Jegyzet
Az oldalhoz való hozzáférés engedélyezést igényel. Próbálhatod be jelentkezni vagy könyvtárat váltani.
Az oldalhoz való hozzáférés engedélyezést igényel. Megpróbálhatod a könyvtár váltását.
A hitelesítés erőssége a Microsoft Entra feltételes hozzáférés-vezérlése, amely meghatározza, hogy a felhasználók milyen hitelesítési módszereket használhatnak az erőforrások eléréséhez. A felhasználók az engedélyezett kombinációk bármelyikével hitelesíthetik az erősségi követelményeket.
A hitelesítési erősségek például megkövetelhetik, hogy a felhasználók csak adathalászatnak ellenálló hitelesítési módszereket használjanak egy bizalmas erőforrás eléréséhez. A nem érzékeny erőforrások eléréséhez a rendszergazdák létrehozhatnak egy másik hitelesítési erősséget, amely lehetővé teszi a kevésbé biztonságos többtényezős hitelesítés (MFA) kombinációit, például a jelszót és egy szöveges üzenetet.
A hitelesítési erősségek a hitelesítési módszerek házirendjén alapulnak. Vagyis a rendszergazdák hatókörbe helyezhetik a Microsoft Entra ID összevont alkalmazásokban használandó egyes felhasználók és csoportok hitelesítési módszereit. A hitelesítési erősség lehetővé teszi ezeknek a módszereknek a használatát olyan konkrét forgatókönyvek alapján, mint a bizalmas erőforrás-hozzáférés, a felhasználói kockázat és a hely.
Előfeltételek
- A feltételes hozzáférés használatához a bérlőnek Microsoft Entra ID P1 licenccel kell rendelkeznie. Ha nem rendelkezik ezzel a licenccel, elindíthat egy ingyenes próbaverziót.
A hitelesítési erősségek forgatókönyvei
A hitelesítési erősségek segíthetnek az ügyfeleknek az alábbi helyzetek megoldásában:
- Speciális hitelesítési módszerek megkövetelése egy bizalmas erőforrás eléréséhez.
- Egy adott hitelesítési módszer megkövetelése, ha egy felhasználó bizalmas műveletet hajt végre egy alkalmazásban (a feltételes hozzáférés hitelesítési környezetével kombinálva).
- Megkövetelheti a felhasználóktól, hogy egy adott hitelesítési módszert használjanak, amikor bizalmas alkalmazásokat érnek el a vállalati hálózaton kívül.
- Biztonságosabb hitelesítési módszereket igényel a magas kockázatú felhasználók számára.
- Konkrét hitelesítési módszerek megkövetelése az erőforrás-bérlőhöz hozzáférő vendégfelhasználóktól (a bérlők közötti beállításokkal együtt).
Beépített és egyéni hitelesítési erősségek
A rendszergazdák egy feltételes hozzáférési szabályzat létrehozásával hitelesítési erőt adhatnak meg az erőforrások eléréséhez a Hitelesítés erősségének megkövetelése vezérlővel. Három beépített hitelesítési erősség közül választhatnak: többtényezős hitelesítés erőssége, jelszó nélküli MFA-erősség és adathalászatnak ellenálló MFA-erősség. Emellett egyéni hitelesítési erősséget is létrehozhatnak az általuk engedélyezni kívánt hitelesítési módszer kombinációi alapján.
A beépített hitelesítés erősségei
A beépített hitelesítési erősségek a Microsoft által előre definiált hitelesítési módszerek kombinációi. A beépített hitelesítési erősségek mindig elérhetők, és nem módosíthatók. A Microsoft az új módszerek elérhetővé válásakor frissíti a beépített hitelesítési erősségeket.
Az adathalászatnak ellenálló MFA beépített erősségű hitelesítése például a következők kombinációját teszi lehetővé:
- Vállalati Windows Hello vagy platform hitelesítő adatai
- FIDO2 biztonsági kulcs
- Microsoft Entra tanúsítványalapú hitelesítés (többtényezős)
Az alábbi táblázat az egyes beépített hitelesítési erősségek hitelesítési módszereinek kombinációit sorolja fel. Ezek a kombinációk közé tartoznak azok a módszerek, amelyeket a felhasználóknak regisztrálniuk kell, és amelyeket a rendszergazdáknak engedélyezniük kell a hitelesítési módszerek házirendjében vagy az örökölt MFA-beállítások házirendjében:
- MFA erőssége: Ugyanaz a kombinációkészlet, amely a Többtényezős hitelesítés megkövetelése beállítás teljesítéséhez használható.
- Jelszó nélküli MFA erőssége: Olyan hitelesítési módszereket tartalmaz, amelyek megfelelnek az MFA-nak, de nem igényelnek jelszót.
- Adathalászatnak ellenálló MFA erőssége: Olyan módszereket tartalmaz, amelyek interakciót igényelnek a hitelesítési módszer és a bejelentkezési felület között.
| Hitelesítési módszer kombinációja | MFA erőssége | Jelszó nélküli MFA erőssége | Adathalászatnak ellenálló MFA erőssége |
|---|---|---|---|
| FIDO2 biztonsági kulcs | ✅ | ✅ | ✅ |
| Vállalati Windows Hello vagy platform hitelesítő adatai | ✅ | ✅ | ✅ |
| Tanúsítványalapú hitelesítés (többtényezős) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (telefonos bejelentkezés) | ✅ | ✅ | |
| Ideiglenes hozzáférési engedély (egyszeri és többszörös használat) | ✅ | ||
| Jelszó és valami más, amit a felhasználó rendelkezik1 | ✅ | ||
| Összevont egytényezős azzal kiegészítve, amit a felhasználó birtokol1 | ✅ | ||
| Összevont többtényezős | ✅ | ||
| Tanúsítványalapú hitelesítés (egytényezős) | |||
| SMS-bejelentkezés | |||
| Jelszó | |||
| Összevont egytényezős |
1Valami, ami a felhasználó birtokában van az alábbi módszerek egyikére utal: szöveges üzenet, hanghívás, push értesítés, szoftveres OATH token vagy hardveres OATH token.
A következő API-hívással listázhatja az összes beépített hitelesítési erősség definícióit:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Egyéni hitelesítés erősségei
A feltételes hozzáférési rendszergazdák egyéni hitelesítési erősségeket is létrehozhatnak, hogy pontosan megfeleljenek a hozzáférési követelményeknek. További információ: Egyéni feltételes hozzáférési hitelesítési erősségek létrehozása és kezelése.
Korlátozások
A hitelesítés erősségének hatása a hitelesítésre: A feltételes hozzáférési szabályzatok kiértékelése csak a kezdeti hitelesítés után történik. Ennek eredményeképpen a hitelesítési erősség nem korlátozza a felhasználó kezdeti hitelesítését.
Tegyük fel, hogy az adathalászatnak ellenálló MFA beépített erősségét használja. A felhasználók továbbra is megadhatnak egy jelszót, de adathalászatnak ellenálló módszerrel, például FIDO2 biztonsági kulccsal kell bejelentkezniük a folytatáshoz.
A támogatási vezérlők nem támogatott kombinációja: Nem használhatja a többtényezős hitelesítés megkövetelése és a hitelesítés erősségének megkövetelése vezérlőket ugyanabban a feltételes hozzáférési szabályzatban. Ennek az az oka, hogy a beépített többtényezős hitelesítés erőssége egyenértékű a Többtényezős hitelesítés engedélyezése vezérlővel .
Nem támogatott hitelesítési módszer: Az e-mail egyszeri továbbítás (vendég) hitelesítési módszer jelenleg nem támogatott a rendelkezésre álló kombinációkban.
Vállalati Windows Hello: Ha a felhasználó elsődleges hitelesítési módszerként a Vállalati Windows Hello szolgáltatással jelentkezik be, akkor az a Vállalati Windows Hello szolgáltatást is magában foglaló hitelesítési erősség követelmény teljesítésére használható. Ha azonban a felhasználó egy másik módszerrel (például jelszóval) jelentkezik be elsődleges hitelesítési módszerként, és a hitelesítés erősségéhez a Vállalati Windows Hello szükséges, a rendszer nem kéri, hogy jelentkezzen be a Vállalati Windows Hello szolgáltatással. A felhasználónak újra kell indítania a munkamenetet, meg kell adnia a bejelentkezési beállításokat, és ki kell választania egy módszert, amelyet a hitelesítési erősség igényel.
Ismert problémák
Hitelesítési erősség és bejelentkezési gyakoriság: Ha egy erőforrás hitelesítési erősséget és bejelentkezési gyakoriságot igényel, a felhasználók mindkét követelményt két különböző időpontban elégíthetik ki.
Tegyük fel például, hogy egy erőforráshoz jelszó (FIDO2) szükséges a hitelesítés erősségéhez, valamint egy 1 órás bejelentkezési gyakorisággal. Egy felhasználó egy jelszóval (FIDO2) jelentkezett be az erőforrás eléréséhez 24 órával ezelőtt.
Amikor a felhasználó a Vállalati Windows Hello használatával feloldja a Windows-eszköz zárolását, újra hozzáférhet az erőforráshoz. A tegnapi bejelentkezés megfelel a hitelesítés erősségének követelményének, és az eszköz mai feloldása megfelel a bejelentkezési gyakoriság követelményének.
GYIK
Az autentikálási erősséget vagy az autentikálási módszerek szabályzatát érdemes használni?
A hitelesítési erősség a hitelesítési módszerek szabályzatán alapul. A hitelesítési módszerek házirendje segít a felhasználók és csoportok által a Microsoft Entra ID-ban használható hitelesítési módszerek hatókörének és konfigurálásában. A hitelesítési erősség lehetővé teszi a metódusok további korlátozását bizonyos helyzetekben, például a bizalmas erőforrás-hozzáférés, a felhasználói kockázat és a hely tekintetében.
Tegyük fel például, hogy egy Contoso nevű szervezet rendszergazdája engedélyezni szeretné a felhasználók számára a Microsoft Authenticator használatát leküldéses vagy jelszó nélküli hitelesítési módban. A rendszergazda a Hitelesítési módszerek házirend hitelesítő beállításaihoz lép, hatókörbe helyezi a szabályzatot az érintett felhasználók számára, és beállítja a hitelesítési módot Bármely értékre.
A Contoso legérzékenyebb erőforrása esetében a rendszergazda csak jelszó nélküli hitelesítési módszerekhez szeretné korlátozni a hozzáférést. A rendszergazda új feltételes hozzáférési szabályzatot hoz létre a beépített jelszó nélküli MFA erősségű hitelesítés erősségével.
Ennek eredményeképpen a Contoso felhasználói jelszóval és push értesítéssel férhetnek hozzá a bérlő legtöbb erőforrásához, vagy csak az Authenticator (telefonos bejelentkezés) használatával. Amikor azonban a bérlő felhasználói hozzáférnek a bizalmas alkalmazáshoz, az Authenticatort (telefonos bejelentkezést) kell használniuk.