Többtényezős hitelesítés megkövetelése emelt szintű bejelentkezési kockázat esetén

A legtöbb felhasználó viselkedése normális, amely követhető, és amikor eltérnek a normálistól, kockázatos lehet engedni, hogy egyszerűen bejelentkezzenek. Letilthatja a felhasználót, vagy megkérheti őket, hogy végezzenek többtényezős hitelesítést annak bizonyítására, hogy valóban azok, akikről azt mondják, hogy ők.

A bejelentkezési kockázat annak a valószínűségét jelzi, hogy egy adott hitelesítési kérelem nem az identitás tulajdonosa. A Microsoft Entra ID P2-licencekkel rendelkező szervezetek feltételes hozzáférési szabályzatokat hozhatnak létre, amelyek Microsoft Entra ID-védelem bejelentkezési kockázatészleléseket tartalmaznak.

A bejelentkezési kockázatalapú szabályzat védi a felhasználókat az MFA kockázatos munkamenetekben való regisztrálásától. Ha a felhasználók nincsenek regisztrálva az MFA-ra, a kockázatos bejelentkezések le lesznek tiltva, és AADSTS53004 hibaüzenet jelenik meg.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

• Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
  • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Engedélyezés feltételes hozzáférési szabályzattal

1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
2. Keresse meg a védelmi>feltételes hozzáférést.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
   3. Válassza a Kész lehetőséget.
6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
7. A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre.
   1. Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
   2. Válassza a Kész lehetőséget.
8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
   1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
   2. Válassza a lehetőséget.
9. A Munkamenet csoportban.
   1. Válassza ki a bejelentkezési gyakoriságot.
   2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
   3. Válassza a lehetőséget.
10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Jelszó nélküli forgatókönyvek

A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:

Jelszó nélküli bejelentkezési kockázati szabályzat frissítése

1. Felhasználók alatt:
   1. Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
2. Válassza ki azt a bejelentkezési kockázati szintet, amelyre a szabályzat vonatkozik, válassza a Magas lehetőséget.
3. A Hozzáférés-vezérlések csoportban >tiltsa le a jelszó nélküli felhasználók hozzáférését.

Tipp.

Előfordulhat, hogy jelszó nélküli metódusok telepítésekor két szabályzatra van szükség egy ideig.

• Az egyik, amely lehetővé teszi az önkiszolgáló szervizelést azok számára, akik nem használnak jelszó nélküli metódusokat.
• Egy másik, amely letiltja a magas kockázatú jelszó nélküli felhasználókat.

Jelszó nélküli bejelentkezési kockázat elhárítása és blokkolásának feloldása

1. Rendszergazdai vizsgálat megkövetelése és a kockázatok elhárítása .
2. A felhasználó letiltásának feloldása.

Kapcsolódó tartalom

• Minden alkalommal újrahitelesítést igényel
• Kockázatok orvoslása és a felhasználók tiltásának feloldása
• A feltételes hozzáférés gyakori szabályzatai
• Felhasználói kockázatalapú feltételes hozzáférés
• Az effektus meghatározása csak feltételes hozzáférési móddal
• A feltételes hozzáférés csak jelentésalapú módjának használata az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához