Többtényezős hitelesítés (MFA) kezelése az előfizetéseken
Ha csak a felhasználók hitelesítéséhez használ jelszavakat, nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat, vagy több szolgáltatáshoz használják újra őket. Ha az MFA engedélyezve van, a fiókok biztonságosabbak, és a felhasználók továbbra is szinte bármilyen alkalmazáshoz hitelesíthetik magukat egyszeri bejelentkezéssel (SSO).
Az MFA-t többféleképpen is engedélyezheti a Microsoft Entra-felhasználók számára a szervezet licencei alapján. Ez a lap az egyes Felhőhöz készült Microsoft Defender kontextusában tartalmazza a részleteket.
MFA és Felhőhöz készült Microsoft Defender
Felhőhöz készült Defender magas értéket helyez el az MFA-n. A biztonsági pontszámhoz leginkább hozzájáruló biztonsági vezérlő az MFA engedélyezése.
Az MFA engedélyezése vezérlő alábbi javaslatai biztosítják, hogy megfelelhessen az előfizetések felhasználóinak ajánlott eljárásoknak:
- Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t
- Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t
- Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t
Az MFA engedélyezésének három módja van, amelyek megfelelnek a Felhőhöz készült Defender két javaslatának: biztonsági alapértelmezett beállítások, felhasználónkénti hozzárendelés és feltételes hozzáférési (CA) szabályzat.
Ingyenes beállítás – alapértelmezett biztonsági beállítások
Ha a Microsoft Entra ID ingyenes kiadását használja, a biztonsági alapértékekkel engedélyezze a többtényezős hitelesítést a bérlőn.
MFA Microsoft 365 Vállalati, E3 vagy E5-ügyfeleknek
A Microsoft 365-öt használó ügyfelek felhasználónkénti hozzárendelést használhatnak. Ebben a forgatókönyvben a Microsoft Entra többtényezős hitelesítés engedélyezve van vagy le van tiltva minden felhasználó számára az összes bejelentkezési esemény esetében. Nem lehet többtényezős hitelesítést engedélyezni a felhasználók egy részének vagy bizonyos forgatókönyvek esetén, és a felügyelet az Office 365 portálon keresztül történik.
MFA a Microsoft Entra ID P1 vagy P2 ügyfelei számára
A jobb felhasználói élmény érdekében frissítsen a Microsoft Entra ID P1 vagy P2 azonosítóra a feltételes hozzáférési (CA) házirend-beállításokhoz. Ca-szabályzat konfigurálásához Microsoft Entra-bérlői engedélyekre van szükség.
A ca-szabályzatnak a következőnek kell lennie:
MFA kényszerítése
tartalmazza a Microsoft Azure Management alkalmazásazonosítóját (797f4846-ba00-4fd7-ba43-dac1f8f63013) vagy az összes alkalmazást
a Microsoft Azure Management alkalmazásazonosítójának kizárása
A Microsoft Entra ID P1-ügyfelek a Microsoft Entra CA használatával kérhetik a felhasználókat többtényezős hitelesítésre bizonyos forgatókönyvek vagy események során az üzleti követelményeknek megfelelően. További licencek, amelyek tartalmazzák ezt a funkciót: Nagyvállalati mobilitási és biztonsági E3 csomag, Microsoft 365 F1 és Microsoft 365 E3.
A Microsoft Entra ID P2 biztosítja a legerősebb biztonsági funkciókat és a jobb felhasználói élményt. Ez a licenc kockázatalapú feltételes hozzáférést biztosít a Microsoft Entra ID P1 funkcióihoz. A kockázatalapú hitelesítésszolgáltató alkalmazkodik a felhasználók mintáihoz, és minimalizálja a többtényezős hitelesítési kéréseket. Egyéb licencek, amelyek tartalmazzák ezt a funkciót: Enterprise Mobility + Security E5 vagy Microsoft 365 E5.
További információ az Azure Feltételes hozzáférés dokumentációjában.
Többtényezős hitelesítés (MFA) engedélyezése nélküli fiókok azonosítása
A felhasználói fiókok listáját az MFA engedélyezése nélkül is megtekintheti a Felhőhöz készült Defender javaslatok részleteit tartalmazó oldalon, vagy az Azure Resource Graph használatával.
A fiókok megtekintése MFA engedélyezése nélkül az Azure Portalon
A javaslat részletei lapon válasszon ki egy előfizetést a Nem megfelelő erőforrások listájából, vagy válassza a Művelet végrehajtása lehetőséget, és megjelenik a lista.
A fiókok megtekintése az MFA engedélyezése nélkül az Azure Resource Graph használatával
Annak megtekintéséhez, hogy mely fiókok nem rendelkeznek engedélyezett MFA-val, használja az alábbi Azure Resource Graph-lekérdezést. A lekérdezés a "Tulajdonosi engedélyekkel rendelkező fiókok az Azure-erőforrásokon engedélyezett MFA-val" javaslat összes nem megfelelő erőforrását – fiókját – adja vissza.
Nyissa meg az Azure Resource Graph Explorert.
Írja be a következő lekérdezést, és válassza a Lekérdezés futtatása lehetőséget.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where id has "assessments/dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c" or id has "assessments/c0cb17b2-0607-48a7-b0e0-903ed22de39b" or id has "assessments/6240402e-f77c-46fa-9060-a7ce53997754" | parse id with start "/assessments/" assessmentId "/subassessments/" userObjectId | summarize make_list(userObjectId) by strcat(tostring(properties.displayName), " (", assessmentId, ")") | project ["Recommendation Name"] = Column1 , ["Account ObjectIDs"] = list_userObjectId
A
additionalData
tulajdonság megjeleníti az MFA-t nem kényszerítő fiókok fiókobjektum-azonosítóinak listáját.Feljegyzés
Az "Account ObjectIDs" (Fiókobjektumazonosítók) oszlop tartalmazza azoknak a fiókoknak a fiókobjektum-azonosítóit, amelyeknél nincs MFA kényszerítve javaslatonként.
Tipp.
Másik lehetőségként használhatja a Felhőhöz készült Defender REST API assessments – Get metódust is.
Korlátozások
- Az MFA külső felhasználókra/bérlőkre való kényszerítésére vonatkozó feltételes hozzáférési funkció még nem támogatott.
- A Microsoft Entra-szerepkörökre (például az összes globális rendszergazdára, külső felhasználóra, külső tartományra stb.) alkalmazott feltételes hozzáférési szabályzat még nem támogatott.
- A külső MFA-megoldások, például az Okta, a Ping, a Duo és más megoldások nem támogatottak az identitáskezelési MFA-javaslatokban.
Következő lépések
Ha többet szeretne megtudni a más Azure-erőforrástípusokra vonatkozó javaslatokról, tekintse meg az alábbi cikkeket: