Kockázati szabályzatok konfigurálása és engedélyezése
A Microsoft Entra feltételes hozzáférésben kétféle kockázati szabályzat állítható be. Ezekkel a szabályzatokkal automatizálhatja a kockázatokra adott választ, így a felhasználók önjavítást végezhetnek a kockázat észlelésekor:
Az elfogadható kockázati szintek kiválasztása
A szervezeteknek el kell dönteniük, hogy milyen szintű kockázatra van szükségük ahhoz, hogy hozzáférés-vezérlést igényeljenek a felhasználói élmény és a biztonsági helyzet egyensúlyának kiegyensúlyozása érdekében.
A hozzáférés-vezérlés magas kockázati szinten történő alkalmazása csökkenti a szabályzatok aktiválásának számát, és minimálisra csökkenti a felhasználók súrlódását. Azonban kizárja az alacsony és közepes kockázatokat a szabályzatból, ami nem akadályozhatja meg a támadót a feltört identitások kihasználásában. Ha alacsony kockázati szintet választ a hozzáférés-vezérlés megköveteléséhez, több felhasználói megszakítást vezet be.
A konfigurált megbízható hálózati helyeket az Identity Protection bizonyos kockázatészlelésekben a hamis pozitív értékek csökkentésére használja.
Az alábbi szabályzatkonfigurációk magukban foglalják a bejelentkezési gyakorisági munkamenet-vezérlést , amely ismételt hitelesítést igényel a kockázatos felhasználók és a bejelentkezések számára.
A Microsoft javaslata
A Microsoft a következő kockázati szabályzatkonfigurációkat javasolja a szervezet védelme érdekében:
- Felhasználói kockázati szabályzat
- Ha a felhasználói kockázati szint magas, biztonságos jelszómódosítást igényel. A Microsoft Entra többtényezős hitelesítésre van szükség ahhoz, hogy a felhasználó új jelszót hozzon létre jelszóvisszaíróval a kockázat elhárításához.
- Bejelentkezési kockázati szabályzat
- Többtényezős Microsoft Entra-hitelesítés megkövetelése, ha a bejelentkezési kockázati szint közepes vagy magas, így a felhasználók az egyik regisztrált hitelesítési módszerükkel igazolhatják a bejelentkezési kockázatot.
A hozzáférés-vezérlés megkövetelése, ha a kockázati szint alacsony, nagyobb súrlódást és felhasználói megszakításokat vezet be, mint közepes vagy magas. A hozzáférés letiltása ahelyett, hogy lehetővé tenné az önjavítási lehetőségeket, például a jelszómódosítást és a többtényezős hitelesítést, még inkább hatással van a felhasználókra és a rendszergazdákra. A szabályzatok konfigurálásakor mérlegelje ezeket a lehetőségeket.
Kockázatkezelés
A szervezetek dönthetnek úgy, hogy letiltják a hozzáférést a kockázat észlelésekor. A letiltás néha megakadályozza a jogos felhasználókat, hogy azt tegyenek, amire szükségük van. Jobb megoldás a felhasználói és bejelentkezési kockázatalapú feltételes hozzáférési szabályzatok konfigurálása, amelyek lehetővé teszik a felhasználók számára az önjavítást.
Figyelmeztetés
A felhasználóknak regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre, mielőtt szervizelést igénylő helyzetbe ütköznének. A helyszíniről szinkronizált hibrid felhasználók esetében engedélyezni kell a jelszóvisszaírást. A nem regisztrált felhasználók le vannak tiltva, és rendszergazdai beavatkozást igényelnek.
A jelszó módosítása (ismerem a jelszavamat, és valami újra szeretném módosítani) a kockázatos felhasználói házirend szervizelési folyamatán kívül nem felel meg a jelszó biztonságos módosítására vonatkozó követelménynek.
Szabályzatok engedélyezése
A szervezetek az alábbi lépések végrehajtásával vagy feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy kockázatalapú szabályzatokat helyeznek üzembe a feltételes hozzáférésben.
Mielőtt a szervezetek engedélyezik ezeket a szabályzatokat, meg kell tenniük a szükséges lépéseket az aktív kockázatok kivizsgálása és elhárítása érdekében.
Szabályzatkizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:
- A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
- További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
Felhasználói kockázati szabályzat a feltételes hozzáférésben
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- Válassza a Kész lehetőséget.
- A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
- Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
- A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
- Válassza a Kész lehetőséget.
- A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
- Válassza a Hozzáférés engedélyezése, a Többtényezős hitelesítés megkövetelése és a Jelszómódosítás megkövetelése lehetőséget.
- Válassza a lehetőséget.
- A Munkamenet csoportban.
- Válassza ki a bejelentkezési gyakoriságot.
- Győződjön meg arról, hogy minden alkalommal ki van jelölve.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
Bejelentkezési kockázati szabályzat a feltételes hozzáférésben
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- Válassza a Kész lehetőséget.
- A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
- A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre.
- Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
- Válassza a Kész lehetőséget.
- A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
- Válassza a Hozzáférés megadása lehetőséget, többtényezős hitelesítés megkövetelése.
- Válassza a lehetőséget.
- A Munkamenet csoportban.
- Válassza ki a bejelentkezési gyakoriságot.
- Győződjön meg arról, hogy minden alkalommal ki van jelölve.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
Kockázati szabályzatok áttelepítése feltételes hozzáférésre
Ha a korábbi kockázati szabályzatok engedélyezve vannak a Microsoft Entra ID-védelem, érdemes a feltételes hozzáférésbe migrálni őket:
Figyelmeztetés
A Microsoft Entra ID-védelem-ben konfigurált örökölt kockázati szabályzatok 2026. október 1-jén megszűnnek.
Migrálás feltételes hozzáférésre
- Hozzon létre egy egyenértékű, kockázatalapú és bejelentkezési kockázatalapú szabályzatot feltételes hozzáféréssel csak jelentés módban. Létrehozhat egy szabályzatot az előző lépésekkel, vagy feltételes hozzáférési sablonokat használhat a Microsoft javaslatai és a szervezeti követelmények alapján.
- Tiltsa le a régi kockázati szabályzatokat az ID Protectionben.
- Keresse meg a Protection>Identity Protectiont>: Válassza ki a felhasználói kockázatot vagy a bejelentkezési kockázati szabályzatot.
- Állítsa a Házirend kényszerítése letiltva értékre.
- Szükség esetén hozzon létre más kockázati szabályzatokat a feltételes hozzáférésben.
Kapcsolódó tartalom
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: