Kockázati szabályzatok konfigurálása és engedélyezése
Ahogy azt az előző cikkben, a kockázatalapú hozzáférési szabályzatokban megtanultuk, a Microsoft Entra Feltételes hozzáférésben kétféle kockázati szabályzatot állíthat be. Ezekkel a szabályzatokkal automatizálhatja a kockázatokra adott választ, így a felhasználók önjavítást végezhetnek a kockázat észlelésekor:
- Bejelentkezési kockázati szabályzat
- Felhasználói kockázati szabályzat
Az elfogadható kockázati szintek kiválasztása
A szervezeteknek el kell dönteniük, hogy milyen szintű kockázatra van szükségük ahhoz, hogy hozzáférés-vezérlést igényeljenek a felhasználói élmény és a biztonsági helyzet egyensúlyának kiegyensúlyozása érdekében.
A hozzáférés-vezérlés magas kockázati szinten történő alkalmazása csökkenti a szabályzatok aktiválásának számát, és minimálisra csökkenti a felhasználók súrlódását. Azonban kizárja az alacsony és közepes kockázatokat a szabályzatból, ami nem akadályozhatja meg a támadót a feltört identitások kihasználásában. Ha alacsony kockázati szintet választ a hozzáférés-vezérlés megköveteléséhez, több felhasználói megszakítást vezet be.
A konfigurált megbízható hálózati helyeket az Identity Protection bizonyos kockázatészlelésekben a hamis pozitív értékek csökkentésére használja.
Az alábbi szabályzatkonfigurációk magukban foglalják a bejelentkezési gyakorisági munkamenet-vezérlést , amely ismételt hitelesítést igényel a kockázatos felhasználók és a bejelentkezések számára.
Kockázatkezelés
A szervezetek dönthetnek úgy, hogy letiltják a hozzáférést a kockázat észlelésekor. A letiltás néha megakadályozza a jogos felhasználókat, hogy azt tegyenek, amire szükségük van. Jobb megoldás az önműködő szervizelés engedélyezése a Microsoft Entra többtényezős hitelesítés és a jelszómódosítás biztonságos használatával.
Figyelmeztetés
A felhasználóknak regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre, mielőtt szervizelést igénylő helyzetbe ütköznének. A helyszíniről a felhőbe szinkronizált hibrid felhasználók esetében a jelszóvisszaírót engedélyezni kell rajtuk. A nem regisztrált felhasználók le vannak tiltva, és rendszergazdai beavatkozást igényelnek.
A jelszó módosítása (ismerem a jelszavamat, és valami újra szeretném módosítani) a kockázatos felhasználói házirend szervizelési folyamatán kívül nem felel meg a jelszó biztonságos módosítására vonatkozó követelménynek.
A Microsoft javaslata
A Microsoft a következő kockázati szabályzatkonfigurációkat javasolja a szervezet védelme érdekében:
- Felhasználói kockázati szabályzat
- Ha a felhasználói kockázati szint magas, biztonságos jelszómódosítást igényel. A Microsoft Entra többtényezős hitelesítésre van szükség ahhoz, hogy a felhasználó új jelszót hozzon létre jelszóvisszaíróval a kockázat elhárításához.
- Bejelentkezési kockázati szabályzat
- Többtényezős Microsoft Entra-hitelesítés megkövetelése, ha a bejelentkezési kockázati szint közepes vagy magas, így a felhasználók az egyik regisztrált hitelesítési módszerükkel igazolhatják a bejelentkezési kockázatot.
A hozzáférés-vezérlés megkövetelése, ha a kockázati szint alacsony, nagyobb súrlódást és felhasználói megszakításokat vezet be, mint közepes vagy magas. A hozzáférés letiltása ahelyett, hogy lehetővé tenné az önjavítási lehetőségeket, például a jelszómódosítást és a többtényezős hitelesítést, még inkább hatással van a felhasználókra és a rendszergazdákra. A szabályzatok konfigurálásakor mérlegelje ezeket a lehetőségeket.
Kizárások
A szabályzatok lehetővé teszik az olyan felhasználók kizárását, mint a vészhelyzeti hozzáférés vagy a biztonsági mentési rendszergazdai fiókok. Előfordulhat, hogy a szervezeteknek a fiókok használatától függően más fiókokat is ki kell zárniuk bizonyos szabályzatokból. A kizárásokat rendszeresen felül kell vizsgálni, hogy továbbra is alkalmazhatók-e.
Szabályzatok engedélyezése
A szervezetek az alábbi lépések vagy feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy kockázatalapú szabályzatokat helyeznek üzembe a feltételes hozzáférésben.
Mielőtt a szervezetek engedélyeznének szervizelési szabályzatokat, meg kell vizsgálniuk és orvosolniuk kell az aktív kockázatokat.
Felhasználói kockázati szabályzat a feltételes hozzáférésben
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- Válassza a Kész lehetőséget.
- A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
- Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
- A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. (Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet)
- Válassza a Kész lehetőséget.
- A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
- Válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése és a jelszómódosítás megkövetelése lehetőséget.
- Válassza a lehetőséget.
- A Munkamenet csoportban.
- Válassza ki a bejelentkezési gyakoriságot.
- Győződjön meg arról, hogy minden alkalommal ki van jelölve.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
Bejelentkezési kockázati szabályzat a feltételes hozzáférésben
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- Válassza a Kész lehetőséget.
- A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
- A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre. A Bejelentkezési kockázati szint kiválasztása területen ez a szabályzat érvényes lesz. (Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet)
- Válassza a Magas és a Közepes lehetőséget.
- Válassza a Kész lehetőséget.
- A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
- Válassza a Hozzáférés megadása lehetőséget, többtényezős hitelesítés megkövetelése.
- Válassza a lehetőséget.
- A Munkamenet csoportban.
- Válassza ki a bejelentkezési gyakoriságot.
- Győződjön meg arról, hogy minden alkalommal ki van jelölve.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
Kockázati szabályzatok áttelepítése feltételes hozzáférésre
Figyelmeztetés
A Microsoft Entra ID-védelem-ben konfigurált örökölt kockázati szabályzatok 2026. október 1-jén megszűnnek.
Ha a Kockázati szabályzatok engedélyezve vannak a Microsoft Entra-azonosítóban, érdemes a feltételes hozzáférésbe migrálni őket:
Migrálás feltételes hozzáférésre
- Hozzon létre egy egyenértékű, kockázatalapú és bejelentkezési kockázatalapú szabályzatot feltételes hozzáféréssel csak jelentés módban. Létrehozhat egy szabályzatot az előző lépésekkel, vagy feltételes hozzáférési sablonokat használhat a Microsoft javaslatai és a szervezeti követelmények alapján.
- Győződjön meg arról, hogy az új feltételes hozzáférési kockázati szabályzat a vártnak megfelelően működik, ha csak jelentés módban teszteli.
- Engedélyezze az új feltételes hozzáférési kockázati szabályzatot. Dönthet úgy, hogy mindkét szabályzat egymás mellett fut, így meggyőződhet arról, hogy az új szabályzatok a várt módon működnek, mielőtt kikapcsolná az ID Protection kockázati szabályzatokat.
- Lépjen vissza a Védelmi>feltételes hozzáféréshez.
- Válassza ki ezt az új szabályzatot a szerkesztéshez.
- A házirend engedélyezéséhez állítsa be a házirend engedélyezését bekapcsolva
- Tiltsa le a régi kockázati szabályzatokat az ID Protectionben.
- Keresse meg a Protection>Identity Protectiont>: Válassza ki a felhasználói kockázatot vagy a bejelentkezési kockázati szabályzatot.
- Házirend kényszerítése letiltva értékre
- Szükség esetén hozzon létre más kockázati szabályzatokat a feltételes hozzáférésben.