A rendszergazdák erős hitelesítési lefedettségének hiányosságainak megkeresése és megoldása

  • Cikk

A bérlő rendszergazdái számára a többtényezős hitelesítés (MFA) megkövetelése az első lépések egyike, amelyet a bérlő biztonságának növelése érdekében tehet. Ebben a cikkben bemutatjuk, hogyan gondoskodhat arról, hogy minden rendszergazdája többtényezős hitelesítéssel legyen lefedve.

A Microsoft Entra beépített rendszergazdai szerepköreinek aktuális használatának észlelése

A Microsoft Entra ID biztonságos pontszáma az MFA megkövetelése a bérlőn belüli felügyeleti szerepkörökhöz. Ez a fejlesztési művelet nyomon követi a globális rendszergazda, a biztonsági rendszergazda, az Exchange-rendszergazda és a SharePoint-rendszergazda MFA-használatát.

Különböző módokon ellenőrizheti, hogy a rendszergazdákra vonatkozik-e MFA-szabályzat.

  • Egy adott rendszergazda bejelentkezésének hibaelhárításához használhatja a bejelentkezési naplókat. A bejelentkezési naplók segítségével szűrheti az adott felhasználók hitelesítési követelményeit . Minden olyan bejelentkezés, ahol a hitelesítési követelmény egytényezős hitelesítés, azt jelenti, hogy nem volt szükség többtényezős hitelesítési házirendre a bejelentkezéshez.

    Képernyőkép a bejelentkezési naplóról.

    Egy adott bejelentkezés részleteinek megtekintésekor válassza a Hitelesítés részletei lapot az MFA követelményeivel kapcsolatos részletekért. További információ: Bejelentkezési naplótevékenység részletei.

    Képernyőkép a hitelesítési tevékenység részleteiről.

  • A felhasználói licencek alapján engedélyezni kívánt házirend kiválasztásához egy új MFA-engedélyező varázslóval összehasonlíthatja az MFA-szabályzatokat , és megtekintheti, hogy mely lépések megfelelőek a szervezet számára. A varázsló az MFA által az elmúlt 30 napban védett rendszergazdákat jeleníti meg.

    Képernyőkép a többtényezős hitelesítés engedélyezését engedélyező varázslóról.

  • Ezt a szkriptet futtatva programozott módon létrehozhat egy jelentést az összes olyan címtárszerepkör-hozzárendeléssel rendelkező felhasználóról, aki az elmúlt 30 napban MFA-val vagy anélkül jelentkezett be. Ez a szkript számba veszi az összes aktív beépített és egyéni szerepkör-hozzárendelést, az összes jogosult beépített és egyéni szerepkör-hozzárendelést, valamint a szerepkörrel rendelkező csoportokat.

Többtényezős hitelesítés kényszerítése a rendszergazdák számára

Ha olyan rendszergazdákat talál, akiket nem véd többtényezős hitelesítés, az alábbi módokon védheti őket:

  • Ha a rendszergazdák P1 vagy P2 Microsoft Entra-azonosítóra vannak licencelve, létrehozhat egy feltételes hozzáférési szabályzatot , amely kényszeríti az MFA-t a rendszergazdák számára. A szabályzatot úgy is frissítheti, hogy az egyéni szerepkörökben lévő felhasználóktól MFA-t igényeljen.

  • Futtassa az MFA-kompatibilis varázslót az MFA-szabályzat kiválasztásához.

  • Ha egyéni vagy beépített rendszergazdai szerepköröket rendel hozzá a Privileged Identity Managementben, a szerepkör aktiválásához többtényezős hitelesítésre van szükség.

Jelszó nélküli és adathalászatnak ellenálló hitelesítési módszerek használata a rendszergazdák számára

Miután a rendszergazdák kényszerítve lettek a többtényezős hitelesítésre, és már egy ideje használják, ideje a sávot erős hitelesítésre emelni, és jelszó nélküli és adathalászatnak ellenálló hitelesítési módszert használni:

Ezekről a hitelesítési módszerekről és azok biztonsági szempontjairól a Microsoft Entra hitelesítési módszereiben olvashat bővebben.

Következő lépések

Jelszó nélküli bejelentkezés engedélyezése a Microsoft Authenticatorrel