Oktatóanyag: Kockázatészlelések használata a felhasználói bejelentkezésekhez a Microsoft Entra többtényezős hitelesítésének vagy jelszómódosításainak aktiválásához
A felhasználók védelme érdekében olyan kockázatalapú Microsoft Entra feltételes hozzáférési szabályzatokat konfigurálhat, amelyek automatikusan reagálnak a kockázatos viselkedésekre. Ezek a szabályzatok automatikusan blokkolhatják a bejelentkezési kísérleteket, vagy további műveleteket igényelhetnek, például biztonságos jelszómódosítást vagy a Microsoft Entra többtényezős hitelesítésének kérését. Ezek a szabályzatok a meglévő Microsoft Entra feltételes hozzáférési szabályzatokkal működnek, így további védelmi réteget biztosítanak a szervezet számára. Előfordulhat, hogy a felhasználók soha nem váltanak ki kockázatos viselkedést ezen szabályzatok egyikében, de a szervezet védett, ha megkísérelik veszélyeztetni a biztonságot.
Fontos
Ez az oktatóanyag bemutatja a rendszergazdáknak, hogyan engedélyezhetik a kockázatalapú többtényezős hitelesítést (MFA).
Ha az informatikai csapat nem engedélyezte a Microsoft Entra többtényezős hitelesítés használatát, vagy a bejelentkezés során problémákat tapasztal, forduljon a segélyszolgálathoz további segítségért.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Az elérhető szabályzatok ismertetése
- A Microsoft Entra többtényezős hitelesítésének engedélyezése
- Kockázatalapú jelszómódosítások engedélyezése
- Kockázatalapú többtényezős hitelesítés engedélyezése
- Kockázatalapú szabályzatok tesztelése felhasználói bejelentkezési kísérletekhez
Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:
- Egy működő Microsoft Entra-bérlő, amely legalább egy P2-azonosítójú Microsoft Entra-azonosítóval vagy próbaverziós licenccel rendelkezik.
- Ha szükséges, hozzon létre egyet ingyen.
- Biztonsági rendszergazdai jogosultságokkal rendelkező fiók.
- Az önkiszolgáló jelszó-visszaállításhoz és a Microsoft Entra többtényezős hitelesítéshez konfigurált Microsoft Entra-azonosító
- Ha szükséges, végezze el az oktatóanyagot a Microsoft Entra SSPR engedélyezéséhez.
- Szükség esetén végezze el az oktatóanyagot a Microsoft Entra többtényezős hitelesítésének engedélyezéséhez.
A Microsoft naponta több trillió névtelen jelet gyűjt és elemez a felhasználói bejelentkezési kísérletek részeként. Ezek a jelek segítenek a jó felhasználói bejelentkezési viselkedés mintáinak kialakításában, valamint a lehetséges kockázatos bejelentkezési kísérletek azonosításában. Microsoft Entra ID-védelem ellenőrizheti a felhasználói bejelentkezési kísérleteket, és további lépéseket tehet gyanús viselkedés esetén:
Az alábbi műveletek némelyike Microsoft Entra ID-védelem kockázatészlelést válthat ki:
- Kiszivárgott hitelesítő adatokkal rendelkező felhasználók.
- Bejelentkezés névtelen IP-címekről.
- Lehetetlen utazás atipikus helyekre.
- Bejelentkezés fertőzött eszközökről.
- Gyanús tevékenységgel rendelkező IP-címekről való bejelentkezések.
- Ismeretlen helyekről érkező bejelentkezések.
Ez a cikk három házirend engedélyezésével ismerteti a felhasználók védelmét és a gyanús tevékenységekre adott válasz automatizálását.
- Többtényezős hitelesítés regisztrációs szabályzata
- Gondoskodik arról, hogy a felhasználók regisztrálva legyenek a Microsoft Entra többtényezős hitelesítésére. Ha egy bejelentkezési kockázati szabályzat MFA-t kér, a felhasználónak már regisztrálnia kell a Microsoft Entra többtényezős hitelesítésére.
- Felhasználói kockázati szabályzat
- Azonosítja és automatizálja a hitelesítő adatokat esetleg feltörő felhasználói fiókok válaszait. Megkérheti a felhasználót, hogy hozzon létre új jelszót.
- Bejelentkezési kockázati szabályzat
- Azonosítja és automatizálja a gyanús bejelentkezési kísérletekre adott választ. Megkérheti a felhasználót, hogy adjon meg további ellenőrzési formákat a Microsoft Entra többtényezős hitelesítésével.
Ha engedélyezi a kockázatalapú szabályzatokat, kiválaszthatja a kockázati szint küszöbértékét is – alacsony, közepes vagy magas. Ez a rugalmasság lehetővé teszi annak eldöntését, hogy milyen agresszíven szeretné kikényszeríteni a gyanús bejelentkezési események vezérlőinek kényszerítését. A Microsoft a következő szabályzatkonfigurációkat javasolja.
A Microsoft Entra ID-védelem a Mi Microsoft Entra ID-védelem című témakörben talál további információt?
Microsoft Entra ID-védelem tartalmaz egy alapértelmezett szabályzatot, amely segíthet a felhasználók regisztrálásában a Microsoft Entra többtényezős hitelesítéshez. Ha más szabályzatokkal védi a bejelentkezési eseményeket, akkor a felhasználóknak már regisztrálniuk kell az MFA-hoz. Ha engedélyezi ezt a szabályzatot, az nem követeli meg, hogy a felhasználók minden bejelentkezési eseménynél MFA-t hajtsanak végre. A szabályzat csak egy felhasználó regisztrációs állapotát ellenőrzi, és szükség esetén előzetes regisztrációt kér.
Javasoljuk, hogy engedélyezze ezt a regisztrációs szabályzatot a többtényezős hitelesítést használó felhasználók számára. A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
- Keresse meg a Protection>Identity Protection>többtényezős hitelesítési regisztrációs szabályzatát.
- Alapértelmezés szerint a szabályzat minden felhasználóra érvényes. Ha szükséges, válassza a Hozzárendelések lehetőséget, majd válassza ki a felhasználókat vagy csoportokat a szabályzat alkalmazásához.
- A Vezérlők csoportban válassza az Access lehetőséget. Győződjön meg arról, hogy a Microsoft Entra többtényezős hitelesítés regisztrációjának megkövetelése jelölőnégyzet be van jelölve, majd válassza a Kiválasztás lehetőséget.
- Állítsa be a Házirend kényszerítése beállítást, majd válassza a Mentés lehetőséget.
A Microsoft kutatókkal, a bűnüldözési hatóságokkal, különféle belső biztonsági csapatokkal és egyéb megbízható forrásokkal együttműködve keres felhasználónév–jelszó párokat. Ha ezek közül a párok egyike megfelel a környezetben lévő fióknak, kockázatalapú jelszómódosítást lehet kérni. Ehhez a szabályzathoz és művelethez a felhasználónak frissítenie kell a jelszavát, mielőtt bejelentkezhet, hogy a korábban közzétett hitelesítő adatok ne működjenek.
A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- Válassza a Kész lehetőséget.
- A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
- Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
- A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
- Válassza a Kész lehetőséget.
- A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
- Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
- Válassza a Jelszómódosítás megkövetelése lehetőséget.
- Válassza a lehetőséget.
- A Munkamenet csoportban.
- Válassza ki a bejelentkezési gyakoriságot.
- Győződjön meg arról, hogy minden alkalommal ki van jelölve.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:
- Felhasználók alatt:
- Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
- A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.
Tipp.
Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.
- Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
- Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.
- Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
- A felhasználó letiltásának feloldása.
A felhasználók többsége normál viselkedéssel rendelkezik, amely nyomon követhető. Ha kívül esnek ezen a normán, kockázatos lehet, ha lehetővé teszik számukra a sikeres bejelentkezést. Ehelyett érdemes letiltani a felhasználót, vagy többtényezős hitelesítést kérni. Ha a felhasználó sikeresen teljesítette az MFA-feladatot, azt érvényes bejelentkezési kísérletnek tekintheti, és hozzáférést adhat az alkalmazáshoz vagy szolgáltatáshoz.
A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- Válassza a Kész lehetőséget.
- A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
- A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre.
- Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
- Válassza a Kész lehetőséget.
- A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
- Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
- Válassza a lehetőséget.
- A Munkamenet csoportban.
- Válassza ki a bejelentkezési gyakoriságot.
- Győződjön meg arról, hogy minden alkalommal ki van jelölve.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:
- Felhasználók alatt:
- Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
- Válassza ki azt a bejelentkezési kockázati szintet, amelyre a szabályzat vonatkozik, válassza a Magas lehetőséget.
- A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.
Tipp.
Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.
- Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
- Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.
- Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
- A felhasználó letiltásának feloldása.
A felhasználói bejelentkezési események többsége nem aktiválja az előző lépésekben konfigurált kockázatalapú szabályzatokat. Előfordulhat, hogy a felhasználó nem lát MFA-kérést, vagy nem állítja vissza a jelszavát. Ha hitelesítő adataik biztonságban maradnak, és a viselkedésük konzisztens marad, a bejelentkezési események sikeresek lesznek.
Az előző lépésekben létrehozott Microsoft Entra ID-védelem szabályzatok teszteléséhez módot kell adnia a kockázatos viselkedés vagy a lehetséges támadások szimulálására. A tesztek végrehajtásának lépései az érvényesítendő Microsoft Entra ID-védelem szabályzattól függően változnak. A forgatókönyvekről és lépésekről további információt a Microsoft Entra ID-védelem kockázatészleléseinek szimulálása című témakörben talál.
Ha befejezi a tesztelést, és már nem szeretné engedélyezni a kockázatalapú szabályzatokat, térjen vissza minden letiltani kívánt házirendhez, és állítsa a házirend engedélyezését ki- vagy törlésre.
Ebben az oktatóanyagban engedélyezte a kockázatalapú felhasználói szabályzatokat Microsoft Entra ID-védelem. Megtanulta végrehajtani az alábbi műveleteket:
- A Microsoft Entra ID-védelem elérhető szabályzatainak ismertetése
- A Microsoft Entra többtényezős hitelesítésének engedélyezése
- Kockázatalapú jelszómódosítások engedélyezése
- Kockázatalapú többtényezős hitelesítés engedélyezése
- Kockázatalapú szabályzatok tesztelése felhasználói bejelentkezési kísérletekhez