Többtényezős hitelesítés megkövetelése az eszközregisztrációhoz
A feltételes hozzáférés felhasználói műveletével kényszerítheti a szabályzatot, amikor a felhasználók regisztrálják vagy csatlakoztatják az eszközöket a Microsoft Entra-azonosítóhoz. Ez a vezérlő részletesen konfigurálja a többtényezős hitelesítést az eszközök regisztrálásához vagy csatlakoztatásához a jelenleg létező bérlőszintű szabályzatok helyett. A rendszergazdák testre szabhatják ezt a házirendet a szervezet biztonsági igényeinek megfelelően.
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:
- Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
- További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
Feltételes hozzáférési házirend létrehozása
Figyelmeztetés
Ha külső hitelesítési módszereket használ, ezek jelenleg nem összhangban vannak a hitelesítés erősségével, és a Többtényezős hitelesítés engedélyezése vezérlőt kell használnia.
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- A Célerőforrások felhasználói műveletek területén válassza az Eszközök regisztrálása vagy csatlakoztatása lehetőséget.>
- A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
- Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
Figyelmeztetés
Ha a feltételes hozzáférési szabályzat az eszközök regisztrálása vagy csatlakoztatása felhasználói művelettel van konfigurálva, az Identitáseszközök>áttekintési>eszközbeállításai>beállítástRequire Multifactor Authentication to register or join devices with Microsoft Entra - nem értékre kell állítania. Ellenkező esetben az ezzel a felhasználói művelettel rendelkező feltételes hozzáférési szabályzatok nem lesznek megfelelően kikényszeríthetők. Erről az eszközbeállításról az eszközbeállítások konfigurálása című témakörben talál további információt.
A megbízható hálózatokon és helyeken kívüli eszközök regisztrálásának vagy csatlakoztatásának letiltása
A szervezetek dönthetnek úgy, hogy a feltételes hozzáférési szabályzataikba belefoglalják a nevesített helyek néven ismert hálózati helyeket . Ezek az elnevezett helyek olyan megbízható IP-hálózatokat tartalmazhatnak, mint a főirodai helyek. A névvel ellátott helyek konfigurálásáról további információt a Microsoft Entra Feltételes hozzáférés helyfeltételei című cikkben talál.
Az előző példaszabályzaton kívül a szervezet az alábbi példaszabályzat használatával letilthatja a nem megbízható IP-hálózati helyen lévő eszközök regisztrálását vagy csatlakoztatását:
Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- A Célerőforrások felhasználói műveletek területén válassza az Eszközök regisztrálása vagy csatlakoztatása lehetőséget.>
- A Hálózat területen:
- Konfigurálja az igent.
- Adjon meg bármilyen hálózatot vagy helyet.
- Zárja ki az összes megbízható hálózatot és helyet.
- A Hozzáférés-vezérlési vezérlők>blokkja területen válassza a Kiválasztás lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Kapcsolódó tartalom
- Feltételes hozzáférés hitelesítésének erőssége
- Az effektus meghatározása csak feltételes hozzáférési móddal
- A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.
- Eszközidentitások kezelése a Microsoft Entra Felügyeleti központban