Oktatóanyag: Kockázatészlelések használata a felhasználói bejelentkezésekhez a Microsoft Entra többtényezős hitelesítésének vagy jelszómódosításainak aktiválásához

A felhasználók védelme érdekében olyan kockázatalapú Microsoft Entra feltételes hozzáférési szabályzatokat konfigurálhat, amelyek automatikusan reagálnak a kockázatos viselkedésekre. Ezek a szabályzatok automatikusan blokkolhatják a bejelentkezési kísérleteket, vagy további műveleteket igényelhetnek, például biztonságos jelszómódosítást vagy a Microsoft Entra többtényezős hitelesítésének kérését. Ezek a szabályzatok a meglévő Microsoft Entra feltételes hozzáférési szabályzatokkal működnek, így további védelmi réteget biztosítanak a szervezet számára. Előfordulhat, hogy a felhasználók soha nem váltanak ki kockázatos viselkedést ezen szabályzatok egyikében, de a szervezet védett, ha megkísérelik veszélyeztetni a biztonságot.

Fontos

Ez az oktatóanyag bemutatja a rendszergazdáknak, hogyan engedélyezhetik a kockázatalapú többtényezős hitelesítést (MFA).

Ha az informatikai csapat nem engedélyezte a Microsoft Entra többtényezős hitelesítés használatát, vagy a bejelentkezés során problémákat tapasztal, forduljon a segélyszolgálathoz további segítségért.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Az elérhető szabályzatok ismertetése
• A Microsoft Entra többtényezős hitelesítésének engedélyezése
• Kockázatalapú jelszómódosítások engedélyezése
• Kockázatalapú többtényezős hitelesítés engedélyezése
• Kockázatalapú szabályzatok tesztelése felhasználói bejelentkezési kísérletekhez

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Egy működő Microsoft Entra-bérlő, amely legalább egy P2-azonosítójú Microsoft Entra-azonosítóval vagy próbaverziós licenccel rendelkezik.
  • Ha szükséges, hozzon létre egyet ingyen.
• Biztonsági rendszergazdai jogosultságokkal rendelkező fiók.
• Az önkiszolgáló jelszó-visszaállításhoz és a Microsoft Entra többtényezős hitelesítéshez konfigurált Microsoft Entra-azonosító
  • Ha szükséges, végezze el az oktatóanyagot a Microsoft Entra SSPR engedélyezéséhez.
  • Szükség esetén végezze el az oktatóanyagot a Microsoft Entra többtényezős hitelesítésének engedélyezéséhez.

A Microsoft Entra ID-védelem áttekintése

A Microsoft naponta több trillió névtelen jelet gyűjt és elemez a felhasználói bejelentkezési kísérletek részeként. Ezek a jelek segítenek a jó felhasználói bejelentkezési viselkedés mintáinak kialakításában, valamint a lehetséges kockázatos bejelentkezési kísérletek azonosításában. Microsoft Entra ID-védelem ellenőrizheti a felhasználói bejelentkezési kísérleteket, és további lépéseket tehet gyanús viselkedés esetén:

Az alábbi műveletek némelyike Microsoft Entra ID-védelem kockázatészlelést válthat ki:

• Kiszivárgott hitelesítő adatokkal rendelkező felhasználók.
• Bejelentkezés névtelen IP-címekről.
• Lehetetlen utazás atipikus helyekre.
• Bejelentkezés fertőzött eszközökről.
• Gyanús tevékenységgel rendelkező IP-címekről való bejelentkezések.
• Ismeretlen helyekről érkező bejelentkezések.

Ez a cikk három házirend engedélyezésével ismerteti a felhasználók védelmét és a gyanús tevékenységekre adott válasz automatizálását.

• Többtényezős hitelesítés regisztrációs szabályzata
  • Gondoskodik arról, hogy a felhasználók regisztrálva legyenek a Microsoft Entra többtényezős hitelesítésére. Ha egy bejelentkezési kockázati szabályzat MFA-t kér, a felhasználónak már regisztrálnia kell a Microsoft Entra többtényezős hitelesítésére.
• Felhasználói kockázati szabályzat
  • Azonosítja és automatizálja a hitelesítő adatokat esetleg feltörő felhasználói fiókok válaszait. Megkérheti a felhasználót, hogy hozzon létre új jelszót.
• Bejelentkezési kockázati szabályzat
  • Azonosítja és automatizálja a gyanús bejelentkezési kísérletekre adott választ. Megkérheti a felhasználót, hogy adjon meg további ellenőrzési formákat a Microsoft Entra többtényezős hitelesítésével.

Ha engedélyezi a kockázatalapú szabályzatokat, kiválaszthatja a kockázati szint küszöbértékét is – alacsony, közepes vagy magas. Ez a rugalmasság lehetővé teszi annak eldöntését, hogy milyen agresszíven szeretné kikényszeríteni a gyanús bejelentkezési események vezérlőinek kényszerítését. A Microsoft a következő szabályzatkonfigurációkat javasolja.

A Microsoft Entra ID-védelem a Mi Microsoft Entra ID-védelem című témakörben talál további információt?

Többtényezős hitelesítés regisztrációs szabályzatának engedélyezése

Microsoft Entra ID-védelem tartalmaz egy alapértelmezett szabályzatot, amely segíthet a felhasználók regisztrálásában a Microsoft Entra többtényezős hitelesítéshez. Ha más szabályzatokkal védi a bejelentkezési eseményeket, akkor a felhasználóknak már regisztrálniuk kell az MFA-hoz. Ha engedélyezi ezt a szabályzatot, az nem követeli meg, hogy a felhasználók minden bejelentkezési eseménynél MFA-t hajtsanak végre. A szabályzat csak egy felhasználó regisztrációs állapotát ellenőrzi, és szükség esetén előzetes regisztrációt kér.

Javasoljuk, hogy engedélyezze ezt a regisztrációs szabályzatot a többtényezős hitelesítést használó felhasználók számára. A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
2. Keresse meg a Protection>Identity Protection>többtényezős hitelesítési regisztrációs szabályzatát.
3. Alapértelmezés szerint a szabályzat minden felhasználóra érvényes. Ha szükséges, válassza a Hozzárendelések lehetőséget, majd válassza ki a felhasználókat vagy csoportokat a szabályzat alkalmazásához.
4. A Vezérlők csoportban válassza az Access lehetőséget. Győződjön meg arról, hogy a Microsoft Entra többtényezős hitelesítés regisztrációjának megkövetelése jelölőnégyzet be van jelölve, majd válassza a Kiválasztás lehetőséget.
5. Állítsa be a Házirend kényszerítése beállítást, majd válassza a Mentés lehetőséget.

Felhasználói kockázati szabályzat engedélyezése jelszómódosításhoz

A Microsoft kutatókkal, a bűnüldözési hatóságokkal, különféle belső biztonsági csapatokkal és egyéb megbízható forrásokkal együttműködve keres felhasználónév–jelszó párokat. Ha ezek közül a párok egyike megfelel a környezetben lévő fióknak, kockázatalapú jelszómódosítást lehet kérni. Ehhez a szabályzathoz és művelethez a felhasználónak frissítenie kell a jelszavát, mielőtt bejelentkezhet, hogy a korábban közzétett hitelesítő adatok ne működjenek.

A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
2. Keresse meg a védelmi>feltételes hozzáférést.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
   3. Válassza a Kész lehetőséget.
6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
7. Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
   1. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
   2. Válassza a Kész lehetőséget.
8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
   1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
   2. Válassza a Jelszómódosítás megkövetelése lehetőséget.
   3. Válassza a lehetőséget.
9. A Munkamenet csoportban.
   1. Válassza ki a bejelentkezési gyakoriságot.
   2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
   3. Válassza a lehetőséget.
10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Jelszó nélküli forgatókönyvek

A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:

Jelszó nélküli felhasználói kockázati szabályzat frissítése

1. Felhasználók alatt:
   1. Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
2. A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.

Tipp.

Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.

• Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
• Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.

Jelszó nélküli felhasználói kockázat elhárítása és blokkolásának feloldása

1. Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
2. A felhasználó letiltásának feloldása.

Bejelentkezési kockázati szabályzat engedélyezése az MFA-hoz

A felhasználók többsége normál viselkedéssel rendelkezik, amely nyomon követhető. Ha kívül esnek ezen a normán, kockázatos lehet, ha lehetővé teszik számukra a sikeres bejelentkezést. Ehelyett érdemes letiltani a felhasználót, vagy többtényezős hitelesítést kérni. Ha a felhasználó sikeresen teljesítette az MFA-feladatot, azt érvényes bejelentkezési kísérletnek tekintheti, és hozzáférést adhat az alkalmazáshoz vagy szolgáltatáshoz.

A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
2. Keresse meg a védelmi>feltételes hozzáférést.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
   3. Válassza a Kész lehetőséget.
6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
7. A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre.
   1. Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
   2. Válassza a Kész lehetőséget.
8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
   1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
   2. Válassza a lehetőséget.
9. A Munkamenet csoportban.
   1. Válassza ki a bejelentkezési gyakoriságot.
   2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
   3. Válassza a lehetőséget.
10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Jelszó nélküli forgatókönyvek

A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:

Jelszó nélküli bejelentkezési kockázati szabályzat frissítése

1. Felhasználók alatt:
   1. Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
2. Válassza ki azt a bejelentkezési kockázati szintet, amelyre a szabályzat vonatkozik, válassza a Magas lehetőséget.
3. A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.

Tipp.

Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.

• Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
• Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.

Jelszó nélküli bejelentkezési kockázat elhárítása és blokkolásának feloldása

1. Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
2. A felhasználó letiltásának feloldása.

Kockázatos aláírási események tesztelése

A felhasználói bejelentkezési események többsége nem aktiválja az előző lépésekben konfigurált kockázatalapú szabályzatokat. Előfordulhat, hogy a felhasználó nem lát MFA-kérést, vagy nem állítja vissza a jelszavát. Ha hitelesítő adataik biztonságban maradnak, és a viselkedésük konzisztens marad, a bejelentkezési események sikeresek lesznek.

Az előző lépésekben létrehozott Microsoft Entra ID-védelem szabályzatok teszteléséhez módot kell adnia a kockázatos viselkedés vagy a lehetséges támadások szimulálására. A tesztek végrehajtásának lépései az érvényesítendő Microsoft Entra ID-védelem szabályzattól függően változnak. A forgatókönyvekről és lépésekről további információt a Microsoft Entra ID-védelem kockázatészleléseinek szimulálása című témakörben talál.

Az erőforrások eltávolítása

Ha befejezi a tesztelést, és már nem szeretné engedélyezni a kockázatalapú szabályzatokat, térjen vissza minden letiltani kívánt házirendhez, és állítsa a házirend engedélyezését ki- vagy törlésre.

Következő lépések

Ebben az oktatóanyagban engedélyezte a kockázatalapú felhasználói szabályzatokat Microsoft Entra ID-védelem. Megtanulta végrehajtani az alábbi műveleteket:

• A Microsoft Entra ID-védelem elérhető szabályzatainak ismertetése
• A Microsoft Entra többtényezős hitelesítésének engedélyezése
• Kockázatalapú jelszómódosítások engedélyezése
• Kockázatalapú többtényezős hitelesítés engedélyezése
• Kockázatalapú szabályzatok tesztelése felhasználói bejelentkezési kísérletekhez

További információ a Microsoft Entra ID-védelem