Feltételes hozzáférési szabályzatsablonok

A feltételes hozzáférési sablonok kényelmes módszert biztosítanak a Microsoft javaslatainak megfelelő új szabályzatok üzembe helyezésére. Ezek a sablonok a különböző ügyféltípusokban és helyeken általánosan használt szabályzatokhoz igazodva nyújtanak maximális védelmet.

Sablonkategóriák

A feltételes hozzáférési szabályzatsablonok a következő kategóriákba vannak rendezve:

Biztonságos alapozás

A Microsoft ezeket a szabályzatokat javasolja az összes szervezet számára. Ezeket a szabályzatokat csoportként helyezheti üzembe.

• Többtényezős hitelesítés megkövetelése rendszergazdák számára
• A biztonsági információk regisztrálásának védelme
• Régi hitelesítési folyamat letiltása
• Többtényezős hitelesítés megkövetelése a Microsoft felügyeleti portálokhoz hozzáférő rendszergazdák számára
• Többtényezős hitelesítés megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
• Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz vagy többtényezős hitelesítés megkövetelése minden felhasználó számára
• Megfelelő eszköz megkövetelése

Nulla megbízhatóság

Ezek a szabályzatok támogatják a zéró megbízhatóságú architektúrát.

• Többtényezős hitelesítés megkövetelése rendszergazdák számára
• A biztonsági információk regisztrálásának védelme
• Régi hitelesítési folyamat letiltása
• Többtényezős hitelesítés megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése a vendéghozzáféréshez
• Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
• Többtényezős hitelesítés megkövetelése kockázatos bejelentkezésekhezA P2 Microsoft Entra-azonosító szükséges
• Jelszómódosítás megkövetelése a magas kockázatú felhasználók számáraa P2 Microsoft Entra-azonosító megkövetelése
• Ismeretlen vagy nem támogatott eszközplatform hozzáférésének letiltása
• Nincs állandó böngésző-munkamenet
• Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzatok megkövetelése
• Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz vagy többtényezős hitelesítés megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése a Microsoft felügyeleti portálokhoz hozzáférő rendszergazdák számára
• Belső kockázatot jelentő felhasználók hozzáférésének letiltásaMicrosoft Purview szükséges

Távoli munka

Ezek a szabályzatok segítenek a távoli dolgozókkal rendelkező szervezetek biztonságossá tételében.

• A biztonsági információk regisztrálásának védelme
• Régi hitelesítési folyamat letiltása
• Többtényezős hitelesítés megkövetelése minden felhasználó számára
• Többtényezős hitelesítés megkövetelése a vendéghozzáféréshez
• Többtényezős hitelesítés megkövetelése kockázatos bejelentkezésekhezA P2 Microsoft Entra-azonosító szükséges
• Jelszómódosítás megkövetelése a magas kockázatú felhasználók számáraa P2 Microsoft Entra-azonosító megkövetelése
• Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése rendszergazdáknak
• Ismeretlen vagy nem támogatott eszközplatform hozzáférésének letiltása
• Nincs állandó böngésző-munkamenet
• Megfelelő eszköz megkövetelése
• Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzatok megkövetelése
• Az alkalmazás által kényszerített korlátozások használata nem felügyelt eszközök esetében

Rendszergazda védelme

Ezek a házirendek a környezet magas szintű jogosultságokkal rendelkező rendszergazdái számára vannak, ahol a legnagyobb kárt a kompromisszum okozhatja.

• Többtényezős hitelesítés megkövetelése rendszergazdák számára
• Régi hitelesítési folyamat letiltása
• Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
• Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése rendszergazdáknak
• Megfelelő eszköz megkövetelése
• Adathalászatnak ellenálló többtényezős hitelesítés megkövetelése rendszergazdák számára

Újonnan megjelenő fenyegetések

Az ebben a kategóriában szereplő szabályzatok új módszereket kínálnak a kompromisszumokkal szembeni védelemre.

• Adathalászatnak ellenálló többtényezős hitelesítés megkövetelése rendszergazdák számára

AI-ügynökök

Az ebben a kategóriában szereplő szabályzatok módot kínálnak az ügynökök felügyeletére a környezetben.

• A magas kockázatú ügynökidentitások hozzáférésének letiltása az erőforrásokhoza P2 Microsoft Entra-azonosítót igényli

Ezeket a sablonokat a Microsoft Entra felügyeleti központban>, azEntra ID>feltételes hozzáférésben>talál új szabályzat létrehozása sablonokból. A Továbbiak megjelenítése lehetőséget választva megtekintheti az egyes kategóriákban lévő összes szabályzatsablont.

Fontos

A felhasználókat célzó feltételes hozzáférési sablonszabályzatok csak a szabályzatot létrehozó felhasználót zárják ki a sablonból. Ha a szervezetnek ki kell zárnia más fiókokat, módosítsa a szabályzatot a létrehozása után. Ezeket a házirendeket a Microsoft Entra felügyeleti központban>, azEntra ID>feltételes hozzáférési>szabályzataiban találja. Válasszon ki egy szabályzatot a szerkesztő megnyitásához, és módosítsa a kizárt felhasználókat és csoportokat a kizárni kívánt fiókok kiválasztásához.

Alapértelmezés szerint minden szabályzat csak jelentés módban jön létre. Javasoljuk, hogy a szervezetek teszteljék és monitorozzák a használatot, hogy az egyes szabályzatok bekapcsolása előtt biztosítsák a kívánt eredményt.

A szervezetek kiválaszthatják az egyes szabályzatsablonokat, és az alábbiakat:

• Tekintse meg a szabályzatbeállítások összegzését.
• Szerkesztés a szervezeti igények alapján történő testreszabáshoz.
• Exportálja a JSON-definíciót a programozott munkafolyamatokban való használathoz.
  • Ezek a JSON-definíciók szerkeszthetők, majd importálhatók a feltételes hozzáférési szabályzatok fő lapján a Szabályzatfájl feltöltése beállítással.

Egyéb gyakori szabályzatok

• Többtényezős hitelesítés megkövetelése az eszközregisztrációhoz
• Hozzáférés letiltása hely alapján
• Hozzáférés letiltása adott alkalmazások kivételével

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök. Javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

• Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, amikor az összes rendszergazda ki van zárva, a segélyhívási hozzáférés felügyeleti fiókja használható a bejelentkezéshez és a hozzáférés helyreállításához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásfelelősök, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok neminteraktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában a háttérszolgáltatások használják az alkalmazások programozott hozzáférésének engedélyezésére, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezésre. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
  • Ha a szervezet szkriptekben vagy kódban használja ezeket a fiókokat, cserélje le őket felügyelt identitásokra.

Következő lépések

• Szimulálja a bejelentkezési viselkedést a Feltételes hozzáférés What If eszközzel.
• A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.