Gyakori feltételes hozzáférési szabályzat: Újrahitelesítés megkövetelése és a böngésző megőrzésének letiltása
A nem felügyelt eszközök felhasználói hozzáférésének védelme azáltal, hogy megakadályozza a böngésző munkameneteinek bejelentkezését a böngésző bezárása után, és 1 órára állítja be a bejelentkezési gyakoriságot.
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:
- A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
- További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
Sablonalapú telepítés
A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.
Feltételes hozzáférési házirend létrehozása
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- A Célerőforrások>Felhőalkalmazások>Belefoglalva területen válassza az Összes felhőalkalmazás lehetőséget.
- Az eszközök feltételek>szerinti szűrése területen állítsa a Konfigurálás igen értékre.
- A szabálynak megfelelő eszközök csoportban állítsa be a Szűrt eszközök belefoglalása a szabályzatba beállítást.
- A Szabály szintaxisa csoportban jelölje ki a Ceruza szerkesztése lehetőséget, és illessze be a következő kifejezéseket a mezőbe, majd válassza az Alkalmaz lehetőséget.
- device.trustType -ne "ServerAD" -or device.isCompliant -ne True
- Válassza a Kész lehetőséget.
- A Hozzáférés-vezérlési>munkamenet alatt
- Válassza ki a bejelentkezési gyakoriságot, adja meg az időszakos újrahitelesítést, és állítsa az időtartamot 1-re, az időtartamot pedig órákra.
- Válassza az Állandó böngésző munkamenet lehetőséget, és állítsa az Állandó böngésző munkamenetet Soha nem állandóra.
- Kiválasztás, Kijelölés
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.