Megosztás a következőn keresztül:

Kockázati szabályzatok konfigurálása és engedélyezése

  • Cikk

A Microsoft Entra feltételes hozzáférésben kétféle kockázati szabályzat állítható be. Ezekkel a szabályzatokkal automatizálhatja a kockázatokra adott választ, így a felhasználók önjavítást végezhetnek a kockázat észlelésekor:

Képernyőkép egy feltételes hozzáférési szabályzatról, amely feltételekként jeleníti meg a kockázatot.

Az elfogadható kockázati szintek kiválasztása

A szervezeteknek el kell dönteniük, hogy milyen szintű kockázatra van szükségük ahhoz, hogy hozzáférés-vezérlést igényeljenek a felhasználói élmény és a biztonsági helyzet egyensúlyának kiegyensúlyozása érdekében.

A hozzáférés-vezérlés magas kockázati szinten történő alkalmazása csökkenti a szabályzatok aktiválásának számát, és minimálisra csökkenti a felhasználók súrlódását. Azonban kizárja az alacsony és közepes kockázatokat a szabályzatból, ami nem akadályozhatja meg a támadót a feltört identitások kihasználásában. Ha alacsony kockázati szintet választ a hozzáférés-vezérlés megköveteléséhez, több felhasználói megszakítást vezet be.

A konfigurált megbízható hálózati helyeket az Identity Protection bizonyos kockázatészlelésekben a hamis pozitív értékek csökkentésére használja.

Az alábbi szabályzatkonfigurációk magukban foglalják a bejelentkezési gyakorisági munkamenet-vezérlést , amely ismételt hitelesítést igényel a kockázatos felhasználók és a bejelentkezések számára.

A Microsoft javaslata

A Microsoft a következő kockázati szabályzatkonfigurációkat javasolja a szervezet védelme érdekében:

  • Felhasználói kockázati szabályzat
    • Ha a felhasználói kockázati szint magas, biztonságos jelszómódosítást igényel. A Microsoft Entra többtényezős hitelesítésre van szükség ahhoz, hogy a felhasználó új jelszót hozzon létre jelszóvisszaíróval a kockázat elhárításához.
  • Bejelentkezési kockázati szabályzat
    • Többtényezős Microsoft Entra-hitelesítés megkövetelése, ha a bejelentkezési kockázati szint közepes vagy magas, így a felhasználók az egyik regisztrált hitelesítési módszerükkel igazolhatják a bejelentkezési kockázatot.

A hozzáférés-vezérlés megkövetelése, ha a kockázati szint alacsony, nagyobb súrlódást és felhasználói megszakításokat vezet be, mint közepes vagy magas. A hozzáférés letiltása ahelyett, hogy lehetővé tenné az önjavítási lehetőségeket, például a jelszómódosítást és a többtényezős hitelesítést, még inkább hatással van a felhasználókra és a rendszergazdákra. A szabályzatok konfigurálásakor mérlegelje ezeket a lehetőségeket.

Kockázatkezelés

A szervezetek dönthetnek úgy, hogy letiltják a hozzáférést a kockázat észlelésekor. A letiltás néha megakadályozza a jogos felhasználókat, hogy azt tegyenek, amire szükségük van. Jobb megoldás a felhasználói és bejelentkezési kockázatalapú feltételes hozzáférési szabályzatok konfigurálása, amelyek lehetővé teszik a felhasználók számára az önjavítást.

Figyelmeztetés

A felhasználóknak regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre, mielőtt szervizelést igénylő helyzetbe ütköznének. A helyszíniről szinkronizált hibrid felhasználók esetében engedélyezni kell a jelszóvisszaírást. A nem regisztrált felhasználók le vannak tiltva, és rendszergazdai beavatkozást igényelnek.

A jelszó módosítása (ismerem a jelszavamat, és valami újra szeretném módosítani) a kockázatos felhasználói házirend szervizelési folyamatán kívül nem felel meg a jelszó biztonságos módosítására vonatkozó követelménynek.

Szabályzatok engedélyezése

A szervezetek az alábbi lépések végrehajtásával vagy feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy kockázatalapú szabályzatokat helyeznek üzembe a feltételes hozzáférésben.

Mielőtt a szervezetek engedélyezik ezeket a szabályzatokat, meg kell tenniük a szükséges lépéseket az aktív kockázatok kivizsgálása és elhárítása érdekében.

Szabályzatkizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Felhasználói kockázati szabályzat a feltételes hozzáférésben

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
  7. Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
    1. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
    1. Válassza a Hozzáférés engedélyezése, a Többtényezős hitelesítés megkövetelése és a Jelszómódosítás megkövetelése lehetőséget.
    2. Válassza a lehetőséget.
  9. A Munkamenet csoportban.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Bejelentkezési kockázati szabályzat a feltételes hozzáférésben

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
  7. A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre.
    1. Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
    1. Válassza a Hozzáférés megadása lehetőséget, többtényezős hitelesítés megkövetelése.
    2. Válassza a lehetőséget.
  9. A Munkamenet csoportban.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Kockázati szabályzatok áttelepítése feltételes hozzáférésre

Ha a korábbi kockázati szabályzatok engedélyezve vannak a Microsoft Entra ID-védelem, érdemes a feltételes hozzáférésbe migrálni őket:

Figyelmeztetés

A Microsoft Entra ID-védelem-ben konfigurált örökölt kockázati szabályzatok 2026. október 1-jén megszűnnek.

Migrálás feltételes hozzáférésre

  1. Hozzon létre egy egyenértékű, kockázatalapú és bejelentkezési kockázatalapú szabályzatot feltételes hozzáféréssel csak jelentés módban. Létrehozhat egy szabályzatot az előző lépésekkel, vagy feltételes hozzáférési sablonokat használhat a Microsoft javaslatai és a szervezeti követelmények alapján.
    1. Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
  2. Tiltsa le a régi kockázati szabályzatokat az ID Protectionben.
    1. Keresse meg a Protection>Identity Protectiont>: Válassza ki a felhasználói kockázatot vagy a bejelentkezési kockázati szabályzatot.
    2. Állítsa a Házirend kényszerítése letiltva értékre.
  3. Szükség esetén hozzon létre más kockázati szabályzatokat a feltételes hozzáférésben.

Kapcsolódó tartalom