Biztonsági alapértékek a Microsoft Entra ID-ben

A biztonsági alapértékek megkönnyítik a szervezet védelmét az identitással kapcsolatos támadások, például a jelszópermet, a visszajátszás és az adathalászat ellen a mai környezetekben.

A Microsoft ezeket az előre konfigurált biztonsági beállításokat mindenki számára elérhetővé teszi, mert tudjuk, hogy a biztonság kezelése nehézkes lehet. A tanulásunk alapján ezeknek a gyakori identitással kapcsolatos támadásoknak többtényezős hitelesítéssel és az örökölt hitelesítés blokkolásával a támadások több mint 99,9%-a leáll. Célunk annak biztosítása, hogy minden szervezetnek legyen legalább egy alapszintű biztonsági szintje, amely további költségek nélkül engedélyezve van.

Ezek az alapvető vezérlők a következők:

• A többtényezős hitelesítésre való regisztráció megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése a rendszergazdáktól
• Többtényezős hitelesítés megkövetelése a felhasználóknak, ha szükséges
• Régi hitelesítési protokollok blokkolása
• Kiemelt tevékenységek, például az Azure Portalhoz való hozzáférés védelme

Kinek?

• Azok a szervezetek, akik növelni szeretnék a biztonsági helyzetüket, de nem tudják, hogyan és hol kezdjenek.
• A Microsoft Entra ID licencelésének ingyenes szintjét használó szervezetek.

Ki használja a feltételes hozzáférést?

• Ha Ön Microsoft Entra id P1 vagy P2 licenccel rendelkező szervezet, akkor a biztonsági alapértelmezések valószínűleg nem megfelelőek Önnek.
• Ha a szervezet összetett biztonsági követelményekkel rendelkezik, érdemes megfontolnia a feltételes hozzáférést.

Alapértelmezett biztonsági beállítások engedélyezése

Ha a bérlő 2019. október 22-én vagy azt követően jött létre, a biztonsági beállítások engedélyezve lehetnek a bérlőben. Az összes felhasználó védelme érdekében a biztonsági alapértékek a létrehozáskor az összes új bérlőre ki lesznek állítva.

A szervezetek védelme érdekében folyamatosan dolgozunk a Microsoft-fiókszolgáltatások biztonságának javításán. A védelem részeként az ügyfelek rendszeres időközönként értesítést kapnak az alapértelmezett biztonsági beállítások automatikus engedélyezéséről, ha:

• Nincsenek feltételes hozzáférési szabályzatok
• Nem rendelkezik prémium licencekkel
• Nem használ aktívan régi hitelesítési ügyfeleket

A beállítás engedélyezése után a szervezet összes felhasználójának regisztrálnia kell a többtényezős hitelesítésre. A félreértések elkerülése érdekében tekintse meg a kapott e-mailt, és letilthatja az alapértelmezett biztonsági beállításokat az engedélyezés után.

A címtárban a biztonsági alapértékek konfigurálásához legalább a Biztonsági Rendszergazda istrator szerepkört kell hozzárendelni. Alapértelmezés szerint a címtár első fiókja egy magasabb szintű, globális Rendszergazda istrator nevű kiemelt szerepkörhöz van hozzárendelve.

A biztonsági alapértékek engedélyezése:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
2. Tallózással keresse meg az identitás>áttekintési>tulajdonságokat.
3. Válassza a Biztonsági alapértelmezések kezelése lehetőséget.
4. Állítsa be az alapértelmezett biztonsági beállításokat engedélyezett értékre.
5. Válassza a Mentés lehetőséget.

Aktív jogkivonatok visszavonása

A biztonsági alapértékek engedélyezésének részeként a rendszergazdáknak vissza kell vonniuk az összes meglévő jogkivonatot, hogy minden felhasználónak regisztrálnia kell a többtényezős hitelesítésre. Ez a visszavonási esemény arra kényszeríti a korábban hitelesített felhasználókat, hogy hitelesítsék és regisztrálják a többtényezős hitelesítést. Ez a feladat a Revoke-AzureADUserAllRefreshToken PowerShell-parancsmaggal hajtható végre.

Kényszerített biztonsági szabályzatok

Minden felhasználónak regisztrálnia kell a Microsoft Entra többtényezős hitelesítésére

Minden felhasználónak 14 napja van regisztrálni a Microsoft Authenticator alkalmazással vagy az OATH TOTP-t támogató alkalmazással. A 14 nap elteltével a felhasználó csak a regisztráció befejezéséig tud bejelentkezni. A felhasználó 14 napos időszaka az első sikeres interaktív bejelentkezés után kezdődik, miután engedélyezte a biztonsági alapértelmezett beállításokat.

Amikor a felhasználók bejelentkeznek, és a rendszer többtényezős hitelesítést kér, megjelenik egy képernyő, amelyen egy szám szerepel a Microsoft Authenticator alkalmazásban. Ez a mérték segít megelőzni, hogy a felhasználók MFA-kimerülési támadásokat szenvednek.

Többtényezős hitelesítés megkövetelése a rendszergazdáktól

Rendszergazda istratorok nagyobb hozzáféréssel rendelkeznek a környezethez. Mivel ezeknek a kiemelt jogosultságú fiókoknak a hatalma van, különös gondossággal kell kezelnie őket. A kiemelt fiókok védelmének javítására az egyik gyakori módszer, ha a bejelentkezéshez erősebb fiókhitelesítésre van szükség, például többtényezős hitelesítésre.

Tipp.

Javaslatok rendszergazdáknak:

• Győződjön meg arról, hogy minden rendszergazda bejelentkezik a biztonsági beállítások engedélyezése után, hogy regisztrálhassanak a hitelesítési módszerekre.
• Külön fiókokkal rendelkezik az adminisztrációs és a standard hatékonysági feladatokhoz, így jelentősen csökkentheti a rendszergazdák MFA-kéréseinek számát.

A regisztráció befejezése után a következő rendszergazdai szerepkörökre lesz szükség a többtényezős hitelesítés minden bejelentkezéskor:

• Globális rendszergazda
• alkalmazás-rendszergazda
• Hitelesítési rendszergazda
• Hitelesítési szabályzatot felügyelő rendszergazda
• Számlázási rendszergazda
• Felhőalkalmazás-rendszergazda
• Feltételes hozzáférésű rendszergazda
• Exchange-rendszergazda
• Segélyszolgálat Rendszergazda istrator
• Identitásszabályozási Rendszergazda istrator
• Jelszó Rendszergazda istrator
• Kiemelt hitelesítési rendszergazda
• Kiemelt szerepkörű rendszergazda
• Biztonsági rendszergazda
• SharePoint Rendszergazda istrator
• Felhasználói rendszergazda

Szükség esetén többtényezős hitelesítés megkövetelése a felhasználóknak

Általában úgy gondoljuk, hogy a rendszergazdai fiókok az egyetlen olyan fiók, amely további hitelesítési rétegeket igényel. Rendszergazda istratorok széles körű hozzáféréssel rendelkeznek a bizalmas információkhoz, és módosíthatják az előfizetésre vonatkozó beállításokat. A támadók azonban gyakran célba érik a végfelhasználókat.

Miután ezek a támadók hozzáférést kapnak, hozzáférést kérhetnek az eredeti fióktulajdonos kiemelt adataihoz. Akár a teljes könyvtárat is letölthetik, hogy adathalász támadást hajtsanak végre az egész szervezeten.

Az összes felhasználó védelmét javító egyik gyakori módszer a fiókhitelesítés erősebb formája, például a többtényezős hitelesítés megkövetelése mindenki számára. Miután a felhasználók befejezték a regisztrációt, a rendszer szükség esetén egy másik hitelesítést fog kérni. A Microsoft többtényezős hitelesítést kér a felhasználótól olyan tényezők alapján, mint a hely, az eszköz, a szerepkör és a feladat. Ez a funkció az összes regisztrált alkalmazást védi, beleértve az SaaS-alkalmazásokat is.

Feljegyzés

B2B közvetlen csatlakozású felhasználók esetén az erőforrás-bérlőben engedélyezett biztonsági alapértelmezett biztonsági beállításokból származó többtényezős hitelesítési követelménynek teljesülnie kell, beleértve a többtényezős hitelesítés regisztrációját a közvetlen kapcsolat felhasználója által az otthoni bérlőben.

Régi hitelesítési protokollok letiltása

Annak érdekében, hogy a felhasználók könnyen hozzáférhessenek a felhőalkalmazásokhoz, támogatjuk a különböző hitelesítési protokollokat, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés olyan kifejezés, amely a következő által küldött hitelesítési kérésre hivatkozik:

• Modern hitelesítést nem használó ügyfelek (például Office 2010-ügyfél)
• Minden olyan ügyfél, amely régebbi levelezési protokollokat használ, például IMAP, SMTP vagy POP3

Ma a legtöbb kompromittáló bejelentkezési kísérlet örökölt hitelesítésből származik. Az örökölt hitelesítés nem támogatja a többtényezős hitelesítést. Még ha engedélyezve is van egy többtényezős hitelesítési szabályzat a címtárban, a támadók egy régebbi protokoll használatával hitelesíthetik magukat, és megkerülhetik a többtényezős hitelesítést.

Miután engedélyezte a biztonsági alapértelmezett beállításokat a bérlőben, a rendszer letiltja a régebbi protokoll által küldött összes hitelesítési kérést. A biztonsági alapértelmezések letiltják az Exchange Active Sync alapszintű hitelesítését.

Figyelmeztetés

A biztonsági alapértékek engedélyezése előtt győződjön meg arról, hogy a rendszergazdák nem használnak régebbi hitelesítési protokollokat. További információ: Az örökölt hitelesítéstől való eltávolodás.

• Többfunkciós eszköz vagy alkalmazás beállítása e-mailek küldésére a Microsoft 365 használatával

Kiemelt tevékenységek, például az Azure Portalhoz való hozzáférés védelme

A szervezetek az Azure Resource Manager API-val felügyelt különböző Azure-szolgáltatásokat használnak, többek között a következőket:

• Azure Portal
• Microsoft Entra felügyeleti központ
• Azure PowerShell
• Azure CLI

Az Azure Resource Manager használata a szolgáltatások kezeléséhez magas jogosultsági szintű művelet. Az Azure Resource Manager módosíthatja a bérlői szintű konfigurációkat, például a szolgáltatásbeállításokat és az előfizetés számlázását. Az egytényezős hitelesítés sebezhető a különböző támadások, például az adathalászat és a jelszópermet ellen.

Fontos ellenőrizni azon felhasználók identitását, akik hozzá szeretnének férni az Azure Resource Managerhez, és frissítenék a konfigurációkat. A hozzáférés engedélyezése előtt további hitelesítést igényelve ellenőrizheti az identitásukat.

Miután engedélyezte a bérlő biztonsági alapértelmezett beállításait, a következő szolgáltatásokat elérő összes felhasználónak többtényezős hitelesítést kell végrehajtania:

• Azure Portal
• Microsoft Entra felügyeleti központ
• Azure PowerShell
• Azure CLI

Ez a szabályzat minden olyan felhasználóra vonatkozik, aki hozzáfér az Azure Resource Manager-szolgáltatásokhoz, függetlenül attól, hogy rendszergazda vagy felhasználó. Ez a szabályzat az Azure Resource Manager API-kra vonatkozik, például az előfizetéshez, a virtuális gépekhez, a tárfiókokhoz stb. való hozzáférésre. Ez a szabályzat nem tartalmazza a Microsoft Entra-azonosítót vagy a Microsoft Graphot.

Feljegyzés

A 2017 előtti Exchange Online-bérlők alapértelmezés szerint le vannak tiltva a modern hitelesítéssel. Annak érdekében, hogy elkerülhesse a bejelentkezési ciklus lehetőségét, miközben hitelesíti ezeket a bérlőket, engedélyeznie kell a modern hitelesítést.

Feljegyzés

A Microsoft Entra Csatlakozás szinkronizálási fiók nem szerepel a biztonsági alapértelmezett beállítások között, és a rendszer nem kéri a többtényezős hitelesítés regisztrálását vagy végrehajtását. A szervezetek nem használhatják ezt a fiókot más célokra.

Telepítési szempontok

A felhasználók előkészítése

Fontos, hogy tájékoztassa a felhasználókat a közelgő változásokról, a regisztrációs követelményekről és a szükséges felhasználói műveletekről. Kommunikációs sablonokat és felhasználói dokumentációt biztosítunk, hogy felkészítsük a felhasználókat az új felületre, és segítsük a sikeres bevezetést. Küldje el a felhasználóknak a regisztrációt https://myprofile.microsoft.com a lapon található Biztonsági információk hivatkozásra kattintva.

Hitelesítési módszerek

A biztonsági alapértékeket a felhasználóknak többtényezős hitelesítésre kell regisztrálniuk és használniuk a Microsoft Authenticator alkalmazással, értesítések használatával. Előfordulhat, hogy a felhasználók a Microsoft Authenticator alkalmazás ellenőrzőkódjait használják, de csak az értesítési lehetőséggel regisztrálhatnak. A felhasználók bármely harmadik féltől származó alkalmazást használhatnak az OATH TOTP használatával kódok létrehozásához.

Figyelmeztetés

Ha biztonsági beállításokat használ, ne tiltsa le a szervezet metódusait. A metódusok letiltása azt eredményezheti, hogy kizárja magát a bérlőből. Hagyja az összes metódust engedélyezve azMFA szolgáltatásbeállítások portálján.

B2B-felhasználók

A címtárhoz hozzáférő B2B-vendégfelhasználók és közvetlen B2B-felhasználók ugyanúgy lesznek kezelve, mint a szervezet felhasználói.

Letiltott MFA-állapot

Ha a szervezet felhasználónkénti alapú többtényezős hitelesítés korábbi felhasználója, ne aggódjon, ha a többtényezős hitelesítés állapotlapján megtekinti, hogy a felhasználók engedélyezve vagy kikényszerítve állapotban legyenek. A letiltott állapot az alapértelmezett biztonsági beállításokat vagy feltételes hozzáférésen alapuló többtényezős hitelesítést használó felhasználók számára megfelelő állapot.

A biztonsági alapértelmezett beállítások letiltása

Azoknak a szervezeteknek, amelyek a biztonsági alapértelmezett beállításokat helyettesítő feltételes hozzáférési házirendek bevezetését választják, le kell tiltaniuk a biztonsági alapértelmezett beállításokat.

A könyvtár biztonsági alapértelmezéseinek letiltása:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági Rendszergazda istratorként.
2. Tallózással keresse meg az identitás>áttekintési>tulajdonságokat.
3. Válassza a Biztonsági alapértelmezések kezelése lehetőséget.
4. Állítsa a Biztonsági alapértelmezett értéket Kikapcsolva állapotra (nem ajánlott).
5. Válassza a Mentés lehetőséget.

Váltás az alapértelmezett biztonsági beállításokról a feltételes hozzáférésre

Bár a biztonsági alapértékek jó alapkonfigurációk a biztonsági helyzet elindításához, nem teszik lehetővé a számos szervezet által igényelt testreszabást. A feltételes hozzáférési szabályzatok teljes körű testreszabást biztosítanak, amelyet az összetettebb szervezetek igényelnek.

	Alapértelmezett biztonsági szabályok	Feltételes hozzáférés
Szükséges licencek	Egyik sem	Legalább Microsoft Entra ID P1
Testreszabás	Nincs testreszabás (be- vagy kikapcsolva)	Teljesen testre szabható
Engedélyezve:	Microsoft vagy rendszergazda	Rendszergazda
Összetettsége	Egyszerű használat	A követelményeknek megfelelően teljesen testre szabható

Ajánlott lépések a biztonsági beállításokról való áttéréskor

Azok a szervezetek, amelyek tesztelni szeretnék a feltételes hozzáférés funkcióit, regisztrálhatnak egy ingyenes próbaverzióra az első lépésekhez.

Miután a rendszergazdák letiltják a biztonsági alapértékeket, a szervezeteknek azonnal engedélyezniük kell a feltételes hozzáférési szabályzatokat a szervezetük védelméhez. Ezeknek a szabályzatoknak legalább azokat a szabályzatokat kell tartalmazniuk a feltételes hozzáférési sablonok biztonságos alapok kategóriájában. Az Microsoft Entra ID-védelem-t tartalmazó Microsoft Entra ID P2-licencekkel rendelkező szervezetek kibővíthetik ezen a listán a felhasználói és a kockázati alapú szabályzatokat, hogy tovább erősítsék a helyzetüket.

Javasoljuk, hogy zárjon ki legalább egy fiókot a feltételes hozzáférési szabályzatokból. Ezek a kizárt vészhozzáférés vagy törés-üveg fiókok segítenek megakadályozni a bérlői szintű fiókzárolást. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához. További információt a segélyhívási fiókok kezelése című cikkben talál.

Következő lépések

• Blog: A biztonsági alapértékek bemutatása
• A licenceléssel kapcsolatos további információk a Microsoft Entra díjszabási oldalán találhatók.