A feltételes hozzáférés üzembe helyezésének megtervezése
A feltételes hozzáférés üzembe helyezésének megtervezése kritikus fontosságú a szervezet alkalmazásokra és erőforrásokra vonatkozó hozzáférési stratégiájának eléréséhez. A feltételes hozzáférési szabályzatok nagyszerű konfigurációs rugalmasságot biztosítanak. Ez a rugalmasság azonban azt is jelenti, hogy körültekintően kell megterveznie, hogy elkerülje a nemkívánatos eredményeket.
A Microsoft Entra Feltételes hozzáférés olyan jeleket kombinál, mint a felhasználó, az eszköz és a hely a döntések automatizálásához és az erőforrások szervezeti hozzáférési szabályzatainak kikényszerítéséhez. Ezek a feltételes hozzáférési szabályzatok segítenek kiegyensúlyozni a biztonságot és a hatékonyságot, szükség esetén kényszerítve a biztonsági vezérlőket, és ha nem, akkor a felhasználó útjában maradnak.
A feltételes hozzáférés a Microsoft Teljes felügyelet biztonsági szabályzatmotorjának alapja.
A Microsoft olyan alapértelmezett biztonsági beállításokat biztosít, amelyek biztosítják az alapszintű biztonságot azokban a bérlőkben, amelyek nem rendelkeznek P1 vagy P2 Microsoft Entra-azonosítóval. A feltételes hozzáféréssel olyan szabályzatokat hozhat létre, amelyek ugyanolyan védelmet nyújtanak, mint a biztonsági alapértékek, de részletesek. A feltételes hozzáférés és a biztonsági alapértelmezések nem kombinálhatók, mivel a feltételes hozzáférési szabályzatok létrehozása megakadályozza a biztonsági alapértelmezett beállítások engedélyezését.
Előfeltételek
- Egy működő Microsoft Entra-bérlő p1, P2 vagy próbaverziós licenccel. Ha szükséges, hozzon létre egyet ingyen.
- A P2 Microsoft Entra-azonosítónak tartalmaznia kell Microsoft Entra ID-védelem kockázatot a feltételes hozzáférési szabályzatokban.
- A feltételes hozzáféréssel kommunikáló rendszergazdáknak az elvégzett feladatoktól függően az alábbi szerepkör-hozzárendelések egyikével kell rendelkezniük. A minimális jogosultság Teljes felügyelet alapelvének követéséhez fontolja meg a Privileged Identity Management (PIM) használatát a kiemelt szerepkör-hozzárendelések igény szerinti aktiválásához.
- Feltételes hozzáférési szabályzatok és konfigurációk olvasása
- Feltételes hozzáférési szabályzatok létrehozása vagy módosítása
- Egy tesztfelhasználó (nem rendszergazda), amely lehetővé teszi, hogy ellenőrizze, hogy a szabályzatok a várt módon működnek-e a valós felhasználók számára történő üzembe helyezés előtt. Ha létre kell hoznia egy felhasználót, olvassa el a rövid útmutatót: Új felhasználók hozzáadása a Microsoft Entra-azonosítóhoz.
- Egy csoport, amelynek a tesztfelhasználó tagja. Ha létre kell hoznia egy csoportot, olvassa el a Csoport létrehozása és tagok hozzáadása a Microsoft Entra-azonosítóban című témakört.
Változás közlése
A kommunikáció kritikus fontosságú az új funkciók sikeressége szempontjából. Proaktív módon kell kommunikálnia a felhasználókkal a felhasználói élmény változásairól, a változásokról, valamint arról, hogy hogyan kérhet támogatást, ha problémákat tapasztalnak.
Feltételes hozzáférési szabályzatok komponensei
A feltételes hozzáférési szabályzatok választ adnak arra a kérdésre, hogy ki férhet hozzá az erőforrásokhoz, milyen erőforrásokhoz férhetnek hozzá, és milyen feltételek mellett. A szabályzatok megtervezhetők úgy, hogy hozzáférést biztosítsanak, korlátozzák a hozzáférést munkamenet-vezérlőkkel, vagy blokkolják a hozzáférést. Feltételes hozzáférési szabályzatot az alábbi if-then utasítások definiálásával hozhat létre:
| Ha egy feladat teljesül | A hozzáférési vezérlők alkalmazása |
|---|---|
| Ha Ön a Finance felhasználója, és hozzáfér a bérszámfejtési alkalmazáshoz | Többtényezős hitelesítés és megfelelő eszköz megkövetelése |
| Ha nem tagja a Pénzügynek a bérszámfejtési alkalmazáshoz való hozzáféréshez | Hozzáférés letiltása |
| Ha a felhasználói kockázat magas | Többtényezős hitelesítés és biztonságos jelszómódosítás megkövetelése |
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:
- Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
- További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
Tegye fel a megfelelő kérdéseket
Íme néhány gyakori kérdés a hozzárendelésekkel és a hozzáférés-vezérléssel kapcsolatban. Az egyes szabályzatok létrehozása előtt jegyezze fel a rájuk vonatkozó kérdésekre adott válaszokat.
Felhasználók vagy számítási feladatok identitásai
- Mely felhasználók, csoportok, címtárszerepkörök vagy számítási feladatok identitásai szerepelnek a szabályzatban, vagy ki vannak zárva a szabályzatból?
- Milyen vészhelyzeti hozzáférési fiókokat vagy csoportokat kell kizárni a szabályzatból?
Felhőalkalmazások vagy műveletek
Ez a szabályzat bármilyen alkalmazásra, felhasználói műveletre vagy hitelesítési környezetre vonatkozik? Ha igen:
- Milyen alkalmazásokra vagy szolgáltatásokra vonatkozik a szabályzat?
- Milyen felhasználói műveletekre vonatkozik ez a szabályzat?
- Milyen hitelesítési környezetekre alkalmazza ezt a szabályzatot?
Alkalmazások szűrése
A szervezeteknek az alkalmazások egyedi megadása helyett az alkalmazások belefoglalására vagy kizárására szolgáló szűrő használata segít a szervezeteknek:
- Egyszerűen méretezhet és célozhat tetszőleges számú alkalmazást.
- Egyszerűen kezelheti a hasonló szabályzatkövetelményekkel rendelkező alkalmazásokat.
- Csökkentse az egyes szabályzatok számát.
- A szabályzatok szerkesztése során felmerülő hibák csökkentése: Nem kell manuálisan hozzáadni/eltávolítani az alkalmazásokat a szabályzatból. Csak kezelje az attribútumokat.
- A szabályzat méretkorlátozásainak leküzdése.
Feltételek
- Mely eszközplatformokat tartalmazza vagy zárja ki a szabályzat?
- Mik a szervezet ismert hálózati helyei?
- Milyen helyek szerepelnek a szabályzatban, vagy ki vannak zárva a szabályzatból?
- Milyen ügyfélalkalmazás-típusokat tartalmaz vagy zár ki a szabályzat?
- Meg kell céloznia bizonyos eszközattribútumokat?
- Ha Microsoft Entra ID-védelem használ, be szeretné építeni a bejelentkezési vagy felhasználói kockázatot?
Vezérlők letiltása vagy engedélyezése
Szeretne hozzáférést biztosítani az erőforrásokhoz az alábbiak közül egy vagy több megkövetelésével?
- Többtényezős hitelesítés
- Megfelelőként megjelölt eszköz
- Hibrid Microsoft Entra-eszköz használata
- Jóváhagyott ügyfélalkalmazás használata
- Alkalmazásvédelem házirend alkalmazása
- Jelszó módosítása
- Elfogadott használati feltételek
A hozzáférés letiltása egy hatékony vezérlő, amelyet csak a megfelelő ismeretek birtokában szabad alkalmazni. A letiltási utasításokat tartalmazó szabályzatok használata nem kívánt mellékhatásokkal járhat. A megfelelő tesztelés és ellenőrzés létfontosságú a nagy léptékű vezérlés engedélyezése előtt. A rendszergazdáknak olyan eszközöket kell használniuk, mint a feltételes hozzáférés jelentéskészítési módja és a What If eszköz a feltételes hozzáférésben a módosítások végrehajtásakor.
Munkamenet-vezérlők
Szeretné kikényszeríteni az alábbi hozzáférési vezérlők valamelyikét a felhőalkalmazásokon?
- Alkalmazás által kikényszerített korlátozások használata
- Feltételes hozzáférésű alkalmazásvezérlő használata
- Bejelentkezési gyakoriság kényszerítése
- Állandó böngésző munkamenetek használata
- Folyamatos hozzáférés-kiértékelés testreszabása
Szabályzatok kombinálása
Szabályzatok létrehozásakor és hozzárendelésekor figyelembe kell vennie a hozzáférési jogkivonatok működését. A hozzáférési jogkivonatok hozzáférést biztosítanak vagy tiltanak attól függően, hogy a kérést küldő felhasználók engedélyezve lettek-e és hitelesítve lettek-e. Ha a kérelmező bizonyítani tudja, hogy ki az, akinek vallja magát, hozzáférhet a védett erőforrásokhoz vagy funkciókhoz.
A hozzáférési jogkivonatok alapértelmezés szerint ki vannak adva, ha egy feltételes hozzáférési szabályzatfeltétel nem indít el hozzáférés-vezérlést.
Ez a szabályzat nem akadályozza meg, hogy az alkalmazás saját képes legyen letiltani a hozzáférést.
Vegyük például egy egyszerűsített szabályzat példáját, ahol:
Felhasználók: PÉNZÜGYI CSOPORT
Hozzáférés: PAYROLL ALKALMAZÁS
Hozzáférés-vezérlés: Többtényezős hitelesítés
- Az A felhasználó a PÉNZÜGYI CSOPORTBAN van, többtényezős hitelesítést kell végrehajtania a PAYROLL ALKALMAZÁS eléréséhez.
- A B felhasználó nem szerepel a PÉNZÜGYI CSOPORTBAN, hozzáférési jogkivonatot ad ki, és többtényezős hitelesítés nélkül is hozzáférhet a PAYROLL ALKALMAZÁShoz.
Annak érdekében, hogy a pénzügyi csoporton kívüli felhasználók ne férhessenek hozzá a bérszámfejtési alkalmazáshoz, létrehozhat egy külön szabályzatot, amely letiltja az összes többi felhasználót, például az alábbi egyszerűsített szabályzatot:
Felhasználók: Az összes felhasználó belefoglalása/PÉNZÜGYI CSOPORT kizárása
Hozzáférés: PAYROLL ALKALMAZÁS
Hozzáférés-vezérlés: Hozzáférés letiltása
Most, amikor a B felhasználó megpróbál hozzáférni a PAYROLL ALKALMAZÁShoz , le van tiltva.
Ajánlások
A feltételes hozzáférés használatában és más ügyfelek támogatásában elsajátított tanulásainkat figyelembe véve íme néhány javaslat a tanulásunk alapján.
Feltételes hozzáférési szabályzatok alkalmazása minden alkalmazásra
Győződjön meg arról, hogy minden alkalmazáshoz legalább egy feltételes hozzáférési szabályzat van alkalmazva. Biztonsági szempontból jobb, ha olyan szabályzatot hoz létre, amely az Összes erőforrást (korábbi nevén "Minden felhőalkalmazást") magában foglalja, majd kizárja azokat az alkalmazásokat, amelyekre nem szeretné alkalmazni a szabályzatot. Ez a gyakorlat biztosítja, hogy nem kell frissítenie a feltételes hozzáférési szabályzatokat minden alkalommal, amikor új alkalmazást készít.
Tipp.
Legyen nagyon óvatos a blokkok és az összes alkalmazás egyetlen szabályzatban való használatakor. Ez kizárhatja a rendszergazdákat, és a kizárások nem konfigurálhatók olyan fontos végpontokhoz, mint a Microsoft Graph.
A feltételes hozzáférési szabályzatok számának minimalizálása
Az egyes alkalmazások szabályzatainak létrehozása nem hatékony, és nehéz adminisztrációhoz vezet. A feltételes hozzáférés bérlőnként legfeljebb 195 házirendet biztosít. Ez a 195-ös szabályzatkorlát a feltételes hozzáférési szabályzatokat tartalmazza bármilyen állapotban, beleértve a csak jelentésalapú módban, be- vagy kikapcsolt állapotban.
Javasoljuk, hogy elemezze az alkalmazásokat, és csoportosítsa őket olyan alkalmazásokba, amelyek ugyanazokat az erőforrás-követelményeket támasztják ugyanazon felhasználók számára. Ha például az összes Microsoft 365-alkalmazás vagy az összes HR-alkalmazás ugyanazokkal a követelményekkel rendelkezik ugyanarra a felhasználóra vonatkozóan, hozzon létre egyetlen szabályzatot, és tartalmazza az összes alkalmazást, amelyre vonatkozik.
A feltételes hozzáférési szabályzatok egy JSON-fájlban találhatók, és ez a fájl egy méretkorláthoz van kötve, amelytől nem várható, hogy egyetlen szabályzat tovább nőjön. Ha a szabályzatban a GRAFIKUS GUID-k hosszú listáját használja, előfordulhat, hogy eléri ezt a korlátot. Ha ezeket a korlátokat tapasztalja, javasoljuk az alábbi alternatív megoldásokat:
- Csoportok vagy szerepkörök használata a felhasználók egyenkénti listázása helyett a felhasználók belefoglalására vagy kizárására.
- Használjon szűrőt az alkalmazásokhoz az alkalmazások egyéni megadása helyett, vagy zárja ki őket.
A csak jelentési mód konfigurálása
Alapértelmezés szerint a sablonból létrehozott házirendek csak jelentésalapú módban jönnek létre. Javasoljuk, hogy a szervezetek teszteljék és monitorozzák a használatot, hogy az egyes szabályzatok bekapcsolása előtt biztosítsák a kívánt eredményt.
Szabályzatok engedélyezése csak jelentés módban. Ha csak jelentés módban ment egy szabályzatot, láthatja a valós idejű bejelentkezésekre gyakorolt hatást a bejelentkezési naplókban. A bejelentkezési naplókban válasszon ki egy eseményt, és lépjen a Csak jelentés lapra az egyes csak jelentésalapú szabályzatok eredményeinek megtekintéséhez.
Az Elemzések és jelentéskészítés munkafüzetben megtekintheti a feltételes hozzáférési szabályzatok összesítését. A munkafüzet eléréséhez Azure Monitor-előfizetésre van szüksége, és a bejelentkezési naplókat egy log analytics-munkaterületre kell streamelnie.
Fennakadások tervezése
A váratlan fennakadások miatti kimaradás kockázatának csökkentése érdekében tervezze meg a szervezet rugalmassági stratégiáit .
Védett műveletek engedélyezése
A védett műveletek engedélyezése újabb biztonsági réteget hoz létre, módosít vagy töröl feltételes hozzáférési szabályzatot. A szabályzat módosítása előtt a szervezetek új többtényezős hitelesítést vagy egyéb engedélyezési vezérlést igényelhetnek.
Elnevezési szabványok beállítása a szabályzatokhoz
Az elnevezési szabvány segít megtalálni a szabályzatokat, és megérteni azok célját anélkül, hogy megnyitná őket az Azure felügyeleti portálon. Javasoljuk, hogy nevezze el a szabályzatot, hogy megjelenjen:
- Sorszám
- Azokra a felhőalkalmazásokra, amelyekre vonatkozik
- A válasz
- Kire vonatkozik?
- Amikor az alkalmazásra van szükség
Példa: A Dynamics CRP-alkalmazást külső hálózatokról elérő marketingfelhasználók MFA-jának megkövetelésére vonatkozó szabályzat a következő lehet:
Egy leíró név segít áttekinteni a feltételes hozzáférés implementációját. A sorszám akkor hasznos, ha egy beszélgetésben egy szabályzatra kell hivatkoznia. Ha például telefonon beszél egy rendszergazdával, megkérheti őket, hogy nyissák meg a CA01 szabályzatot a probléma megoldásához.
A vészhelyzeti hozzáférés-vezérlés elnevezési szabványai
Az aktív szabályzatokon kívül olyan letiltott szabályzatokat is implementálhat, amelyek másodlagos rugalmas hozzáférés-vezérlésként működnek kimaradás vagy vészhelyzet esetén. A készenléti szabályzatok elnevezési szabványának a következőket kell tartalmaznia:
- AZ ELEJÉN ENGEDÉLYEZZE VÉSZHELYZETBEN, hogy a név kitűnjön a többi szabályzat közül.
- A megszakítás nevét kell alkalmazni.
- Sorrendszám, amely segít a rendszergazdának tudni, hogy mely sorrendi szabályzatokat kell engedélyezni.
Példa: A következő név azt jelzi, hogy ez a szabályzat az első a négy házirend közül, amelyek engedélyezve vannak, ha MFA-fennakadás van:
- EM01 – Engedélyezés vészhelyzetben: MFA-fennakadás [1/4] – Exchange SharePoint: A Microsoft Entra hibrid csatlakozásának megkövetelése a VIP-felhasználók számára.
Tiltsa le azokat az országokat/régiókat, amelyekből soha nem vár bejelentkezést
A Microsoft Entra ID lehetővé teszi nevesített helyek létrehozását. Hozza létre az engedélyezett országok/régiók listáját, majd hozzon létre egy hálózati blokkszabályzatot, amely kizárja ezeket az "engedélyezett országokat/régiókat". Ez a beállítás kisebb többletterhelést okoz a kisebb földrajzi helyeken lévő ügyfelek számára. Mindenképpen mentesítse a vészhelyzeti hozzáférési fiókokat ebből a szabályzatból.
Feltételes hozzáférési szabályzatok üzembe helyezése
Ha elkészült, fázisokban helyezze üzembe a feltételes hozzáférési szabályzatokat.
Feltételes hozzáférési szabályzatok létrehozása
Első lépésként tekintse meg a Feltételes hozzáférési szabályzatsablonokat és a Microsoft 365-szervezetek általános biztonsági szabályzatait . Ezek a sablonok kényelmesen használhatók a Microsoft-javaslatok üzembe helyezéséhez. Győződjön meg arról, hogy kizárja a segélyhívási hozzáférési fiókokat.
A szabályzat hatásának kiértékelése
Javasoljuk, hogy a következő eszközökkel értékelje ki a szabályzatok hatását a módosítások előtt és után is. A szimulált futtatás jó képet ad arról, hogy a feltételes hozzáférési szabályzat milyen hatással van, és nem helyettesíti a tényleges tesztfuttatást egy megfelelően konfigurált fejlesztői környezetben.
- Csak jelentéskészítési mód , valamint a feltételes hozzáférési elemzések és jelentéskészítési munkafüzet.
- A What If eszköz
Szabályzatok tesztelése
Győződjön meg arról, hogy teszteli egy szabályzat kizárási feltételeit. Kizárhat például egy felhasználót vagy csoportot egy MFA-t igénylő szabályzatból. Ellenőrizze, hogy a kizárt felhasználók MFA-t kérnek-e, mert az egyéb szabályzatok kombinációja MFA-t igényelhet ezekhez a felhasználókhoz.
Végezze el a teszttervben szereplő összes tesztet tesztfelhasználókkal. Fontos, hogy a teszttervben szerepeljen a várt eredmények és a tényleges eredmények összehasonlítása. Az alábbi táblázat néhány példatesztes esetet vázol fel. Módosítsa a forgatókönyveket és a várt eredményeket a feltételes hozzáférési szabályzatok konfigurálásának megfelelően.
| Szabályzat | Eset | Várt eredmény |
|---|---|---|
| Kockázatos bejelentkezések | A felhasználó nem jóváhagyott böngészővel jelentkezik be az Alkalmazásba | Kiszámítja a kockázati pontszámot annak valószínűsége alapján, hogy a bejelentkezést nem a felhasználó hajtotta végre. A felhasználónak önkiszolgáló szervizelésre van szüksége az MFA használatával |
| Eszközkezelés | A jogosult felhasználó egy engedélyezett eszközről próbál bejelentkezni | Hozzáférés biztosítva |
| Eszközkezelés | A jogosult felhasználó jogosulatlan eszközről próbál bejelentkezni | Hozzáférés letiltva |
| Jelszómódosítás kockázatos felhasználók számára | A jogosult felhasználó feltört hitelesítő adatokkal próbál bejelentkezni (magas kockázatú bejelentkezés) | A rendszer kéri a felhasználót a jelszó módosítására, vagy a hozzáférés a szabályzat alapján le van tiltva |
Üzembe helyezés éles környezetben
Miután megerősítette, hogy a csak jelentésalapú mód használata hatással van, a rendszergazda áthelyezheti az Engedélyezési házirend kapcsolót a Csak jelentés módról a Be állásba.
Szabályzatok visszaállítása
Ha vissza kell állítania az újonnan implementált szabályzatokat, használja az alábbi lehetőségek egyikét:
Tiltsa le a szabályzatot. A szabályzatok letiltásával biztosítható, hogy az ne legyen érvényes, amikor egy felhasználó megpróbál bejelentkezni. Bármikor visszatérhet, és engedélyezheti a szabályzatot, amikor használni szeretné.
Felhasználó vagy csoport kizárása szabályzatból. Ha egy felhasználó nem tud hozzáférni az alkalmazáshoz, dönthet úgy, hogy kizárja a felhasználót a szabályzatból.
Figyelemfelhívás
A kizárásokat takarékosan kell használni, csak olyan esetekben, amikor a felhasználó megbízható. A felhasználókat a lehető leghamarabb vissza kell adni a szabályzatba vagy csoportba.
Ha egy szabályzat le van tiltva, és már nincs rá szükség, törölje azt.
Feltételes hozzáférési szabályzatok hibaelhárítása
Ha egy felhasználónak problémája van egy feltételes hozzáférési szabályzattal, gyűjtse össze a következő információkat a hibaelhárítás megkönnyítése érdekében.
- Felhasználó egyszerű neve
- Felhasználó megjelenítendő neve
- Operációs rendszer neve
- Időbélyeg (a hozzávetőleges érték rendben van)
- Célalkalmazás
- Ügyfélalkalmazás típusa (böngésző és ügyfél)
- Korrelációs azonosító (ez az azonosító egyedi a bejelentkezéshez)
Ha a felhasználó További részletek hivatkozást tartalmazó üzenetet kapott, akkor ő is összegyűjtheti ezeknek az információknak a többségét.
Miután összegyűjtötte az adatokat, tekintse meg a következő erőforrásokat:
- A feltételes hozzáféréssel kapcsolatos bejelentkezési problémák – A feltételes hozzáféréssel kapcsolatos váratlan bejelentkezési eredmények megismerése hibaüzenetek és a Microsoft Entra bejelentkezési napló használatával.
- A What-If eszköz használata – Annak megértése, hogy egy szabályzatot miért alkalmaztak vagy nem alkalmaztak egy adott körülmények között egy felhasználóra, vagy hogy egy szabályzat ismert állapotban lenne-e alkalmazva.