Munkafüzet: Kockázatalapú hozzáférési szabályzatok hatáselemzése

Azt javasoljuk, hogy mindenki engedélyezze a kockázatalapú feltételes hozzáférési szabályzatokat. Megértjük, hogy ez az üzembe helyezés időt, változáskezelést és néha gondos ellenőrzést igényel a vezetőség részéről a nemkívánatos hatások megértéséhez. A rendszergazdáknak lehetőséget biztosítunk arra, hogy magabiztosan választ adjanak ezekre a forgatókönyvekre, hogy kockázatalapú szabályzatokat fogadjanak el, amelyek a környezetük gyors védelméhez szükségesek.

Ahelyett, hogy csak jelentés módban hozna létre kockázatalapú feltételes hozzáférési szabályzatokat, és néhány hetet/hónapot várna az eredményekre, használhatja a kockázatalapú hozzáférési szabályzatok hatáselemzését, amely lehetővé teszi a hatás azonnali megtekintését a bejelentkezési naplók alapján.

Leírás

A munkafüzet segít megérteni a környezetet, mielőtt olyan házirendeket engedélyezne, amelyek megakadályozhatják a felhasználók bejelentkezését, többtényezős hitelesítést igényelhetnek, vagy biztonságos jelszómódosítást hajthatnak végre. A bejelentkezések dátumtartományán alapuló bontást biztosít, beleértve a következőket:

• Az ajánlott kockázatalapú hozzáférési szabályzatok hatásösszesítője, amely az alábbiak áttekintését tartalmazza:
  • Felhasználói kockázati forgatókönyvek
  • Bejelentkezési kockázat és megbízható hálózati forgatókönyvek
• Hatás részletei, beleértve az egyedi felhasználók adatait is:
  • Felhasználói kockázati forgatókönyvek, például:
    • A kockázatalapú hozzáférési szabályzatok nem tiltják le a magas kockázatú felhasználókat.
    • A magas kockázatú felhasználók nem kérték, hogy kockázatalapú hozzáférési szabályzattal módosítsák a jelszavukat.
    • Azok a felhasználók, amelyek kockázatalapú hozzáférési szabályzat miatt módosították a jelszavukat.
    • Kockázatalapú hozzáférési szabályzat miatt a kockázatos felhasználók nem jelentkeznek be sikeresen.
    • Azok a felhasználók, akik helyszíni jelszó-visszaállítással elhárították a kockázatot.
    • Azok a felhasználók, akik felhőalapú jelszó-visszaállítással orvosolták a kockázatot.
  • A bejelentkezési kockázati szabályzat forgatókönyvei, például:
    • A kockázatalapú hozzáférési szabályzatok nem tiltják le a magas kockázatú bejelentkezéseket.
    • A magas kockázatú bejelentkezések nem önműködőek többtényezős hitelesítéssel, kockázatalapú hozzáférési szabályzattal.
    • Kockázatos bejelentkezések, amelyek kockázati alapú hozzáférési szabályzat miatt nem voltak sikeresek.
    • Többtényezős hitelesítéssel szervizelt kockázatos bejelentkezések.
  • Hálózati adatok, beleértve a megbízható hálózatként nem szereplő legfelső IP-címeket is.

A rendszergazdák ezen információk segítségével megállapíthatják, hogy mely felhasználókra lehet hatással egy adott időszakban, ha engedélyezve vannak a kockázatalapú feltételes hozzáférési szabályzatok.

A munkafüzet elérése

Ez a munkafüzet nem követeli meg, hogy feltételes hozzáférési szabályzatokat hozzon létre, még a csak jelentés módban lévőket sem. Az egyetlen előfeltétel, hogy a bejelentkezési naplókat elküldje egy Log Analytics-munkaterületre. Az előfeltétel engedélyezéséről további információt a Microsoft Entra-munkafüzetek használata című cikkben talál. A munkafüzetet közvetlenül az Identity Protection panelen érheti el, vagy megnyithatja a Munkafüzetek lapot egy szerkeszthető verzióhoz:

Az Identity Protection panelen:

1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
2. Keresse meg a Protection>Identity Protection>hatáselemzési jelentését.

Munkafüzetekben:

1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
2. Tallózással keresse meg az Identitásfigyelés>és állapot>munkafüzeteket.
3. Válassza ki a kockázatalapú hozzáférési szabályzatok hatáselemzését az Identity Protection területen.

Navigálás a munkafüzetben

Miután bejárta a munkafüzetet, a jobb felső sarokban található néhány paraméter. Beállíthatja, hogy melyik munkaterületről töltse ki a munkafüzetet, és kapcsolja be vagy ki az útmutatót.

Minden munkafüzethez hasonlóan megtekintheti vagy szerkesztheti a vizualizációkat tápláló Kusto lekérdezésnyelv (KQL) lekérdezéseket. Ha módosításokat hajt végre, bármikor visszaállíthatja az eredeti sablont.

Összegzés

Az első szakasz egy összegzés, amely a kiválasztott időtartomány során érintett felhasználók vagy munkamenetek összesített számát jeleníti meg. Ha lejjebb görget, a kapcsolódó részletek elérhetők.

Az összefoglalóban tárgyalt legfontosabb forgatókönyvek a felhasználói és bejelentkezési kockázati forgatókönyvek 1. és 2. forgatókönyvei. Ezek olyan magas szintű felhasználókat vagy bejelentkezéseket mutatnak, amelyeket nem tiltottak le, jelszómódosítást kérnek, vagy amelyeket az MFA kijavított; ami azt jelenti, hogy a magas kockázatú felhasználók továbbra is a környezetében lehetnek.

Ezután görgethet lefelé, és megtekintheti annak részleteit, hogy pontosan kik lennének azok a felhasználók. Minden összefoglaló összetevőnek vannak megfelelő adatai.

Felhasználói kockázati forgatókönyvek

A három és négy felhasználói kockázati forgatókönyv segít, ha már engedélyezve van néhány kockázatalapú hozzáférési szabályzat; megjelenítik azokat a felhasználókat, amelyek módosították a jelszavukat, vagy olyan magas kockázatú felhasználókat, akiket a kockázati alapú hozzáférési szabályzatok miatt letiltottak a bejelentkezésben. Ha továbbra is magas kockázatú felhasználók jelennek meg az első és a második felhasználói kockázati forgatókönyvben (a rendszer nem tiltja le vagy nem kéri a jelszómódosítást), amikor úgy gondolta, hogy ezek mind beleesnek ezekbe a gyűjtőkbe, akkor előfordulhat, hogy a szabályzatok között rések vannak.

Bejelentkezési kockázati forgatókönyvek

Most nézzük meg a harmadik és negyedik bejelentkezési kockázati forgatókönyvet. Ha MFA-t használ, valószínűleg akkor is rendelkezik tevékenységekkel, ha nincs engedélyezve kockázatalapú hozzáférési szabályzat. Az MFA sikeres végrehajtásakor a rendszer automatikusan elhárítja a bejelentkezési kockázatokat. A negyedik forgatókönyv azokat a magas kockázatú bejelentkezéseket vizsgálja, amelyek a kockázatalapú hozzáférési szabályzatok miatt nem voltak sikeresek. Ha a szabályzatok engedélyezve vannak, de továbbra is olyan bejelentkezések jelennek meg, amelyeket várhatóan blokkol vagy orvosol az MFA, akkor előfordulhat, hogy a szabályzatok között hiányosságok vannak. Ha ez a helyzet, javasoljuk, hogy tekintse át a szabályzatokat, és használja a munkafüzet részletes szakaszát a hiányosságok vizsgálatához.

A felhasználói kockázati forgatókönyvek 5. és 6. forgatókönyvei azt mutatják, hogy a szervizelés folyamatban van. Ez a szakasz bemutatja, hogy hány felhasználó módosítja a jelszavát a helyszínen vagy az önkiszolgáló jelszó-visszaállítás (SSPR) használatával. Ha ezek a számok nem értelmezhetők a környezet szempontjából, például nem gondolta, hogy az SSPR engedélyezve van, használja a részleteket a vizsgálathoz.

5. bejelentkezési forgatókönyv, nem megbízható IP-címek, a kijelölt időtartományban lévő összes bejelentkezés IP-címének felfedése, valamint a nem megbízhatónak ítélt IP-címek felfedése.

Összevont bejelentkezési kockázati szabályzatok forgatókönyvei

Több identitásszolgáltatót használó ügyfelek esetén a következő szakasz hasznos lehet annak megtekintéséhez, hogy vannak-e kockázatos munkamenetek az MFA-hoz vagy más szervizelési formákhoz kapcsolódó külső szolgáltatókhoz. Ez a szakasz bepillantást nyerhet abba, hogy hol történik a szervizelés, és hogy a várt módon történik-e. Ahhoz, hogy ezek az adatok fel legyenek töltve, az összevont környezetben be kell állítani az "federatedIdpMfaBehavior" értéket az összevont identitásszolgáltatótól érkező MFA kényszerítéséhez.

Örökölt Identitásvédelmi szabályzatok

A következő szakasz azt követi nyomon, hogy hány régi felhasználói és bejelentkezési szabályzat van még a környezetben, és 2026 októberére kell migrálnia. Fontos, hogy tisztában legyen ezzel az ütemtervel, és a lehető leghamarabb megkezdje a szabályzatok migrálását a feltételes hozzáférési portálra. Elegendő időt szeretne az új szabályzatok tesztelésére, a szükségtelen vagy duplikált szabályzatok törlésére, valamint annak ellenőrzésére, hogy nincsenek-e hiányosságok a lefedettségben. Az örökölt szabályzatok migrálásáról az alábbi hivatkozás, a Migrálás kockázati szabályzatok című témakörben olvashat bővebben.

Megbízható hálózat részletei

Ez a szakasz részletesen felsorolja azokat az IP-címeket, amelyek nem tekinthetők megbízhatónak. Honnan jönnek ezek az IP-címek, kié? Megbízhatónak kell-e tekinteni őket? Ez a gyakorlat csapatközi munka lehet a hálózati rendszergazdákkal; Azonban ez előnyös, mivel a pontos megbízható IP-lista segít csökkenteni a hamis pozitív kockázati észlelések. Ha van olyan IP-cím, amely megkérdőjelezhetőnek tűnik a környezete számára, itt az ideje kivizsgálni.

GYIK:

Mi a teendő, ha nem használom a Microsoft Entra-t többtényezős hitelesítéshez?

Ha nem a Microsoft Entra többtényezős hitelesítést használja, akkor is előfordulhat, hogy a bejelentkezési kockázat elhárítva lesz a környezetében, ha nem Microsoft MFA-szolgáltatót használ. A külső hitelesítési módszerek lehetővé teszik a kockázat elhárítását nem Microsoft MFA-szolgáltató használata esetén.

Mi a teendő, ha hibrid környezetben vagyok?

Ha a jelszóvisszaíróval engedélyezve van az önkiszolgáló jelszó-visszaállítás, a felhasználói kockázat önállóan orvosolható biztonságos jelszómódosítással . Ha csak a jelszókivonat-szinkronizálás engedélyezve van, fontolja meg a helyszíni jelszó-visszaállítás engedélyezését a felhasználói kockázat elhárításához.

Most kaptam egy magas kockázatú riasztást, de nem jelennek meg ebben a jelentésben?

Ha a felhasználó magas kockázattal rendelkezik, de még nem jelentkezett be, akkor ebben a jelentésben nem látja őket. A jelentés csak bejelentkezési naplókat használ az adatok feltöltéséhez. Ha olyan magas kockázatú felhasználók vannak, akik nem jelentkeztek be, akkor nem számítanak bele ebbe a jelentésbe.

Következő lépések

• Mik azok a Microsoft Entra-munkafüzetek?
• A kockázatok kivizsgálásának módja
• Mik azok a kockázatészlelések?