A feltételes hozzáférés hitelesítésének erőssége
Ez a témakör azt ismerteti, hogyan korlátozhatja a feltételes hozzáférés hitelesítésének erőssége, hogy mely hitelesítési módszerek férhetnek hozzá egy erőforráshoz.
A hitelesítés erősségének működése a hitelesítési módszerek házirendjével
Két szabályzat határozza meg, hogy mely hitelesítési módszerek használhatók az erőforrások eléréséhez. Ha egy felhasználó bármelyik házirendben engedélyezve van egy hitelesítési módszerhez, azzal a módszerrel is bejelentkezhet.
A biztonsági>hitelesítési módszerek szabályzatai> egy modernebb módszer az adott felhasználók és csoportok hitelesítési módszereinek kezelésére. Különböző metódusokhoz megadhat felhasználókat és csoportokat. Paramétereket is konfigurálhat, hogy szabályozhassa a metódusok használatát.
Biztonsági>többtényezős hitelesítés>A többtényezős hitelesítés további felhőalapú hitelesítési beállításai régi módszerek a többtényezős hitelesítési módszerek szabályozására a bérlő összes felhasználója számára.
A felhasználók regisztrálhatnak az engedélyezett hitelesítési módszerekre. A rendszergazda emellett konfigurálhatja a felhasználó eszközét egy olyan módszerrel is, mint a tanúsítványalapú hitelesítés.
Hitelesítési erősségű szabályzat kiértékelése a bejelentkezés során
A hitelesítési erősség feltételes hozzáférési szabályzata határozza meg, hogy mely metódusok használhatók. A Microsoft Entra ID a bejelentkezés során ellenőrzi a szabályzatot, hogy meghatározza a felhasználó hozzáférését az erőforráshoz. A rendszergazda például egyéni hitelesítési erősséggel konfigurál egy feltételes hozzáférési szabályzatot, amelyhez jelszó (FIDO2 biztonsági kulcs) vagy Jelszó + szöveges üzenet szükséges. A felhasználó a szabályzat által védett erőforráshoz fér hozzá.
A bejelentkezés során a rendszer minden beállítást ellenőriz annak meghatározásához, hogy mely metódusok engedélyezettek, mely metódusok vannak regisztrálva, és mely metódusokat írja elő a feltételes hozzáférési szabályzat. A bejelentkezéshez engedélyeznie kell a metódust, regisztrálnia kell a felhasználónak (a hozzáférési kérelem előtt vagy részeként), és meg kell felelnie a hitelesítési erősségnek.
Több feltételes hozzáférési hitelesítési erősségű szabályzat kiértékelése
Általában, ha több feltételes hozzáférési szabályzat is érvényes egy bejelentkezésre, az összes házirend minden feltételének teljesülnie kell. Ugyanígy, ha több feltételes hozzáférési hitelesítési erősség-szabályzat vonatkozik a bejelentkezésre, a felhasználónak meg kell felelnie az összes hitelesítési szilárdsági feltételnek. Ha például két különböző hitelesítési erősségű szabályzathoz is szükség van hozzáférési kulcsra (FIDO2), a felhasználó a FIDO2 biztonsági kulcs használatával mindkét szabályzatot kielégítheti. Ha a két hitelesítési erősségű szabályzat különböző metóduskészletekkel rendelkezik, a felhasználónak több metódust kell használnia mindkét szabályzat teljesítéséhez.
Több feltételes hozzáférési hitelesítési erősségű szabályzat kiértékelése a biztonsági adatok regisztrálásához
A biztonsági információk regisztrációjának megszakítási módja esetén a hitelesítés erősségének kiértékelése másképp történik– a biztonsági adatok regisztrálása felhasználói műveletét célzó hitelesítési erősségek előnyben részesülnek a minden felhőalkalmazást célzó egyéb hitelesítési erősségű szabályzatokkal szemben. A bejelentkezés hatókörében lévő egyéb feltételes hozzáférési szabályzatok minden egyéb engedélyezési vezérlője (például az eszköz megfelelőként való megjelölésének megkövetelése) a szokásos módon lesz érvényben.
Tegyük fel például, hogy a Contoso megköveteli a felhasználóktól, hogy mindig többtényezős hitelesítési módszerrel és egy megfelelő eszközről jelentkezzenek be. A Contoso azt is lehetővé szeretné tenni, hogy az új alkalmazottak ideiglenes hozzáférési bérlettel (TAP) regisztrálják ezeket az MFA-metódusokat. A TAP nem használható más erőforrásokon. A cél elérése érdekében a rendszergazda a következő lépéseket hajthatja végre:
- Hozzon létre egy Bootstrap és recovery nevű egyéni hitelesítési erősséget, amely tartalmazza az ideiglenes hozzáférési pass hitelesítési kombinációt, és az MFA bármely metódusát is magában foglalhatja.
- Hozzon létre egy MFA nevű egyéni hitelesítési erősséget a bejelentkezéshez , amely tartalmazza az összes engedélyezett MFA-metódust, ideiglenes hozzáférési jogosultság nélkül.
- Hozzon létre egy feltételes hozzáférési szabályzatot, amely az összes felhőalkalmazást célozza, és MFA-t igényel a bejelentkezési hitelesítés erősségéhez, és megköveteli a megfelelő eszközhozzáadási vezérlők használatát.
- Hozzon létre egy feltételes hozzáférési szabályzatot, amely a Biztonsági adatok regisztrálása felhasználói műveletet célozza, és megköveteli a Rendszerindítási és helyreállítási hitelesítés erősségét.
Ennek eredményeképpen a megfelelő eszköz felhasználói ideiglenes hozzáférési jogosultságot használhatnak az MFA-metódusok regisztrálásához, majd az újonnan regisztrált módszer használatával hitelesíthetik magukat más erőforrásokban, például az Outlookban.
Feljegyzés
Ha több feltételes hozzáférési szabályzat is a Biztonsági adatok regisztrálása felhasználói műveletre irányul, és mindegyik hitelesítési erősséget alkalmaz, a felhasználónak minden ilyen hitelesítési erősségnek meg kell felelnie a bejelentkezéshez.
Egyes jelszó nélküli és adathalászat-rezisztens metódusok nem regisztrálhatók a Megszakítás módban. További információ: Jelszó nélküli hitelesítési módszerek regisztrálása.
Felhasználó felület
A következő tényezők határozzák meg, hogy a felhasználó hozzáfér-e az erőforráshoz:
- Melyik hitelesítési módszert használták korábban?
- Milyen módszerek érhetők el a hitelesítés erősségéhez?
- Milyen metódusok engedélyezettek a felhasználói bejelentkezéshez a hitelesítési módszerek házirendjében?
- A felhasználó regisztrálva van bármilyen elérhető módszerhez?
Ha egy felhasználó egy hitelesítési erősségű feltételes hozzáférési szabályzattal védett erőforráshoz fér hozzá, a Microsoft Entra ID kiértékeli, hogy a korábban használt módszerek megfelelnek-e a hitelesítési erősségnek. Megfelelő módszer használata esetén a Microsoft Entra ID hozzáférést biztosít az erőforráshoz. Tegyük fel például, hogy egy felhasználó jelszóval + szöveges üzenettel jelentkezik be. Egy MFA-hitelesítési erősség által védett erőforráshoz férnek hozzá. Ebben az esetben a felhasználó egy másik hitelesítési kérés nélkül is hozzáférhet az erőforráshoz.
Tegyük fel, hogy legközelebb egy adathalászatnak ellenálló MFA-hitelesítéssel védett erőforráshoz férnek hozzá. Ezen a ponton a rendszer kérni fogja, hogy adjon meg adathalászatnak ellenálló hitelesítési módszert, például Vállalati Windows Hello.
Ha a felhasználó nem regisztrált olyan metódusokra, amelyek megfelelnek a hitelesítési erősségnek, a rendszer átirányítja őket a kombinált regisztrációra.
A felhasználóknak csak egy hitelesítési módszert kell regisztrálniuk, amely megfelel a hitelesítés erősségére vonatkozó követelménynek.
Ha a hitelesítési erősség nem tartalmaz olyan módszert, amelyet a felhasználó regisztrálhat és használhat, a felhasználó nem tud bejelentkezni az erőforrásba.
Jelszó nélküli hitelesítési módszerek regisztrálása
A következő hitelesítési módszerek nem regisztrálhatók a kombinált regisztráció megszakítási módjának részeként. Győződjön meg arról, hogy a felhasználók regisztrálva vannak ezekhez a módszerekhez, mielőtt olyan feltételes hozzáférési szabályzatot alkalmaz, amely megkövetelheti őket a bejelentkezéshez. Ha egy felhasználó nincs regisztrálva ezekhez a metódusokhoz, csak akkor férhet hozzá az erőforráshoz, ha a szükséges metódus regisztrálva van.
| Metódus | Regisztrációs követelmények |
|---|---|
| Microsoft Authenticator (telefonos bejelentkezés) | Regisztrálható az Authenticator alkalmazásból. |
| Hozzáférési kulcs (FIDO2) | A kombinált regisztráció felügyelt módjával regisztrálható, és a hitelesítés erősségei érvényesíthetők a kombinált regisztrációs varázsló móddal |
| Tanúsítványalapú hitelesítés | Rendszergazdai beállításokat igényel; a felhasználó nem regisztrálhatja. |
| Vállalati Windows Hello | Regisztrálható a Windows Out of Box Experience (OOBE) vagy a Windows Gépház menüben. |
Összevont felhasználói élmény
Összevont tartományok esetén az MFA-t a Microsoft Entra feltételes hozzáférése vagy a helyszíni összevonási szolgáltató kényszerítheti az összevontIdpMfaBehavior beállításával. Ha az összevontIdpMfaBehavior beállítás a enforceMfaByFederatedIdp értékre van állítva, a felhasználónak hitelesítenie kell az összevont identitásszolgáltatóján, és csak a hitelesítési erősség követelményének összevont többtényezős kombinációját tudja kielégíteni. Az összevonási beállításokról további információt az MFA támogatásának megtervezése című témakörben talál.
Ha egy összevont tartomány felhasználója többtényezős hitelesítési beállításokkal rendelkezik a szakaszos bevezetés hatókörében, a felhasználó elvégezheti a többtényezős hitelesítést a felhőben, és kielégítheti az összevont egytényezős + kombinációk bármelyikét. A szakaszos bevezetésről további információt a Szakaszos bevezetés engedélyezése című témakörben talál.