Share via

Feltételes hozzáférés: Jogkivonat-védelem (előzetes verzió)

  • Cikk

A jogkivonat-védelem (más néven jogkivonat-kötés az iparágban) a jogkivonat-lopással történő támadások csökkentésére törekszik, biztosítva, hogy a jogkivonatok csak a kívánt eszközről legyenek használhatóak. Ha a támadó el tud lopni egy jogkivonatot, eltérítéssel vagy visszajátszással megszemélyesítheti az áldozatot, amíg a jogkivonat le nem jár vagy vissza nem vonódik. A jogkivonatok ellopása viszonylag ritka eseménynek számít, de az abból eredő károk jelentősek lehetnek.

A tokenvédelem kriptográfiailag biztonságos kapcsolatot hoz létre a jogkivonat és az általa kibocsátott eszköz (ügyfélkód) között. Az ügyfél titkos kódja nélkül a kötött jogkivonat használhatatlan. Amikor egy felhasználó Regisztrál egy Windows 10-et vagy újabb eszközt a Microsoft Entra ID-ban, az elsődleges identitása az eszközhöz van kötve. Ez azt jelenti, hogy a szabályzatok biztosítják, hogy az alkalmazások csak a kötött bejelentkezési munkameneti (vagy frissítési) jogkivonatokat használják, más néven elsődleges frissítési jogkivonatokat (PRT-eket) az alkalmazások, amikor hozzáférést kérnek egy erőforráshoz.

Fontos

A jogkivonat-védelem jelenleg nyilvános előzetes verzióban érhető el. Az előzetes verziókkal kapcsolatos további információkért tekintse meg az online szolgáltatások általános licencfeltételeit. Ezzel az előzetes verzióval létrehozunk egy feltételes hozzáférési szabályzatot, amely jogkivonat-védelmet igényel a bejelentkezési jogkivonatokhoz (frissítési jogkivonatokhoz) adott szolgáltatásokhoz. Támogatjuk a bejelentkezési jogkivonatok jogkivonatainak védelmét a Windows-eszközökön az Exchange Online-hoz és a SharePoint Online-hoz hozzáférő asztali alkalmazások feltételes hozzáférésében.

Fontos

A Token Protection a kezdeti nyilvános előzetes kiadás óta a következő módosításokat hajtotta végre:

  • Bejelentkezési naplók kimenete: A "enforcedSessionControls" és a "sessionControlsNotSatisfied" sztring értéke 2023 júniusának végén "Kötés" értékről "SignInTokenProtection" értékre módosult. A bejelentkezési napló adataival kapcsolatos lekérdezéseket frissíteni kell, hogy tükrözzék ezt a változást.

Feljegyzés

A tartalomban felcserélhetjük a tokeneket, és frissíthetjük a jogkivonatokat. Ez az előzetes verzió jelenleg nem támogatja a hozzáférési jogkivonatokat vagy a webes cookie-kat.

Screenshot showing a Conditional Access policy requiring token protection as the session control

Követelmények

Ez az előzetes verzió a következő konfigurációkat támogatja az erőforrásokhoz való hozzáféréshez a Token Protection feltételes hozzáférési szabályzatainak alkalmazásával:

  • Windows 10 vagy újabb eszközök, amelyekhez a Microsoft Entra csatlakozik, a Microsoft Entra hibrid csatlakozik, vagy a Microsoft Entra regisztrálva van.
  • OneDrive szinkronizálási app ügyfél 22.217-es vagy újabb verziója
  • A Teams natív ügyfél 1.6.00.1331-es vagy újabb verziója
  • Power BI desktop 2.117.841.0-s (2023. május) vagy újabb verzió
  • Visual Studio 2022 vagy újabb verzió a "Windows hitelesítési közvetítő" bejelentkezési lehetőség használatakor
  • Az Office Örökös ügyfelek nem támogatottak

Ismert korlátozások

  • A külső felhasználók (Microsoft Entra B2B) nem támogatottak, és nem vehetők fel a feltételes hozzáférési szabályzatba.
  • A következő alkalmazások nem támogatják a védett jogkivonat-folyamatok használatával való bejelentkezést, és a felhasználók le vannak tiltva az Exchange és a SharePoint elérésekor:
    • Az Exchange, a SharePoint vagy a Microsoft Graph hatóköreit elérő PowerShell-modulok, amelyeket az Exchange vagy a SharePoint szolgáltat
    • PowerQuery-bővítmény az Excelhez
    • Az Exchange-et vagy a SharePointot elérő Visual Studio Code-bővítmények
    • Az új Teams 2.1 előzetes verziójú ügyfél a kijelentkezés után egy hiba miatt le lesz tiltva. Ezt a hibát ki kell javítani egy jövőbeli szolgáltatásfrissítésben.
  • A következő Windows-ügyféleszközök nem támogatottak:
    • Windows Server
    • Surface Hub
    • Windows-alapú Microsoft Teams Konferencia (MTR) rendszerek

Licencelési követelmények

A szolgáltatás használatához Microsoft Entra ID P2-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

Feljegyzés

A Token Protection érvényesítése a Microsoft Entra ID-védelem része, és általános rendelkezésre állás esetén a P2 licenc része lesz.

Telepítés

A felhasználók számára a jogkivonatok védelmének kikényszerítésére szolgáló feltételes hozzáférési szabályzat üzembe helyezésének láthatatlannak kell lennie, ha kompatibilis ügyfélplatformokat használ regisztrált eszközökön és kompatibilis alkalmazásokon.

Az alkalmazás- vagy eszközkompatibilitás miatti felhasználói fennakadások valószínűségének minimalizálása érdekében javasoljuk a következőket:

  • Kezdje a felhasználók próbacsoportjával, és bontsa ki az idő múlásával.
  • Hozzon létre egy feltételes hozzáférési szabályzatot csak jelentés módban , mielőtt a jogkivonatvédelem érvényesítésére lépne.
  • Rögzítse az interaktív és a nem interaktív bejelentkezési naplókat is.
  • Elemezze ezeket a naplókat elég ideig a normál alkalmazáshasználat lefedéséhez.
  • Ismert, jó felhasználók hozzáadása egy kényszerítési szabályzathoz.

Ez a folyamat segít felmérni a felhasználók ügyfél- és alkalmazáskompatibilitását a jogkivonatok védelmének érvényesítéséhez.

Feltételes hozzáférési házirend létrehozása

Ennek a funkciónak a lehetséges célpontjai azok a felhasználók, akik speciális szerepköröket végeznek, mint a privileged hozzáférési biztonsági szinteken leírtak. Javasoljuk, hogy kezdjen el egy kis részhalmazzal való próbaüzemet.

Screenshot of a configured Conditional Access policy and its components.

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely jogkivonat-védelmet igényel az Exchange Online-hoz és a SharePoint Online-hoz Windows-eszközökön.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza ki a szabályzatot tesztelő felhasználókat vagy csoportokat.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
  6. A Célerőforrások területen a felhőalkalmazások>– alkalmazások kiválasztása>>

    1. A Kiválasztás csoportban válassza ki az előnézet által támogatott alábbi alkalmazásokat:

      1. Office 365 Exchange Online
      2. Office 365 SharePoint Online

      Figyelmeztetés

      A feltételes hozzáférési szabályzatot csak ezekhez az alkalmazásokhoz kell konfigurálni. Az Office 365-alkalmazáscsoport kiválasztása nem várt hibákat okozhat. Ez kivétel az általános szabály alól, amely szerint az Office 365-alkalmazáscsoportot feltételes hozzáférési szabályzatban kell kiválasztani.

    2. Válassza a Kiválasztás lehetőséget

  7. Feltételek szerint:
    1. Eszközplatformok alatt:
      1. Állítsa be a konfigurálást igen értékre.
      2. Válassza>ki a Windows eszközplatformokat>.
      3. Válassza a Kész lehetőséget.
    2. Az Ügyfélalkalmazások területen:
      1. Állítsa be a konfigurálást igen értékre.

        Figyelmeztetés

        Ha nem konfigurálja az Ügyfélalkalmazások feltételt, vagy nem hagyja ki a böngészőt , az MSAL.js használó alkalmazásokat, például a Teams Webet letilthatja.

      2. A Modern hitelesítési ügyfelek területen csak a Mobilalkalmazások és az asztali ügyfelek lehetőséget válassza ki. Hagyja bejelölve a többi elemet.
      3. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlési>munkamenet csoportban válassza a Bejelentkezési munkamenetek jogkivonat-védelmének megkövetelése, majd a Kiválasztás lehetőséget.
  9. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Naplók rögzítése és elemzése

A jogkivonat-védelem feltételes hozzáférés kényszerítésének monitorozása a kényszerítés előtt és után.

Bejelentkezési naplók

A Microsoft Entra bejelentkezési naplója segítségével ellenőrizheti, hogy a jogkivonatvédelmi kényszerítési szabályzat eredménye csak jelentés módban vagy engedélyezett módban van-e.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
  3. Válasszon ki egy adott kérést annak megállapításához, hogy a szabályzat alkalmazva van-e vagy sem.
  4. Az állapotától függően lépjen a Feltételes hozzáférés vagy a Csak jelentés panelre, és válassza ki a jogkivonat-védelmet igénylő szabályzat nevét.
  5. A Munkamenet-vezérlők csoportban ellenőrizze, hogy teljesültek-e a szabályzatkövetelmények.

Screenshot showing an example of a policy not being satisfied.

Log Analytics

A Log Analytics használatával lekérdezheti a bejelentkezési naplókat (interaktív és nem interaktív) a jogkivonatvédelmi kényszerítési hiba miatt blokkolt kérések esetében.

Íme egy minta Log Analytics-lekérdezés, amely az elmúlt hét nap nem interaktív bejelentkezési naplóit keresi, kiemelve a Letiltva vagy az Alkalmazás által engedélyezett kérelmeket. Ezek a lekérdezések csak minták, és változhatnak.

Feljegyzés

Bejelentkezési naplók kimenete: A "enforcedSessionControls" és a "sessionControlsNotSatisfied" sztring értéke 2023 júniusának végén "Kötés" értékről "SignInTokenProtection" értékre módosult. A bejelentkezési napló adataival kapcsolatos lekérdezéseket frissíteni kell, hogy tükrözzék ezt a változást. A példák mindkét értéket lefedik, így előzményadatokat is tartalmazhatnak.

//Per Apps query 
// Select the log you want to query (SigninLogs or AADNonInteractiveUserSignInLogs ) 
//SigninLogs 
AADNonInteractiveUserSignInLogs 
// Adjust the time range below 
| where TimeGenerated > ago(7d) 
| project Id,ConditionalAccessPolicies, Status,UserPrincipalName, AppDisplayName, ResourceDisplayName 
| where ConditionalAccessPolicies != "[]" 
| where ResourceDisplayName == "Office 365 Exchange Online" or ResourceDisplayName =="Office 365 SharePoint Online" 
//Add userPrinicpalName if you want to filter  
// | where UserPrincipalName =="<user_principal_Name>" 
| mv-expand todynamic(ConditionalAccessPolicies) 
| where ConditionalAccessPolicies ["enforcedSessionControls"] contains '["Binding"]' or ConditionalAccessPolicies ["enforcedSessionControls"] contains '["SignInTokenProtection"]' 
| where ConditionalAccessPolicies.result !="reportOnlyNotApplied" and ConditionalAccessPolicies.result !="notApplied" 
| extend SessionNotSatisfyResult = ConditionalAccessPolicies["sessionControlsNotSatisfied"] 
| extend Result = case (SessionNotSatisfyResult contains 'SignInTokenProtection' or SessionNotSatisfyResult contains 'SignInTokenProtection', 'Block','Allow')
| summarize by Id,UserPrincipalName, AppDisplayName, Result 
| summarize Requests = count(), Users = dcount(UserPrincipalName), Block = countif(Result == "Block"), Allow = countif(Result == "Allow"), BlockedUsers = dcountif(UserPrincipalName, Result == "Block") by AppDisplayName 
| extend PctAllowed = round(100.0 * Allow/(Allow+Block), 2) 
| sort by Requests desc

Az előző lekérdezés eredményének hasonlónak kell lennie az alábbi képernyőképhez:

Screenshot showing example results of a Log Analytics query looking for token protection policies

Az alábbi lekérdezési példa az elmúlt hét nap nem interaktív bejelentkezési naplóit vizsgálja, kiemelve a Letiltva és a Felhasználó által engedélyezett kérelmeket.

//Per users query 
// Select the log you want to query (SigninLogs or AADNonInteractiveUserSignInLogs ) 
//SigninLogs 
AADNonInteractiveUserSignInLogs 
// Adjust the time range below 
| where TimeGenerated > ago(7d) 
| project Id,ConditionalAccessPolicies, UserPrincipalName, AppDisplayName, ResourceDisplayName 
| where ConditionalAccessPolicies != "[]" 
| where ResourceDisplayName == "Office 365 Exchange Online" or ResourceDisplayName =="Office 365 SharePoint Online" 
//Add userPrincipalName if you want to filter  
// | where UserPrincipalName =="<user_principal_Name>" 
| mv-expand todynamic(ConditionalAccessPolicies) 
| where ConditionalAccessPolicies ["enforcedSessionControls"] contains '["Binding"]' or ConditionalAccessPolicies ["enforcedSessionControls"] contains '["SignInTokenProtection"]'
| where ConditionalAccessPolicies.result !="reportOnlyNotApplied" and ConditionalAccessPolicies.result !="notApplied" 
| extend SessionNotSatisfyResult = ConditionalAccessPolicies.sessionControlsNotSatisfied 
| extend Result = case (SessionNotSatisfyResult contains 'SignInTokenProtection' or SessionNotSatisfyResult contains 'SignInTokenProtection', 'Block','Allow')
| summarize by Id, UserPrincipalName, AppDisplayName, ResourceDisplayName,Result  
| summarize Requests = count(),Block = countif(Result == "Block"), Allow = countif(Result == "Allow") by UserPrincipalName, AppDisplayName,ResourceDisplayName 
| extend PctAllowed = round(100.0 * Allow/(Allow+Block), 2) 
| sort by UserPrincipalName asc

Következő lépések