Gyakori feltételes hozzáférési szabályzat: Többtényezős hitelesítés megkövetelése a Microsoft felügyeleti portálokhoz hozzáférő rendszergazdák számára
A Microsoft azt javasolja, hogy biztosítsa a hozzáférést a Microsoft felügyeleti portáljaihoz, például a Microsoft Entra-hoz, a Microsoft 365-höz, az Exchange-hez és az Azure-hoz. A Microsoft Rendszergazda Portálok alkalmazással a szervezetek szabályozhatják a Microsoft felügyeleti portáljaihoz való interaktív hozzáférést.
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:
- A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
- További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
Feltételes hozzáférési házirend létrehozása
- Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Válassza az Új szabályzat létrehozása lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
A Belefoglalás csoportban válassza a Címtárszerepkörök lehetőséget, és válassza ki a beépített szerepköröket, például:
- Globális rendszergazda
- alkalmazás-rendszergazda
- Hitelesítési rendszergazda
- Számlázási rendszergazda
- Felhőalkalmazás-rendszergazda
- Feltételes hozzáférésű rendszergazda
- Exchange-rendszergazda
- Segélyszolgálat Rendszergazda istrator
- Jelszó Rendszergazda istrator
- Kiemelt hitelesítési rendszergazda
- Kiemelt szerepkörű rendszergazda
- Biztonsági rendszergazda
- SharePoint Rendszergazda istrator
- Felhasználói rendszergazda
Figyelmeztetés
A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokra, például felügyeleti egységekre vagyegyéni szerepkörökre.
A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- A Célerőforrások>Felhőalkalmazások>Belefoglalva, Alkalmazások kiválasztása területen válassza a Microsoft Rendszergazda Portálok lehetőséget.
- A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása, A hitelesítés erősségének megkövetelése, a Többtényezős hitelesítés, majd a Kiválasztás lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.