Megosztás a következőn keresztül:

Kockázati szabályzatok konfigurálása és engedélyezése

  • Cikk

A Microsoft Entra feltételes hozzáférésben kétféle kockázati szabályzat állítható be. Ezekkel a szabályzatokkal automatizálhatja a kockázatokra adott választ, így a felhasználók önjavítást végezhetnek a kockázat észlelésekor:

Képernyőkép egy feltételes hozzáférési szabályzatról, amely feltételekként jeleníti meg a kockázatot.

Az elfogadható kockázati szintek kiválasztása

A szervezeteknek el kell dönteniük, hogy milyen szintű kockázatra van szükségük ahhoz, hogy hozzáférés-vezérlést igényeljenek a felhasználói élmény és a biztonsági helyzet egyensúlyának kiegyensúlyozása érdekében.

A hozzáférés-vezérlés magas kockázati szinten történő alkalmazása csökkenti a szabályzatok aktiválásának számát, és minimálisra csökkenti a felhasználók súrlódását. Azonban kizárja az alacsony és közepes kockázatokat a szabályzatból, ami nem akadályozhatja meg a támadót a feltört identitások kihasználásában. Ha alacsony kockázati szintet választ a hozzáférés-vezérlés megköveteléséhez, több felhasználói megszakítást vezet be.

A konfigurált megbízható hálózati helyeket Microsoft Entra ID-védelem bizonyos kockázatészlelésekben a hamis pozitív értékek csökkentésére használják.

Az alábbi szabályzatkonfigurációk magukban foglalják a bejelentkezési gyakorisági munkamenet-vezérlést , amely ismételt hitelesítést igényel a kockázatos felhasználók és a bejelentkezések számára.

A Microsoft javaslata

A Microsoft a következő kockázati szabályzatkonfigurációkat javasolja a szervezet védelme érdekében:

  • Felhasználói kockázati szabályzat
    • Ha a felhasználói kockázati szint magas, biztonságos jelszómódosítást igényel. A Microsoft Entra többtényezős hitelesítésre van szükség ahhoz, hogy a felhasználó új jelszót hozzon létre jelszóvisszaíróval a kockázat elhárításához.
  • Bejelentkezési kockázati szabályzat
    • Többtényezős Microsoft Entra-hitelesítés megkövetelése, ha a bejelentkezési kockázati szint közepes vagy magas, így a felhasználók az egyik regisztrált hitelesítési módszerükkel igazolhatják a bejelentkezési kockázatot.

A hozzáférés-vezérlés megkövetelése, ha a kockázati szint alacsony, nagyobb súrlódást és felhasználói megszakításokat vezet be, mint közepes vagy magas. A hozzáférés letiltása ahelyett, hogy lehetővé tenné az önjavítási lehetőségeket, például a jelszómódosítást és a többtényezős hitelesítést, még inkább hatással van a felhasználókra és a rendszergazdákra. A szabályzatok konfigurálásakor mérlegelje ezeket a lehetőségeket.

Kockázatkezelés

A szervezetek dönthetnek úgy, hogy letiltják a hozzáférést a kockázat észlelésekor. A letiltás néha megakadályozza a jogos felhasználókat, hogy azt tegyenek, amire szükségük van. Jobb megoldás a felhasználói és bejelentkezési kockázatalapú feltételes hozzáférési szabályzatok konfigurálása, amelyek lehetővé teszik a felhasználók számára az önjavítást.

Figyelmeztetés

A felhasználóknak regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre, mielőtt szervizelést igénylő helyzetbe ütköznének. A helyszíniről szinkronizált hibrid felhasználók esetében engedélyezni kell a jelszóvisszaírást. A nem regisztrált felhasználók le vannak tiltva, és rendszergazdai beavatkozást igényelnek.

A jelszó módosítása (ismerem a jelszavamat, és valami újra szeretném módosítani) a kockázatos felhasználói házirend szervizelési folyamatán kívül nem felel meg a jelszó biztonságos módosítására vonatkozó követelménynek.

Szabályzatok engedélyezése

A szervezetek az alábbi lépések végrehajtásával vagy feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy kockázatalapú szabályzatokat helyeznek üzembe a feltételes hozzáférésben.

Mielőtt a szervezetek engedélyezik ezeket a szabályzatokat, meg kell tenniük a szükséges lépéseket az aktív kockázatok kivizsgálása és elhárítása érdekében.

Szabályzatkizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését.

Felhasználói kockázati szabályzat a feltételes hozzáférésben

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
  7. Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
    1. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
    2. Válassza a Jelszómódosítás megkövetelése lehetőséget.
    3. Válassza a lehetőséget.
  9. A Munkamenet csoportban.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Jelszó nélküli forgatókönyvek

A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:

Jelszó nélküli felhasználói kockázati szabályzat frissítése

  1. Felhasználók alatt:
    1. Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
  2. A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.

Tipp.

Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.

  • Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
  • Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.

Jelszó nélküli felhasználói kockázat elhárítása és blokkolásának feloldása

  1. Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
  2. A felhasználó letiltásának feloldása.

Bejelentkezési kockázati szabályzat a feltételes hozzáférésben

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
  7. A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre.
    1. Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
    2. Válassza a lehetőséget.
  9. A Munkamenet csoportban.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Jelszó nélküli forgatókönyvek

A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:

Jelszó nélküli bejelentkezési kockázati szabályzat frissítése

  1. Felhasználók alatt:
    1. Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
  2. Válassza ki azt a bejelentkezési kockázati szintet, amelyre a szabályzat vonatkozik, válassza a Magas lehetőséget.
  3. A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.

Tipp.

Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.

  • Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
  • Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.

Jelszó nélküli bejelentkezési kockázat elhárítása és blokkolásának feloldása

  1. Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
  2. A felhasználó letiltásának feloldása.

Kockázati szabályzatok áttelepítése feltételes hozzáférésre

Ha a korábbi kockázati szabályzatok engedélyezve vannak a Microsoft Entra ID-védelem, érdemes a feltételes hozzáférésbe migrálni őket:

Figyelmeztetés

A Microsoft Entra ID-védelem-ben konfigurált örökölt kockázati szabályzatok 2026. október 1-jén megszűnnek.

Migrálás feltételes hozzáférésre

  1. Egyenértékű, kockázatalapú és bejelentkezési kockázatalapú szabályzatok létrehozása feltételes hozzáféréssel csak jelentés módban. Létrehozhat egy szabályzatot az előző lépésekkel, vagy feltételes hozzáférési sablonokat használhat a Microsoft javaslatai és a szervezeti követelmények alapján.
    1. Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
  2. Tiltsa le a régi kockázati szabályzatokat az ID Protectionben.
    1. Keresse meg a Protection>Identity Protectiont>: Válassza ki a felhasználói kockázatot vagy a bejelentkezési kockázati szabályzatot.
    2. Állítsa a Házirend kényszerítése letiltva értékre.
  3. Szükség esetén hozzon létre más kockázati szabályzatokat a feltételes hozzáférésben.

Kapcsolódó tartalom