával a listában. Kiválaszthatja a Felhasználók és csoportok lehetőséget is, majd kiválaszthatja a fiókját a Kizárt felhasználók kiválasztása listában.

6. Válassza ki a Felhőalkalmazások vagy -műveletek lehetőséget, majd válassza ki az alkalmazásokat. Böngésszen a megbízó fél alkalmazása között.

7. Válassza a Feltételek lehetőséget, majd válasszon a következő feltételek közül. Válassza például a bejelentkezési kockázatot , valamint a magas, közepes és alacsony kockázati szinteket.

   Állapot	Licenc	Jegyzetek
   Felhasználói kockázat	P2	Felhasználói kockázat: annak valószínűségét jelzi, hogy az adott identitás vagy fiók biztonsága sérült.
   Bejelentkezési kockázat	P2	Bejelentkezési kockázat: annak valószínűségét jelzi, hogy az adott hitelesítési kérést az identitás tulajdonosa nem engedélyezi.
   Eszközplatformok	Nem támogatott	Az eszközön futó operációs rendszer jellemzi. További információ: Eszközplatformok.
   Helyek	P1, P2	A megnevezett helyek közé tartozhatnak a nyilvános IPv4-hálózati információk, az ország vagy régió, illetve az ismeretlen területek, amelyek nem adott országokra vagy régiókra vonatkoznak. További információ: Helyek.

8. A Hozzáférés-vezérlés csoportban válassza a Támogatás lehetőséget. Ezután válassza ki, hogy letiltja vagy engedélyezi-e a hozzáférést:

   Lehetőség	Licenc	Jegyzetek
   Hozzáférés letiltása	P1, P2	Megakadályozza a hozzáférést a feltételes hozzáférési szabályzatban megadott feltételek alapján.
   Hozzáférés biztosításatöbbtényezős hitelesítés megkövetelése mellett	P1, P2	A feltételes hozzáférési szabályzatban megadott feltételek alapján a felhasználónak többtényezős Azure AD B2C-hitelesítést kell végeznie.

9. A Szabályzat engedélyezése csoportban válasszon az alábbiak közül:

   Lehetőség	Licenc	Jegyzetek
   Csak jelentés	P1, P2	A csak jelentéssel rendelkező rendszergazdák kiértékelhetik a feltételes hozzáférési szabályzatok hatását, mielőtt engedélyezik őket a környezetükben. Javasoljuk, hogy ellenőrizze a szabályzatot ezzel az állapottal, és állapítsa meg a végfelhasználókra gyakorolt hatást anélkül, hogy többtényezős hitelesítésre vagy a felhasználók blokkolására lenne szükség. További információ: A feltételes hozzáférés eredményeinek áttekintése az auditjelentésben
   	P1, P2	A hozzáférési szabályzat kiértékelése és kényszerítése nem történik meg.
   Kikapcsolva	P1, P2	A hozzáférési szabályzat nincs aktiválva, és nincs hatással a felhasználókra.

10. Engedélyezze a feltételes hozzáférési tesztszabályzatot a Létrehozás gombra kattintva.

1. sablon: Bejelentkezés kockázatalapú feltételes hozzáférés

A legtöbb felhasználó viselkedése normális, amely követhető, és amikor eltérnek a normálistól, kockázatos lehet engedni, hogy egyszerűen bejelentkezzenek. Letilthatja a felhasználót, vagy megkérheti őket, hogy hajtsanak végre többtényezős hitelesítést annak bizonyítására, hogy valóban azok, akikről azt mondják, hogy ők. A bejelentkezéssel együtt jár az a lehetőség, hogy az adott hitelesítési kérést az identitás tulajdonosa nem engedélyezi. A P2-licencekkel rendelkező Azure AD B2C-bérlők feltételes hozzáférési szabályzatokat hozhatnak létre, amelyek a Microsoft Entra ID Protection bejelentkezési kockázatészleléseit is magukban foglalják.

Figyelje meg a B2C-hez tartozó Identity Protection-észlelések korlátozásait. Kockázat észlelése esetén a felhasználók többtényezős hitelesítést végezhetnek az önműködő szervizelés érdekében, és bezárhatják a kockázatos bejelentkezési eseményt, hogy megakadályozzák a szükségtelen zajt a rendszergazdák számára.

Konfigurálja a feltételes hozzáférést az Azure Portalon vagy a Microsoft Graph API-kon keresztül egy MFA-t igénylő bejelentkezési kockázatalapú feltételes hozzáférési szabályzat engedélyezéséhez, ha a bejelentkezési kockázat közepes vagy magas.

1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
2. A Kizárás alatt válassza a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférési vagy áthidaló fiókjait.
3. Válassza a Kész lehetőséget.
4. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
5. A Feltételek>Bejelentkezési kockázat alatt állítsa a Konfigurálás értékét Igenre. A bejelentkezési kockázati szint kiválasztása területen ez a szabályzat a következőre vonatkozik:
   1. Válassza a Magas és a Közepes lehetőséget.
   2. Válassza a Kész lehetőséget.
6. A Hozzáférés-vezérlések>Megadása csoportban válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
7. Erősítse meg a beállításait, és állítsa a házirend engedélyezésétBekapcsolva módba.
8. Válassza a Létrehozás lehetőséget a szabályzat aktiválásához.

1. sablon engedélyezése feltételes hozzáférési API-kkal (nem kötelező)

Bejelentkezési kockázatalapú feltételes hozzáférési szabályzat létrehozása MS Graph API-kkal. További információ: Feltételes hozzáférési API-k. Az alábbi sablonnal létrehozhat egy feltételes hozzáférési szabályzatot a "Template 1: Require MFA for medium+ sign-in risk" (1. sablon: MFA megkövetelése közepes vagy bejelentkezési kockázat esetén) megjelenítési névvel, csak jelentésalapú módban.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

2. sablon: Felhasználó kockázatalapú feltételes hozzáférése

Az Identity Protection kiszámíthatja, hogy mi a normális a felhasználó viselkedése szempontjából, és ez alapján hozhat döntéseket a kockázatukra vonatkozóan. A felhasználói kockázat az identitás sérülésének valószínűségének kiszámítása. A P2 licenccel rendelkező B2C-bérlők felhasználói kockázatot tartalmazó feltételes hozzáférési szabályzatokat hozhatnak létre. Ha egy felhasználó veszélyben van, megkövetelheti, hogy biztonságosan módosítsa a jelszavát a kockázat elhárításához és a fiókhoz való hozzáféréshez. Javasoljuk, hogy állítson be egy felhasználói kockázati szabályzatot, hogy biztonságos jelszómódosítást igényeljen, hogy a felhasználók önjavítást végezhetnek.

További információ a felhasználói kockázatról az Identity Protectionben, figyelembe véve a B2C-hez tartozó Identity Protection-észlelések korlátait.

Konfigurálja a feltételes hozzáférést az Azure Portalon vagy a Microsoft Graph API-kon keresztül, hogy lehetővé tegye a többtényezős hitelesítést (MFA) és a jelszómódosítást igénylő, kockázatalapú feltételes hozzáférési szabályzatot, ha a felhasználói kockázat közepes vagy magas.

A felhasználóalapú feltételes hozzáférés konfigurálása:

1. Jelentkezzen be a Azure portalra.
2. Keresse meg az Azure AD B2C>biztonsági>feltételes hozzáférését.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a szabályzatnak. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelésekterületen válassza a Felhasználók és csoportoklehetőséget.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás alatt válassza a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférési vagy áthidaló fiókjait.
   3. Válassza a Kész lehetőséget.
6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
7. A Feltételek>Felhasználói kockázat esetén állítsa a Konfigurálás-t igen értékre. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban
   1. Válassza a Magas és a Közepes lehetőséget.
   2. Válassza a Kész lehetőséget.
8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása, Jelszómódosítás megkövetelése, majd a Kiválasztás lehetőséget. Alapértelmezés szerint többtényezős hitelesítésre is szükség van.
9. Erősítse meg a beállításait, és állítsa a házirend engedélyezésétBekapcsolva módba.
10. Válassza a Létrehozás lehetőséget a szabályzat aktiválásához.

2. sablon engedélyezése feltételes hozzáférési API-kkal (nem kötelező)

Ha felhasználói kockázatalapú feltételes hozzáférési szabályzatot szeretne létrehozni feltételes hozzáférési API-kkal, tekintse meg a feltételes hozzáférési API-k dokumentációját.

A következő sablonnal létrehozhat egy feltételes hozzáférési szabályzatot a "2. sablon: Biztonságos jelszómódosítás megkövetelése közepes vagy felhasználói kockázat esetén" megjelenítési névvel, csak jelentéskészítési módban.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

3. sablon: Helyek letiltása feltételes hozzáféréssel

A feltételes hozzáférés helyfeltételével a felhasználó hálózati helye alapján szabályozható a hozzáférés a felhőalapú alkalmazásokhoz. Konfigurálja a feltételes hozzáférést az Azure Portalon vagy a Microsoft Graph API-kon keresztül, hogy engedélyezhessen egy feltételes hozzáférési szabályzatot, amely blokkolja az adott helyekhez való hozzáférést. További információ: A helyfeltétel használata feltételes hozzáférési szabályzatban

Helyek meghatározása

1. Jelentkezzen be a Azure portalra.
2. Keresse meg az Azure AD B2C>Biztonság>Feltételes hozzáférés>Nevesített helyek.
3. Ország vagyIP-tartományok helyének kiválasztása
4. Adjon nevet a tartózkodási helyének.
5. Adja meg az IP-címtartományokat, vagy válassza ki a megadott hely országait/régióit. Ha az Országok/Régiók lehetőséget választja, opcionálisan választhat, hogy ismeretlen területeket is tartalmazzon.
6. Válassza a Mentés lehetőséget.

Engedélyezés feltételes hozzáférési szabályzattal:

1. Jelentkezzen be a Azure portalra.
2. Keresse meg az Azure AD B2C>biztonsági>feltételes hozzáférését.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a szabályzatnak. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelésekterületen válassza a Felhasználók és csoportoklehetőséget.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás alatt válassza a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférési vagy áthidaló fiókjait.
   3. Válassza a Kész lehetőséget.
6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
7. Feltételek>Helyszín
   1. Állítsa a Konfigurálás beállítást Igen értékre.
   2. A Belefoglalás csoportban válassza a Kijelölt helyek lehetőséget
   3. Válassza ki a létrehozott elnevezett helyet.
   4. Kattintson a Kijelölés gombra
8. A Hozzáférés-vezérlés csoportban> válassza a Hozzáférés letiltása, majd a Kiválasztás lehetőséget.
9. Erősítse meg a beállításait, és állítsa a házirend engedélyezésétBekapcsolva módba.
10. Válassza a Létrehozás lehetőséget a szabályzat aktiválásához.

3. sablon engedélyezése feltételes hozzáférési API-kkal (nem kötelező)

Ha feltételes hozzáférési API-kkal szeretne helyalapú feltételes hozzáférési szabályzatot létrehozni, tekintse meg a feltételes hozzáférési API-k dokumentációját. A névvel ellátott helyek beállításához tekintse meg a nevesített helyek dokumentációját.

A következő sablonnal létrehozhat egy feltételes hozzáférési szabályzatot a "3. sablon: Nem engedélyezett helyek blokkolása" megjelenítési névvel, csak jelentés módban.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Feltételes hozzáférés hozzáadása felhasználói folyamathoz

A Microsoft Entra feltételes hozzáférési szabályzat hozzáadása után engedélyezze a feltételes hozzáférést a felhasználói folyamatban vagy az egyéni házirendben. A feltételes hozzáférés engedélyezésekor nem kell megadnia egy szabályzatnevet. Egy adott felhasználóra bármikor több feltételes hozzáférési szabályzat vonatkozhat. Ebben az esetben a legszigorúbb hozzáférés-vezérlési szabályzat elsőbbséget élvez. Ha például az egyik szabályzat MFA-t igényel, míg a másik blokkolja a hozzáférést, a felhasználó le lesz tiltva.

Többtényezős hitelesítés engedélyezése (nem kötelező)

Ha feltételes hozzáférést ad hozzá egy felhasználói folyamathoz, fontolja meg a többtényezős hitelesítés (MFA) használatát. A felhasználók egyszeri kódot használhatnak SMS-ben vagy hangon, egyszeri jelszót e-mailben, vagy egy egyszeri jelszó (TOTP) kódot egy hitelesítő alkalmazáson keresztül a többtényezős hitelesítéshez. Az MFA-beállítások a feltételes hozzáférési beállításoktól külön vannak konfigurálva. Az alábbi MFA-beállítások közül választhat:

• Kikapcsolva – Az MFA soha nem lesz kényszerítve a bejelentkezés során, és a felhasználók nem kérik az MFA-ba való regisztrációt a regisztráció vagy a bejelentkezés során.
• Mindig bekapcsolva – Az MFA mindig kötelező, függetlenül a feltételes hozzáférés beállításától. A regisztráció során a rendszer kérni fogja a felhasználókat, hogy regisztráljanak az MFA-ban. A bejelentkezés során, ha a felhasználók még nincsenek regisztrálva az MFA-ban, a rendszer kérni fogja a regisztrációt.
• Feltételes – A regisztráció és a bejelentkezés során a rendszer arra kéri a felhasználókat, hogy regisztráljanak az MFA-ban (mind az új, mind a meglévő felhasználók, akik nem regisztráltak az MFA-ban). A bejelentkezés során az MFA csak akkor lesz kényszerítve, ha egy aktív feltételes hozzáférési szabályzat kiértékelése megköveteli:
  • Ha az eredmény egy kockázat nélküli MFA-kihívás, az MFA érvénybe lép. Ha a felhasználó még nincs regisztrálva az MFA-ban, a rendszer kérni fogja a regisztrációt.
  • Ha az eredmény egy MFA-kihívás kockázat miatt és a felhasználó nincs regisztrálva az MFA-ba, a bejelentkezés blokkolva lesz.

  Megjegyzés:

  Mivel az Azure AD B2C-ben általánosan elérhető a feltételes hozzáférés, a rendszer most arra kéri a felhasználókat, hogy regisztráljanak egy MFA-metódusban a regisztráció során. Az általános rendelkezésre állás előtt létrehozott regisztrációs felhasználói folyamatok nem tükrözik automatikusan ezt az új viselkedést, de a viselkedést új felhasználói folyamatok létrehozásával is felveheti.

Ha engedélyezni szeretné a feltételes hozzáférést egy felhasználói folyamathoz, győződjön meg arról, hogy a verzió támogatja a feltételes hozzáférést. Ezek a felhasználói folyamatverziók ajánlott címkével vannak ellátva.

1. Jelentkezzen be a Azure portalra.
2. Ha több bérlőhöz is hozzáférése van, a felső menüben a Beállítások ikont választva váltson az Azure AD B2C-bérlőre a Címtárak + előfizetések menüből.
3. Az Azure-szolgáltatások területen válassza az Azure AD B2C-t. Vagy a keresőmezővel megkeresheti és kiválaszthatja az Azure AD B2C-t.
4. A Szabályzatok részben válassza a Felhasználói folyamatok lehetőséget. Ezután válassza ki a felhasználói folyamatot.
5. Válassza a Tulajdonságok lehetőséget, és győződjön meg arról, hogy a felhasználói folyamat támogatja a feltételes hozzáférést a feltételes hozzáférés címkével ellátott beállítással.
6. A Többtényezős hitelesítés szakaszban válassza ki a kívánt metódustípust, majd az MFA-kényszerítés alatt válassza a Feltételes lehetőséget.
7. A Feltételes hozzáférési szakaszban jelölje be a Feltételes hozzáférési szabályzatok kikényszerítése jelölőnégyzetet.
8. Válassza az Mentésgombot.

Feltételes hozzáférés hozzáadása a szabályzathoz

1. A GitHubon megismerheti a feltételes hozzáférési szabályzat példáját.
2. Minden fájlban cserélje le a sztringet yourtenant az Azure AD B2C bérlő nevére. Ha például a B2C-bérlő neve contosob2c, akkor minden yourtenant.onmicrosoft.com példány contosob2c.onmicrosoft.com lesz.
3. Töltse fel a szabályzatfájlokat.

Az MFA-hoz használandó telefonszámtól eltérő jogcím konfigurálása

A fenti Feltételes hozzáférési szabályzatban a DoesClaimExist jogcím-átalakítási módszer ellenőrzi, hogy egy jogcím tartalmaz-e értéket, például hogy a strongAuthenticationPhoneNumber jogcím telefonszámot tartalmaz-e. A jogcímátalakítás nem korlátozódik a strongAuthenticationPhoneNumber jogcímre. A forgatókönyvtől függően bármilyen más jogcímet használhat. A következő XML-kódrészletben a strongAuthenticationEmailAddress jogcím be van jelölve. A választott jogcímnek érvényes értékkel kell rendelkeznie, ellenkező esetben a IsMfaRegistered jogcím értéke False. Ha be van Falseállítva, a feltételes hozzáférési szabályzat kiértékelése egy támogatási típust Block ad vissza, ami megakadályozza, hogy a felhasználó befejezze a felhasználói folyamatot.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Egyéni szabályzat tesztelése

1. Válassza ki a B2C_1A_signup_signin_with_ca vagy B2C_1A_signup_signin_with_ca_whatif szabályzatot, hogy megnyissa annak áttekintési oldalát. Ezután válassza a Felhasználói folyamat futtatása lehetőséget. Az Alkalmazás területen válassza a webapp1 lehetőséget. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
2. Másolja ki az URL-címet a Felhasználói folyamat végpont futtatása alatt.
3. Kockázatos bejelentkezés szimulálásához nyissa meg a Tor Browsert , és használja az előző lépésben másolt URL-címet a regisztrált alkalmazásba való bejelentkezéshez.
4. Adja meg a kért adatokat a bejelentkezési oldalon, majd próbáljon meg bejelentkezni. A token visszakerül https://jwt.ms-hez, és meg kell jelennie Ön előtt. A jwt.ms dekódolt jogkivonatban látnia kell, hogy a bejelentkezés le lett tiltva.

A felhasználói folyamat tesztelése

1. Válassza ki a létrehozott felhasználói folyamatot az áttekintési oldal megnyitásához, majd válassza a Felhasználói folyamat futtatása lehetőséget. Az Alkalmazás területen válassza a webapp1 lehetőséget. A Válasz URL-címnek meg kell jelennie https://jwt.ms.
2. Másolja ki az URL-címet a Felhasználói folyamat végpont futtatása alatt.
3. Kockázatos bejelentkezés szimulálásához nyissa meg a Tor Browsert , és használja az előző lépésben másolt URL-címet a regisztrált alkalmazásba való bejelentkezéshez.
4. Adja meg a kért adatokat a bejelentkezési oldalon, majd próbáljon meg bejelentkezni. A token visszakerül https://jwt.ms-hez, és meg kell jelennie Ön előtt. A jwt.ms dekódolt jogkivonatban látnia kell, hogy a bejelentkezés le lett tiltva.

A feltételes hozzáférés eredményeinek áttekintése az auditjelentésben

Feltételes hozzáférési esemény eredményének áttekintése:

1. Jelentkezzen be a Azure portalra.
2. Ha több bérlőhöz is hozzáférése van, a felső menüben a Beállítások ikont választva váltson az Azure AD B2C-bérlőre a Címtárak + előfizetések menüből.
3. Az Azure-szolgáltatások területen válassza az Azure AD B2C-t. Vagy a keresőmezővel megkeresheti és kiválaszthatja az Azure AD B2C-t.
4. A Tevékenységek területen válassza a Naplózási naplók lehetőséget.
5. Szűrje a naplót úgy, hogy beállítja a kategóriátB2C értékre, és beállítja a tevékenység erőforrástípusátIdentityProtection értékre. Ezután válassza a Alkalmaz lehetőséget.
6. Tekintse át az audit tevékenységet az elmúlt hét napban. A következő tevékenységtípusok tartoznak ide:
   • Feltételes hozzáférési szabályzatok kiértékelése: Ez a naplóbejegyzés azt jelzi, hogy a hitelesítés során feltételes hozzáférés-kiértékelést hajtottak végre.
   • Felhasználó helyreállítása: Ez a bejegyzés azt jelzi, hogy a végfelhasználó teljesítette a feltételes hozzáférési irányelv jogosultságait vagy követelményeit, és ezt a tevékenységet a kockázati motornak jelentették, hogy csökkentsék a felhasználó kockázatát.
7. Válasszon ki egy feltételes hozzáférési szabályzat naplóbejegyzését a listában a Tevékenység részletei: Naplózási napló lap megnyitásához, amely megjeleníti az auditnapló-azonosítókat, valamint a További részletek szakaszban található információkat:
   • ConditionalAccessResult: A feltételes szabályzat kiértékelése által igényelt támogatás.
   • AppliedPolicies: Azon feltételes hozzáférési szabályzatok listája, amelyekben teljesültek a feltételek, és a szabályzatok be vannak kapcsolva.
   • ReportingPolicies: A feltételes hozzáférési szabályzatok listája, amelyek csak jelentési módra lettek beállítva, és ahol a feltételek teljesültek.

Kapcsolódó tartalom

A felhasználói felület testreszabása az Azure AD B2C felhasználói folyamatában