Feltételes hozzáférési szabályzatsablonok

A feltételes hozzáférési sablonok kényelmes módszert biztosítanak a Microsoft javaslatainak megfelelő új szabályzatok üzembe helyezésére. Ezek a sablonok a különböző ügyféltípusokban és helyeken általánosan használt szabályzatokhoz igazodva nyújtanak maximális védelmet.

Sablonkategóriák

A feltételes hozzáférési szabályzatsablonok a következő kategóriákba vannak rendezve:

Biztonságos alapozás

A Microsoft ezeket a szabályzatokat javasolja az összes szervezet számára. Javasoljuk, hogy ezeket a szabályzatokat csoportként kell üzembe helyezni.

• Többtényezős hitelesítés megkövetelése rendszergazdák számára
• A biztonsági információk regisztrálásának védelme
• Régi hitelesítési folyamat letiltása
• Többtényezős hitelesítés megkövetelése a Microsoft felügyeleti portálokhoz hozzáférő rendszergazdák számára
• Többtényezős hitelesítés megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
• Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz vagy többtényezős hitelesítés megkövetelése minden felhasználó számára
• Megfelelő eszköz megkövetelése

Teljes felügyelet

Ezek a szabályzatok csoportként segítenek egy Teljes felügyelet-architektúra támogatásában.

• Többtényezős hitelesítés megkövetelése rendszergazdák számára
• A biztonsági információk regisztrálásának védelme
• Régi hitelesítési folyamat letiltása
• Többtényezős hitelesítés megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése a vendéghozzáféréshez
• Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
• Többtényezős hitelesítés megkövetelése kockázatos bejelentkezésekhez A P2 Microsoft Entra-azonosító szükséges
• Jelszómódosítás megkövetelése a magas kockázatú felhasználók számára a P2 Microsoft Entra-azonosító megkövetelése
• Ismeretlen vagy nem támogatott eszközplatform hozzáférésének letiltása
• Nincs állandó böngésző-munkamenet
• Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzatok megkövetelése
• Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz vagy többtényezős hitelesítés megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése a Microsoft felügyeleti portálokhoz hozzáférő rendszergazdák számára
• A belső kockázattal rendelkező felhasználók hozzáférésének letiltása a Microsoft Purview-ra van szükség

Távoli munka

Ezek a szabályzatok segítenek a távoli dolgozókkal rendelkező szervezetek biztonságossá tételében.

• A biztonsági információk regisztrálásának védelme
• Régi hitelesítési folyamat letiltása
• Többtényezős hitelesítés megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése a vendéghozzáféréshez
• Többtényezős hitelesítés megkövetelése kockázatos bejelentkezésekhez A P2 Microsoft Entra-azonosító szükséges
• Jelszómódosítás megkövetelése a magas kockázatú felhasználók számára a P2 Microsoft Entra-azonosító megkövetelése
• Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése rendszergazdáknak
• Ismeretlen vagy nem támogatott eszközplatform hozzáférésének letiltása
• Nincs állandó böngésző-munkamenet
• Megfelelő eszköz megkövetelése
• Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzatok megkövetelése
• Az alkalmazás által kényszerített korlátozások használata nem felügyelt eszközök esetében

Rendszergazda védelme

Ezek a szabályzatok a környezet magas szintű jogosultságokkal rendelkező rendszergazdáira irányulnak, ahol a legnagyobb kárt a kompromisszum okozhatja.

• Többtényezős hitelesítés megkövetelése rendszergazdák számára
• Régi hitelesítési folyamat letiltása
• Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
• Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése rendszergazdáknak
• Megfelelő eszköz megkövetelése
• Adathalászatnak ellenálló többtényezős hitelesítés megkövetelése rendszergazdák számára

Újonnan megjelenő fenyegetések

Az ebben a kategóriában szereplő szabályzatok új módszereket kínálnak a kompromisszumokkal szembeni védelemre.

• Adathalászatnak ellenálló többtényezős hitelesítés megkövetelése rendszergazdák számára

Ezeket a sablonokat a Microsoft Entra Felügyeleti központban, a Feltételes hozzáférés>védelme>új szabályzat létrehozása sablonokból című témakörben>találja. Válassza a Továbbiak megjelenítése lehetőséget az egyes kategóriákban található összes szabályzatsablon megtekintéséhez.

Fontos

A feltételes hozzáférési sablonszabályzatok csak a szabályzatot létrehozó felhasználót zárják ki a sablonból. Ha a szervezetnek ki kell zárnia más fiókokat, a létrehozásuk után módosíthatja a szabályzatot. Ezeket a szabályzatokat a Microsoft Entra Felügyeleti központ>feltételes>hozzáférési>szabályzataiban találja. Válasszon ki egy szabályzatot a szerkesztő megnyitásához, és módosítsa a kizárt felhasználókat és csoportokat a kizárni kívánt fiókok kiválasztásához.

Alapértelmezés szerint az egyes szabályzatok csak jelentés módban jönnek létre, ezért javasoljuk, hogy a szervezetek teszteljék és monitorozzák a használatot, hogy az egyes szabályzatok bekapcsolása előtt biztosítsák a kívánt eredményt.

A szervezetek kiválaszthatják az egyes szabályzatsablonokat, és az alábbiakat:

• Tekintse meg a szabályzatbeállítások összegzését.
• Szerkesztés a szervezeti igények alapján történő testreszabáshoz.
• Exportálja a JSON-definíciót a programozott munkafolyamatokban való használathoz.
  • Ezek a JSON-definíciók szerkeszthetők, majd importálhatók a feltételes hozzáférési szabályzatok fő lapján a Szabályzatfájl feltöltése beállítással.

Egyéb gyakori szabályzatok

• Többtényezős hitelesítés megkövetelése az eszközregisztrációhoz
• Hozzáférés letiltása hely alapján
• Hozzáférés letiltása adott alkalmazások kivételével

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

• Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
  • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését.

Következő lépések

• Szimulálja a bejelentkezési viselkedést a Feltételes hozzáférés What If eszközzel.
• A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.