Gyakori feltételes hozzáférési szabályzat: Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése rendszergazdáknak
A rendszergazdai jogosultságokkal rendelkező fiókok a támadók célpontjai. Az ilyen kiemelt jogosultságokkal rendelkező felhasználók megfelelőként megjelölt eszközökről vagy a Microsoft Entra hibrid csatlakoztatásával végzett műveletek végrehajtásának megkövetelése segíthet korlátozni a lehetséges expozíciót.
Az eszközmegfelelési szabályzatokról további információt az Eszközökre vonatkozó szabályok beállítása az Intune használatával a szervezet erőforrásaihoz való hozzáférés engedélyezéséhez című cikkben talál.
A Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése attól függ, hogy az eszközei már hibriden csatlakoznak-e a Microsoft Entra-hoz. További információt a Microsoft Entra hibrid csatlakozásának konfigurálása című cikkben talál.
A Microsoft azt javasolja, hogy legalább az identitáspontszám-javaslatok alapján engedélyezze ezt a szabályzatot a következő szerepkörökhöz:
- Globális rendszergazda
- alkalmazás-rendszergazda
- Hitelesítési rendszergazda
- Számlázási rendszergazda
- Felhőalkalmazás-rendszergazda
- Feltételes hozzáférésű rendszergazda
- Exchange-rendszergazda
- Ügyfélszolgálati rendszergazda
- Jelszóadminisztrátor
- Kiemelt hitelesítési rendszergazda
- Kiemelt szerepkörű rendszergazda
- Biztonsági rendszergazda
- SharePoint-rendszergazda
- Felhasználói rendszergazda
A szervezetek dönthetnek úgy, hogy belefoglalják vagy kizárják a szerepköröket a megfelelőnek látja.
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:
- A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
- További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
Sablonalapú telepítés
A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.
Feltételes hozzáférési házirend létrehozása
Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely többtényezős hitelesítést igényel, az erőforrásokat elérő eszközöket a szervezet Intune megfelelőségi szabályzatainak megfelelőként kell megjelölni, vagy hibrid Microsoft Entra-csatlakozással kell rendelkezniük.
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
A Belefoglalás csoportban válassza a Címtárszerepkörök lehetőséget, és válassza ki legalább a korábban felsorolt szerepköröket.
Figyelmeztetés
A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokra, például felügyeleti egységekre vagy egyéni szerepkörökre.
A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- A Célerőforrások>Felhőalkalmazások>Belefoglalva területen válassza az Összes felhőalkalmazás lehetőséget.
- A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
- Válassza a Megfelelőként megjelölt eszköz megkövetelése, valamint a Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése lehetőséget
- Több vezérlő esetén válassza a Kijelölt vezérlők egyikének megkövetelése lehetőséget.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
Feljegyzés
Akkor is regisztrálhatja az új eszközeit az Intune-ban, ha az előző lépések végrehajtásával a Minden felhasználó és az Összes felhőalkalmazás számára megfelelőként kell megjelölni az eszközt. Az eszköz megfelelő vezérlőként való megjelölésének megkövetelése nem blokkolja az Intune-regisztrációt.
Ismert viselkedés
Windows 7, iOS, Android, macOS és néhány nem Microsoft-webböngésző esetén a Microsoft Entra ID azonosítja az eszközt egy ügyféltanúsítvány használatával, amely akkor van kiépítve, amikor az eszköz regisztrálva van a Microsoft Entra-azonosítóval. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer kéri a tanúsítvány kiválasztását. A végfelhasználónak ki kell választania ezt a tanúsítványt, mielőtt tovább használhatja a böngészőt.
Előfizetés aktiválása
Azok a szervezetek, amelyek az Előfizetés-aktiválás funkcióval engedélyezik a felhasználók számára, hogy a Windows egyik verziójáról a másikra "lépjenek fel", előfordulhat, hogy ki szeretné zárni a Vállalati Windows Áruházat, az AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f verziót az eszközmegfelelési szabályzatukból.