Gyakori feltételes hozzáférési szabályzat: Adathalászatnak ellenálló többtényezős hitelesítés megkövetelése rendszergazdák számára

A magas jogosultsági szintű rendszergazdai jogosultságokkal rendelkező fiókok a támadók gyakori célpontjai. Az adathalászatnak ellenálló többtényezős hitelesítés (MFA) megkövetelése ezen fiókokon egyszerű módszer a fiókok feltörésének kockázatának csökkentésére.

Figyelemfelhívás

Mielőtt adathalászatnak ellenálló, többtényezős hitelesítést igénylő szabályzatot hoz létre, győződjön meg arról, hogy a rendszergazdák rendelkeznek a megfelelő módszerekkel. Ha a jelen lépés végrehajtása nélkül engedélyezi ezt a szabályzatot, a bérlőből való kizárást kockáztatja.

A Microsoft azt javasolja, hogy legalább az alábbi szerepkörökön megkövetelje az adathalászatnak ellenálló többtényezős hitelesítést:

  • Globális rendszergazda
  • alkalmazás-rendszergazda
  • Hitelesítési rendszergazda
  • Számlázási rendszergazda
  • Felhőalkalmazás-rendszergazda
  • Feltételes hozzáférésű rendszergazda
  • Exchange-rendszergazda
  • Segélyszolgálat Rendszergazda istrator
  • Jelszó Rendszergazda istrator
  • Kiemelt hitelesítési rendszergazda
  • Kiemelt szerepkörű rendszergazda
  • Biztonsági rendszergazda
  • SharePoint Rendszergazda istrator
  • Felhasználói rendszergazda

A szervezetek dönthetnek úgy, hogy belefoglalják vagy kizárják a szerepköröket a megfelelőnek látja.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Címtárszerepkörök lehetőséget, és válassza ki a beépített szerepköröket, például:

      • Globális rendszergazda
      • alkalmazás-rendszergazda
      • Hitelesítési rendszergazda
      • Számlázási rendszergazda
      • Felhőalkalmazás-rendszergazda
      • Feltételes hozzáférésű rendszergazda
      • Exchange-rendszergazda
      • Segélyszolgálat Rendszergazda istrator
      • Jelszó Rendszergazda istrator
      • Kiemelt hitelesítési rendszergazda
      • Kiemelt szerepkörű rendszergazda
      • Biztonsági rendszergazda
      • SharePoint Rendszergazda istrator
      • Felhasználói rendszergazda

      Figyelmeztetés

      A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokra, például felügyeleti egységekre vagyegyéni szerepkörökre.

    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.

  6. A Célerőforrások>Felhőalkalmazások>Belefoglalva területen válassza az Összes felhőalkalmazás lehetőséget.
  7. A Hozzáférés-vezérlések>Megadása területen válassza a Hozzáférés megadása, A hitelesítés erősségének megkövetelése, az Adathalászatnak ellenálló MFA, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.