Feltételes hozzáférési szabályzatok alkalmazása a Microsoft 365 forgalmi profiljára

Az összes Microsoft 365-forgalomra vonatkozó, odaadó forgalomátirányítási profillal feltételes hozzáférési szabályzatokat alkalmazhat az összes Microsoft 365-forgalomra. A feltételes hozzáféréssel többtényezős hitelesítésre és eszközmegfelelőségre lehet szükség a Microsoft 365-erőforrások eléréséhez.

Ez a cikk bemutatja, hogyan alkalmazhat feltételes hozzáférési szabályzatokat a Microsoft 365 forgalomtovábbítási profiljára.

Előfeltételek

• Rendszergazda kultátorok, akik A globális biztonságos hozzáférés előzetes verziójának funkcióinak az elvégzett feladatoktól függően legalább egy szerepkör-hozzárendeléssel kell rendelkezniük.
  • Globális biztonságos hozzáférés Rendszergazda istrator szerepkör
  • Feltételes hozzáférési Rendszergazda istrator vagy biztonsági Rendszergazda istrator feltételes hozzáférési szabályzatok létrehozásához és használatához.
• Az előzetes verzióhoz Microsoft Entra ID P1-licenc szükséges. Szükség esetén licenceket vásárolhat , vagy próbaverziós licenceket szerezhet be.
• A Microsoft 365 adattovábbítási profil használatához microsoft 365 E3-licenc használata ajánlott.

A Microsoft 365 forgalmi profilját célzó feltételes hozzáférési szabályzat létrehozása

Az alábbi példaszabályzat az összes felhasználót célozza meg, kivéve az üvegtöréses fiókokat és a vendég/külső felhasználókat, amelyek többtényezős hitelesítést, eszközmegfelelőséget vagy hibrid Microsoft Entra-csatlakoztatott eszközt igényelnek a Microsoft 365-forgalom elérésekor.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
2. Keresse meg az Identity>Protection>feltételes hozzáférését.
3. Válassza az Új szabályzat létrehozása lehetőséget.
4. Adjon nevet a szabályzatnak. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás csoportban:
      1. Válassza ki a Felhasználók és csoportok lehetőséget , és válassza ki a szervezet vészhelyzeti hozzáférését vagy megszakító fiókjait.
      2. Válassza a Vendég vagy külső felhasználók lehetőséget, és jelölje be az összes jelölőnégyzetet.
6. A Célerőforrások>hálózati hozzáférése (előzetes verzió)* területen.
   1. Válassza a Microsoft 365-forgalmat.
7. A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
   1. Válassza a Többtényezős hitelesítés megkövetelése, az eszköz megfelelőként való megjelölésének megkövetelése, valamint a Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése lehetőséget
   2. Több vezérlő esetén válassza a Kijelölt vezérlők egyikének megkövetelése lehetőséget.
   3. Válassza a lehetőséget.

Miután a rendszergazdák megerősítették a házirend-beállításokat a csak jelentésalapú módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

• A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
  • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

További lépések

A Microsoft Entra internet-hozzáférés használatának következő lépése a globális biztonságos hozzáférés naplóinak áttekintése.

A forgalomtovábbítással kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• További információ a forgalomtovábbítási profilokról
• A Microsoft 365 forgalmi profiljának kezelése