Olvasás angol nyelven

Megosztás a következőn keresztül:


Oktatóanyag: Kockázatészlelések használata a felhasználói bejelentkezésekhez a Microsoft Entra többtényezős hitelesítésének vagy jelszómódosításainak aktiválásához

A felhasználók védelme érdekében olyan kockázatalapú Microsoft Entra feltételes hozzáférési szabályzatokat konfigurálhat, amelyek automatikusan reagálnak a kockázatos viselkedésekre. Ezek a szabályzatok automatikusan blokkolhatják a bejelentkezési kísérleteket, vagy további műveleteket igényelhetnek, például biztonságos jelszómódosítást vagy a Microsoft Entra többtényezős hitelesítésének kérését. Ezek a szabályzatok a meglévő Microsoft Entra feltételes hozzáférési szabályzatokkal működnek, így további védelmi réteget biztosítanak a szervezet számára. Előfordulhat, hogy a felhasználók soha nem váltanak ki kockázatos viselkedést ezen szabályzatok egyikében, de a szervezet védett, ha megkísérelik veszélyeztetni a biztonságot.

Fontos

Ez az oktatóanyag bemutatja a rendszergazdáknak, hogyan engedélyezhetik a kockázatalapú többtényezős hitelesítést (MFA).

Ha az informatikai csapat nem engedélyezte a Microsoft Entra többtényezős hitelesítés használatát, vagy a bejelentkezés során problémákat tapasztal, forduljon a segélyszolgálathoz további segítségért.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Az elérhető szabályzatok ismertetése
  • A Microsoft Entra többtényezős hitelesítésének engedélyezése
  • Kockázatalapú jelszómódosítások engedélyezése
  • Kockázatalapú többtényezős hitelesítés engedélyezése
  • Kockázatalapú szabályzatok tesztelése felhasználói bejelentkezési kísérletekhez

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

A Microsoft Entra ID-védelem áttekintése

A Microsoft naponta több trillió névtelen jelet gyűjt és elemez a felhasználói bejelentkezési kísérletek részeként. Ezek a jelek segítenek a jó felhasználói bejelentkezési viselkedés mintáinak kialakításában, valamint a lehetséges kockázatos bejelentkezési kísérletek azonosításában. Microsoft Entra ID-védelem ellenőrizheti a felhasználói bejelentkezési kísérleteket, és további lépéseket tehet gyanús viselkedés esetén:

Az alábbi műveletek némelyike Microsoft Entra ID-védelem kockázatészlelést válthat ki:

  • Kiszivárgott hitelesítő adatokkal rendelkező felhasználók.
  • Bejelentkezés névtelen IP-címekről.
  • Lehetetlen utazás atipikus helyekre.
  • Bejelentkezés fertőzött eszközökről.
  • Gyanús tevékenységgel rendelkező IP-címekről való bejelentkezések.
  • Ismeretlen helyekről érkező bejelentkezések.

Ez a cikk három házirend engedélyezésével ismerteti a felhasználók védelmét és a gyanús tevékenységekre adott válasz automatizálását.

  • Többtényezős hitelesítés regisztrációs szabályzata
    • Gondoskodik arról, hogy a felhasználók regisztrálva legyenek a Microsoft Entra többtényezős hitelesítésére. Ha egy bejelentkezési kockázati szabályzat MFA-t kér, a felhasználónak már regisztrálnia kell a Microsoft Entra többtényezős hitelesítésére.
  • Felhasználói kockázati szabályzat
    • Azonosítja és automatizálja a hitelesítő adatokat esetleg feltörő felhasználói fiókok válaszait. Megkérheti a felhasználót, hogy hozzon létre új jelszót.
  • Bejelentkezési kockázati szabályzat
    • Azonosítja és automatizálja a gyanús bejelentkezési kísérletekre adott választ. Megkérheti a felhasználót, hogy adjon meg további ellenőrzési formákat a Microsoft Entra többtényezős hitelesítésével.

Ha engedélyezi a kockázatalapú szabályzatokat, kiválaszthatja a kockázati szint küszöbértékét is – alacsony, közepes vagy magas. Ez a rugalmasság lehetővé teszi annak eldöntését, hogy milyen agresszíven szeretné kikényszeríteni a gyanús bejelentkezési események vezérlőinek kényszerítését. A Microsoft a következő szabályzatkonfigurációkat javasolja.

A Microsoft Entra ID-védelem a Mi Microsoft Entra ID-védelem című témakörben talál további információt?

Többtényezős hitelesítés regisztrációs szabályzatának engedélyezése

Microsoft Entra ID-védelem tartalmaz egy alapértelmezett szabályzatot, amely segíthet a felhasználók regisztrálásában a Microsoft Entra többtényezős hitelesítéshez. Ha más szabályzatokkal védi a bejelentkezési eseményeket, akkor a felhasználóknak már regisztrálniuk kell az MFA-hoz. Ha engedélyezi ezt a szabályzatot, az nem követeli meg, hogy a felhasználók minden bejelentkezési eseménynél MFA-t hajtsanak végre. A szabályzat csak egy felhasználó regisztrációs állapotát ellenőrzi, és szükség esetén előzetes regisztrációt kér.

Javasoljuk, hogy engedélyezze ezt a regisztrációs szabályzatot a többtényezős hitelesítést használó felhasználók számára. A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
  2. Keresse meg a Protection>Identity Protection>többtényezős hitelesítési regisztrációs szabályzatát.
  3. Alapértelmezés szerint a szabályzat minden felhasználóra érvényes. Ha szükséges, válassza a Hozzárendelések lehetőséget, majd válassza ki a felhasználókat vagy csoportokat a szabályzat alkalmazásához.
  4. A Vezérlők csoportban válassza az Access lehetőséget. Győződjön meg arról, hogy a Microsoft Entra többtényezős hitelesítés regisztrációjának megkövetelése jelölőnégyzet be van jelölve, majd válassza a Kiválasztás lehetőséget.
  5. Állítsa be a Házirend kényszerítése beállítást, majd válassza a Mentés lehetőséget.

Képernyőkép arról, hogyan követelheti meg, hogy a felhasználók regisztráljanak az MFA-ra.

Felhasználói kockázati szabályzat engedélyezése jelszómódosításhoz

A Microsoft kutatókkal, a bűnüldözési hatóságokkal, különféle belső biztonsági csapatokkal és egyéb megbízható forrásokkal együttműködve keres felhasználónév–jelszó párokat. Ha ezek közül a párok egyike megfelel a környezetben lévő fióknak, kockázatalapú jelszómódosítást lehet kérni. Ehhez a szabályzathoz és művelethez a felhasználónak frissítenie kell a jelszavát, mielőtt bejelentkezhet, hogy a korábban közzétett hitelesítő adatok ne működjenek.

A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
  7. Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
    1. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
    2. Válassza a Jelszómódosítás megkövetelése lehetőséget.
    3. Válassza a lehetőséget.
  9. A Munkamenet csoportban.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Jelszó nélküli forgatókönyvek

A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:

Jelszó nélküli felhasználói kockázati szabályzat frissítése

  1. Felhasználók alatt:
    1. Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
  2. A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.

Tipp.

Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.

  • Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
  • Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.

Jelszó nélküli felhasználói kockázat elhárítása és blokkolásának feloldása

  1. Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
  2. A felhasználó letiltásának feloldása.

Bejelentkezési kockázati szabályzat engedélyezése az MFA-hoz

A felhasználók többsége normál viselkedéssel rendelkezik, amely nyomon követhető. Ha kívül esnek ezen a normán, kockázatos lehet, ha lehetővé teszik számukra a sikeres bejelentkezést. Ehelyett érdemes letiltani a felhasználót, vagy többtényezős hitelesítést kérni. Ha a felhasználó sikeresen teljesítette az MFA-feladatot, azt érvényes bejelentkezési kísérletnek tekintheti, és hozzáférést adhat az alkalmazáshoz vagy szolgáltatáshoz.

A szabályzat engedélyezéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
  7. A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre.
    1. Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
    2. Válassza a lehetőséget.
  9. A Munkamenet csoportban.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Jelszó nélküli forgatókönyvek

A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:

Jelszó nélküli bejelentkezési kockázati szabályzat frissítése

  1. Felhasználók alatt:
    1. Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
  2. Válassza ki azt a bejelentkezési kockázati szintet, amelyre a szabályzat vonatkozik, válassza a Magas lehetőséget.
  3. A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.

Tipp.

Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.

  • Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
  • Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.

Jelszó nélküli bejelentkezési kockázat elhárítása és blokkolásának feloldása

  1. Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
  2. A felhasználó letiltásának feloldása.

Kockázatos aláírási események tesztelése

A felhasználói bejelentkezési események többsége nem aktiválja az előző lépésekben konfigurált kockázatalapú szabályzatokat. Előfordulhat, hogy a felhasználó nem lát MFA-kérést, vagy nem állítja vissza a jelszavát. Ha hitelesítő adataik biztonságban maradnak, és a viselkedésük konzisztens marad, a bejelentkezési események sikeresek lesznek.

Az előző lépésekben létrehozott Microsoft Entra ID-védelem szabályzatok teszteléséhez módot kell adnia a kockázatos viselkedés vagy a lehetséges támadások szimulálására. A tesztek végrehajtásának lépései az érvényesítendő Microsoft Entra ID-védelem szabályzattól függően változnak. A forgatókönyvekről és lépésekről további információt a Microsoft Entra ID-védelem kockázatészleléseinek szimulálása című témakörben talál.

Az erőforrások eltávolítása

Ha befejezi a tesztelést, és már nem szeretné engedélyezni a kockázatalapú szabályzatokat, térjen vissza minden letiltani kívánt házirendhez, és állítsa a házirend engedélyezését ki- vagy törlésre.

Következő lépések

Ebben az oktatóanyagban engedélyezte a kockázatalapú felhasználói szabályzatokat Microsoft Entra ID-védelem. Megtanulta végrehajtani az alábbi műveleteket:

  • A Microsoft Entra ID-védelem elérhető szabályzatainak ismertetése
  • A Microsoft Entra többtényezős hitelesítésének engedélyezése
  • Kockázatalapú jelszómódosítások engedélyezése
  • Kockázatalapú többtényezős hitelesítés engedélyezése
  • Kockázatalapú szabályzatok tesztelése felhasználói bejelentkezési kísérletekhez