Megosztás a következőn keresztül:

Microsoft által felügyelt szabályzatok

  • Cikk

A Microsoft Digitális védelmi jelentés 2023 októberében említettek szerint

... a digitális békét fenyegető fenyegetések csökkentették a technológia iránti bizalmat, és hangsúlyozták, hogy minden szinten szükség van a jobb kibervédelemre...

... a Microsoftnál több mint 10 000 biztonsági szakértőnk naponta több mint 65 billió jelet elemez... a kiberbiztonság legbefolyásosabb elemzéseinek egyikét. Együtt építhetjük ki a kiberrezilienst innovatív fellépéssel és kollektív védelemmel.

Ennek a munkának a részeként elérhetővé tesszük a Microsoft által felügyelt szabályzatokat a Microsoft Entra-bérlőkben világszerte. Ezek az egyszerűsített feltételes hozzáférési szabályzatok többtényezős hitelesítést igényelnek, ami egy friss tanulmány szerint 99,22%-kal csökkentheti a biztonsági kockázatokat.

A Microsoft indításkor a következő három szabályzatot helyezi üzembe, amelyek adatai azt jelzik, hogy növelik a szervezet biztonsági állapotát:

  • Többtényezős hitelesítés a Microsoft Felügyeleti portálokhoz hozzáférő rendszergazdák számára
  • Többtényezős hitelesítés felhasználónkénti többtényezős hitelesítést használó felhasználók számára
  • Többtényezős hitelesítés és újrahitelesítés kockázatos bejelentkezésekhez

Képernyőkép a Microsoft által felügyelt szabályzatról a Microsoft Entra felügyeleti központban.

A legalább feltételes hozzáférési rendszergazdai szerepkörrel rendelkező rendszergazdák ezeket a házirendeket a Microsoft Entra Felügyeleti központban találják meg a feltételes hozzáférési>szabályzatok védelme>alatt.

A rendszergazdák szerkeszthetik az állapotot (csak be, ki vagy jelentés) és a kizárt identitásokat (felhasználók, csoportok és szerepkörök) a szabályzatban. A szervezeteknek ki kell zárniuk a törés- vagy vészhelyzeti hozzáférési fiókjukat ezekből a szabályzatokból ugyanúgy, mint más feltételes hozzáférési szabályzatokban. A szervezetek duplikálhatják ezeket a szabályzatokat, ha több módosítást szeretnének végrehajtani, mint a Microsoft által felügyelt verziókban engedélyezett alapszintűek.

A Microsoft nem kevesebb, mint 90 nappal azután engedélyezi ezeket a szabályzatokat, hogy a bérlőben bevezették őket, ha csak jelentési állapotban maradnak. A rendszergazdák dönthetnek úgy, hogy előbb bekapcsolják ezeket a házirendeket, vagy kikapcsolják a házirend állapotát kikapcsolva. Az ügyfeleket a szabályzatok engedélyezése előtt 28 nappal e-mailben és üzenetközponti bejegyzésben értesítjük.

Házirendek

Ezek a Microsoft által felügyelt szabályzatok lehetővé teszik a rendszergazdák számára, hogy egyszerű módosításokat végezzenek, például kizárják a felhasználókat, vagy be- vagy kikapcsolják őket a csak jelentéskészítési módból. A szervezetek nem nevezhetik át és nem törölhetik a Microsoft által felügyelt szabályzatokat. Mivel a rendszergazdák jobban ismerik a feltételes hozzáférési szabályzatot, úgy dönthetnek, hogy duplikálják a szabályzatot, hogy egyéni verziókat készítsenek.

A fenyegetések időbeli alakulásával a Microsoft a jövőben módosíthatja ezeket a szabályzatokat, hogy kihasználhassa az új funkciókat, funkciókat, vagy javítsa a funkciójukat.

Többtényezős hitelesítés a Microsoft Felügyeleti portálokhoz hozzáférő rendszergazdák számára

Ez a szabályzat 14 rendszergazdai szerepkört fed le, amelyeket kiemelt jogosultságúnak tekintünk, akik hozzáférnek a Microsoft Felügyeleti portálok csoporthoz, és megkövetelik, hogy többtényezős hitelesítést végezzenek.

Ez a szabályzat olyan Microsoft Entra-azonosítójú P1- és P2-bérlőket céloz meg, ahol a biztonsági beállítások nincsenek engedélyezve.

Többtényezős hitelesítés felhasználónkénti többtényezős hitelesítést használó felhasználók számára

Ez a szabályzat a felhasználónkénti MFA-ra vonatkozik, amely a Microsoft által már nem javasolt konfiguráció. A feltételes hozzáférés számos további funkcióval jobb rendszergazdai élményt nyújt. Az MFA-szabályzatok feltételes hozzáférésben való összevonásával célzottabb lehet az MFA megkövetelése, a végfelhasználók súrlódásának csökkentése a biztonsági helyzet fenntartása mellett.

Ez a szabályzat csak a P1 és P2 Microsoft Entra azonosítójú licenccel rendelkező felhasználókat célozza meg, ahol a biztonsági alapértelmezett házirend nincs engedélyezve, és felhasználói MFA-nként kevesebb mint 500 engedélyezve vagy kényszerítve van.

Ha ezt a szabályzatot több felhasználóra szeretné alkalmazni, duplikálja azt, és módosítsa a hozzárendeléseket.

Tipp.

Ha a felül lévő Szerkesztés ceruzával módosítja a Felhasználónkénti Többtényezős hitelesítési házirendet, az sikertelen frissítési hibát eredményezhet. A probléma megoldásához válassza a Házirend Kizárt identitások szakaszában a Szerkesztés lehetőséget.

Többtényezős hitelesítés és újrahitelesítés kockázatos bejelentkezésekhez

Ez a szabályzat az összes felhasználóra kiterjed, és MFA-t és újrahitelesítést igényel a magas kockázatú bejelentkezések észlelésekor. Ebben az esetben a magas kockázat azt jelenti, hogy a bejelentkezett felhasználó nem a szokásos módon jelentkezik be. Ezek a magas kockázatú bejelentkezések közé tartozhatnak a következők: rendkívül rendellenes utazás, jelszóspray-támadások vagy tokenvisszajátszási támadások. Ezekről a kockázatdefiníciókról további információt a Kockázatészlelések című cikkben talál.

Ez a szabályzat olyan Microsoft Entra-azonosítójú P2-bérlőket céloz meg, ahol a biztonsági alapértelmezett beállítások nincsenek engedélyezve, és mindegyik felhasználóhoz elegendő licenc áll rendelkezésre. A Microsoft nem engedélyezi a kockázatos felhasználók számára, hogy regisztráljanak az MFA-ra. A felhasználók kizárásának elkerülése érdekében ez a szabályzat csak olyan szervezetek számára érhető el, ahol minden felhasználó már regisztrálva van az MFA-hoz.

Régi hitelesítési folyamat letiltása

Ez a szabályzat megakadályozza, hogy az örökölt hitelesítési protokollok hozzáférjenek az alkalmazásokhoz. Az örökölt hitelesítés az alábbiak által küldött hitelesítési kérésre utal:

  • Modern hitelesítést nem használó ügyfelek (például office 2010-ügyfél)
  • Minden olyan ügyfél, amely régebbi levelezési protokollokat használ, például IMAP, SMTP vagy POP3
  • Az örökölt hitelesítést használó minden bejelentkezési kísérlet le van tiltva.

A legtöbb megfigyelt kompromittáló bejelentkezési kísérlet örökölt hitelesítésből származik. Mivel az örökölt hitelesítés nem támogatja a többtényezős hitelesítést, a támadók egy régebbi protokoll használatával megkerülhetik az MFA követelményeit.

Többtényezős hitelesítés megkövetelése az Azure-felügyelethez

Ez a szabályzat az összes felhasználóra vonatkozik, amikor az Azure Resource Manager API-val felügyelt különböző Azure-szolgáltatásokat próbálnak elérni, beleértve a következőket:

  • Azure Portal
  • Microsoft Entra felügyeleti központ
  • Azure PowerShell
  • Azure CLI

Ezen erőforrások bármelyikének elérésekor a felhasználónak be kell fejeznie az MFA-t, mielőtt hozzáférést kapna.

Többtényezős hitelesítés megkövetelése rendszergazdák számára

Ez a szabályzat minden olyan felhasználóra vonatkozik, aki a kiemelt jogosultságokkal rendelkező 14 rendszergazdai szerepkör egyikével rendelkezik. Ezeknek a kiemelt jogosultságú fiókoknak a teljesítménye miatt az MFA-ra van szükségük, amikor bármilyen alkalmazásba bejelentkeznek.

Többtényezős hitelesítés megkövetelése minden felhasználó számára

Ez a szabályzat a szervezet összes felhasználóját lefedi, és minden bejelentkezéskor MFA-t igényel. A munkamenet a legtöbb esetben megmarad az eszközön, és a felhasználóknak nem kell az MFA-t befejezniük, amikor egy másik alkalmazással kommunikálnak.

Hogyan látni ezeknek a szabályzatoknak a hatásait?

A rendszergazdák megtekinthetik a szabályzat bejelentkezésekre gyakorolt hatását, és rövid összefoglalást kaphatnak a házirendnek a környezetükben gyakorolt hatásáról.

Képernyőkép egy szabályzat szervezetre gyakorolt hatásáról.

A rendszergazdák részletesebben áttekinthetik a Microsoft Entra bejelentkezési naplóit, és megtekinthetik ezeket a szabályzatokat működés közben a szervezetükben.

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
  2. Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
  3. Keresse meg a megtekinteni kívánt bejelentkezést. Adjon hozzá vagy távolítson el szűrőket és oszlopokat a szükségtelen adatok kiszűréséhez.
    1. A hatókör szűkítéséhez adjon hozzá olyan szűrőket, mint:
      1. A korrelációs azonosítót, ha egy adott eseményt kíván megvizsgálni.
      2. Feltételes hozzáférés a szabályzathibák és a sikeresség megtekintéséhez. Az eredmények számának korlátozása érdekében állítsa be úgy a szűrőt, hogy csak a meghiúsulásokat jelenítse meg.
      3. A felhasználónevet az adott felhasználókhoz kapcsolódó adatok megtekintéséhez.
      4. A kérdéses időszakra szűkített dátumot.
  4. Miután megtalálta a felhasználó bejelentkezésének megfelelő bejelentkezési eseményt, válassza a Feltételes hozzáférés lapot. A Feltételes hozzáférés lap azokat a szabályzatokat vagy szabályzatokat jeleníti meg, amelyek a bejelentkezés megszakítását eredményezték.
    1. A további vizsgálathoz részletezze a szabályzatok konfigurációját a Szabályzat nevére kattintva. A Szabályzat nevére kattintva megjelenik a kiválasztott szabályzat szabályzatkonfigurációs felhasználói felülete felülvizsgálatra és szerkesztésre.
    2. A feltételes hozzáférési szabályzat kiértékeléséhez használt ügyfélfelhasználó és eszközadatok is elérhetők a bejelentkezési esemény Alapadatok, Hely, Eszközadatok, Hitelesítés részletei és További részletek lapjain.

Mit jelent a feltételes hozzáférés?

A feltételes hozzáférés egy Microsoft Entra-funkció, amely lehetővé teszi a szervezetek számára, hogy biztonsági követelményeket érvényesíthessenek az erőforrások elérésekor. A feltételes hozzáférést gyakran használják többtényezős hitelesítés, eszközkonfiguráció vagy hálózati hely követelményeinek kikényszerítésére.

Ezek a szabályzatok logikusnak tekinthetők, ha ezek az utasítások.

Ha a hozzárendelések (felhasználók, erőforrások és feltételek) teljesülnek, alkalmazza a hozzáférési vezérlőket (engedélyezés és/vagy munkamenet) a szabályzatban. Ha Ön rendszergazda, aki hozzá szeretne férni a Microsoft egyik felügyeleti portáljához, akkor többtényezős hitelesítést kell végrehajtania annak igazolásához, hogy valóban Ön az.

Mi a teendő, ha további módosításokat szeretnék végrehajtani?

A rendszergazdák dönthetnek úgy, hogy további módosításokat hajtanak végre ezen szabályzatokban a Házirendlista nézet Duplikálás gombjának duplikálásával. Ez az új szabályzat ugyanúgy konfigurálható, mint bármely más feltételes hozzáférési szabályzat a Microsoft által javasolt pozíciótól kezdve.

Milyen rendszergazdai szerepkörökre vonatkoznak ezek a szabályzatok?

  • Globális rendszergazda
  • alkalmazás-rendszergazda
  • Hitelesítési rendszergazda
  • Számlázási rendszergazda
  • Felhőalkalmazás-rendszergazda
  • Feltételes hozzáférésű rendszergazda
  • Exchange-rendszergazda
  • Ügyfélszolgálati rendszergazda
  • Jelszóadminisztrátor
  • Kiemelt hitelesítési rendszergazda
  • Kiemelt szerepkörű rendszergazda
  • Biztonsági rendszergazda
  • SharePoint-rendszergazda
  • Felhasználói rendszergazda

Mi történik, ha más megoldást használok a többtényezős hitelesítéshez?

A többtényezős hitelesítés összevonás vagy a nemrég bejelentett külső hitelesítési módszerek megfelelnek a felügyelt szabályzat követelményeinek.

Következő lépések