Gyakori feltételes hozzáférési szabályzat: Felhasználó kockázatalapú jelszómódosítása

A Microsoft együttműködik a kutatókkal, a bűnüldözéssel, a Microsoft különböző biztonsági csapataival és más megbízható forrásokkal a kiszivárgott felhasználónév- és jelszópárok megtalálásához. A Microsoft Entra ID P2-licencekkel rendelkező szervezetek feltételes hozzáférési szabályzatokat hozhatnak létre, amelyek Microsoft Entra ID-védelem felhasználói kockázatészleléseket tartalmaznak.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

• A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
  • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Engedélyezés feltételes hozzáférési szabályzattal

1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
2. Keresse meg a védelmi>feltételes hozzáférést.
3. Válassza az Új szabályzat lehetőséget.
4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
   1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
   2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
   3. Válassza a Kész lehetőséget.
6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
7. Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
   1. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
   2. Válassza a Kész lehetőséget.
8. A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
   1. Válassza a Hozzáférés engedélyezése, a Többtényezős hitelesítés megkövetelése és a Jelszómódosítás megkövetelése lehetőséget.
   2. Válassza a lehetőséget.
9. A Munkamenet csoportban.
   1. Válassza ki a bejelentkezési gyakoriságot.
   2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
   3. Válassza a lehetőséget.
10. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Kapcsolódó tartalom

• Minden alkalommal újrahitelesítést igényel
• Kockázatok orvoslása és a felhasználók tiltásának feloldása
• A feltételes hozzáférés gyakori szabályzatai
• Bejelentkezés kockázatalapú feltételes hozzáférés
• Az effektus meghatározása csak feltételes hozzáférési móddal
• A feltételes hozzáférés csak jelentésalapú módjának használata az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához