Microsoft által felügyelt szabályzatok
A Microsoft Digitális védelmi jelentés 2023 októberében említettek szerint
... a digitális békét fenyegető fenyegetések csökkentették a technológia iránti bizalmat, és hangsúlyozták, hogy minden szinten szükség van a jobb kibervédelemre...
... a Microsoftnál több mint 10 000 biztonsági szakértőnk naponta több mint 65 billió jelet elemez... a kiberbiztonság legbefolyásosabb elemzéseinek egyikét. Együtt építhetjük ki a kiberrezilienst innovatív fellépéssel és kollektív védelemmel.
Ennek a munkának a részeként elérhetővé tesszük a Microsoft által felügyelt szabályzatokat a Microsoft Entra-bérlőkben világszerte. Ezek az egyszerűsített feltételes hozzáférési szabályzatok többtényezős hitelesítést igényelnek, ami egy friss tanulmány szerint 99,22%-kal csökkentheti a biztonsági kockázatokat.
A Microsoft indításkor a következő három szabályzatot helyezi üzembe, amelyek adatai azt jelzik, hogy növelik a szervezet biztonsági állapotát:
- Többtényezős hitelesítés a Microsoft Felügyeleti portálokhoz hozzáférő rendszergazdák számára
- Többtényezős hitelesítés felhasználónkénti többtényezős hitelesítést használó felhasználók számára
- Többtényezős hitelesítés és újrahitelesítés kockázatos bejelentkezésekhez
A legalább feltételes hozzáférési rendszergazdai szerepkörrel rendelkező rendszergazdák ezeket a házirendeket a Microsoft Entra Felügyeleti központban találják meg a feltételes hozzáférési>szabályzatok védelme>alatt.
A rendszergazdák szerkeszthetik az állapotot (csak be, ki vagy jelentés) és a kizárt identitásokat (felhasználók, csoportok és szerepkörök) a szabályzatban. A szervezeteknek ki kell zárniuk a törés- vagy vészhelyzeti hozzáférési fiókjukat ezekből a szabályzatokból ugyanúgy, mint más feltételes hozzáférési szabályzatokban. A szervezetek duplikálhatják ezeket a szabályzatokat, ha több módosítást szeretnének végrehajtani, mint a Microsoft által felügyelt verziókban engedélyezett alapszintűek.
A Microsoft nem kevesebb, mint 90 nappal azután engedélyezi ezeket a szabályzatokat, hogy a bérlőben bevezették őket, ha csak jelentési állapotban maradnak. A rendszergazdák dönthetnek úgy, hogy előbb bekapcsolják ezeket a házirendeket, vagy kikapcsolják a házirend állapotát kikapcsolva. Az ügyfeleket a szabályzatok engedélyezése előtt 28 nappal e-mailben és üzenetközponti bejegyzésben értesítjük.
Házirendek
Ezek a Microsoft által felügyelt szabályzatok lehetővé teszik a rendszergazdák számára, hogy egyszerű módosításokat végezzenek, például kizárják a felhasználókat, vagy be- vagy kikapcsolják őket a csak jelentéskészítési módból. A szervezetek nem nevezhetik át és nem törölhetik a Microsoft által felügyelt szabályzatokat. Mivel a rendszergazdák jobban ismerik a feltételes hozzáférési szabályzatot, úgy dönthetnek, hogy duplikálják a szabályzatot, hogy egyéni verziókat készítsenek.
A fenyegetések időbeli alakulásával a Microsoft a jövőben módosíthatja ezeket a szabályzatokat, hogy kihasználhassa az új funkciókat, funkciókat, vagy javítsa a funkciójukat.
Többtényezős hitelesítés a Microsoft Felügyeleti portálokhoz hozzáférő rendszergazdák számára
Ez a szabályzat 14 rendszergazdai szerepkört fed le, amelyeket kiemelt jogosultságúnak tekintünk, akik hozzáférnek a Microsoft Felügyeleti portálok csoporthoz, és megkövetelik, hogy többtényezős hitelesítést végezzenek.
Ez a szabályzat olyan Microsoft Entra-azonosítójú P1- és P2-bérlőket céloz meg, ahol a biztonsági beállítások nincsenek engedélyezve.
Többtényezős hitelesítés felhasználónkénti többtényezős hitelesítést használó felhasználók számára
Ez a szabályzat a felhasználónkénti MFA-ra vonatkozik, amely a Microsoft által már nem javasolt konfiguráció. A feltételes hozzáférés számos további funkcióval jobb rendszergazdai élményt nyújt. Az MFA-szabályzatok feltételes hozzáférésben való összevonásával célzottabb lehet az MFA megkövetelése, a végfelhasználók súrlódásának csökkentése a biztonsági helyzet fenntartása mellett.
Ez a szabályzat csak a P1 és P2 Microsoft Entra azonosítójú licenccel rendelkező felhasználókat célozza meg, ahol a biztonsági alapértelmezett házirend nincs engedélyezve, és felhasználói MFA-nként kevesebb mint 500 engedélyezve vagy kényszerítve van.
Ha ezt a szabályzatot több felhasználóra szeretné alkalmazni, duplikálja azt, és módosítsa a hozzárendeléseket.
Tipp.
Ha a felül lévő Szerkesztés ceruzával módosítja a Felhasználónkénti Többtényezős hitelesítési házirendet, az sikertelen frissítési hibát eredményezhet. A probléma megoldásához válassza a Házirend Kizárt identitások szakaszában a Szerkesztés lehetőséget.
Többtényezős hitelesítés és újrahitelesítés kockázatos bejelentkezésekhez
Ez a szabályzat az összes felhasználóra kiterjed, és MFA-t és újrahitelesítést igényel a magas kockázatú bejelentkezések észlelésekor. Ebben az esetben a magas kockázat azt jelenti, hogy a bejelentkezett felhasználó nem a szokásos módon jelentkezik be. Ezek a magas kockázatú bejelentkezések közé tartozhatnak a következők: rendkívül rendellenes utazás, jelszóspray-támadások vagy tokenvisszajátszási támadások. Ezekről a kockázatdefiníciókról további információt a Kockázatészlelések című cikkben talál.
Ez a szabályzat olyan Microsoft Entra-azonosítójú P2-bérlőket céloz meg, ahol a biztonsági alapértelmezett beállítások nincsenek engedélyezve, és mindegyik felhasználóhoz elegendő licenc áll rendelkezésre. A Microsoft nem engedélyezi a kockázatos felhasználók számára, hogy regisztráljanak az MFA-ra. A felhasználók kizárásának elkerülése érdekében ez a szabályzat csak olyan szervezetek számára érhető el, ahol minden felhasználó már regisztrálva van az MFA-hoz.
Régi hitelesítési folyamat letiltása
Ez a szabályzat megakadályozza, hogy az örökölt hitelesítési protokollok hozzáférjenek az alkalmazásokhoz. Az örökölt hitelesítés az alábbiak által küldött hitelesítési kérésre utal:
- Modern hitelesítést nem használó ügyfelek (például office 2010-ügyfél)
- Minden olyan ügyfél, amely régebbi levelezési protokollokat használ, például IMAP, SMTP vagy POP3
- Az örökölt hitelesítést használó minden bejelentkezési kísérlet le van tiltva.
A legtöbb megfigyelt kompromittáló bejelentkezési kísérlet örökölt hitelesítésből származik. Mivel az örökölt hitelesítés nem támogatja a többtényezős hitelesítést, a támadók egy régebbi protokoll használatával megkerülhetik az MFA követelményeit.
Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
Ez a szabályzat az összes felhasználóra vonatkozik, amikor az Azure Resource Manager API-val felügyelt különböző Azure-szolgáltatásokat próbálnak elérni, beleértve a következőket:
- Azure Portal
- Microsoft Entra felügyeleti központ
- Azure PowerShell
- Azure CLI
Ezen erőforrások bármelyikének elérésekor a felhasználónak be kell fejeznie az MFA-t, mielőtt hozzáférést kapna.
Többtényezős hitelesítés megkövetelése rendszergazdák számára
Ez a szabályzat minden olyan felhasználóra vonatkozik, aki a kiemelt jogosultságokkal rendelkező 14 rendszergazdai szerepkör egyikével rendelkezik. Ezeknek a kiemelt jogosultságú fiókoknak a teljesítménye miatt az MFA-ra van szükségük, amikor bármilyen alkalmazásba bejelentkeznek.
Többtényezős hitelesítés megkövetelése minden felhasználó számára
Ez a szabályzat a szervezet összes felhasználóját lefedi, és minden bejelentkezéskor MFA-t igényel. A munkamenet a legtöbb esetben megmarad az eszközön, és a felhasználóknak nem kell az MFA-t befejezniük, amikor egy másik alkalmazással kommunikálnak.
Hogyan látni ezeknek a szabályzatoknak a hatásait?
A rendszergazdák megtekinthetik a szabályzat bejelentkezésekre gyakorolt hatását, és rövid összefoglalást kaphatnak a házirendnek a környezetükben gyakorolt hatásáról.
A rendszergazdák részletesebben áttekinthetik a Microsoft Entra bejelentkezési naplóit, és megtekinthetik ezeket a szabályzatokat működés közben a szervezetükben.
- Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
- Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
- Keresse meg a megtekinteni kívánt bejelentkezést. Adjon hozzá vagy távolítson el szűrőket és oszlopokat a szükségtelen adatok kiszűréséhez.
- A hatókör szűkítéséhez adjon hozzá olyan szűrőket, mint:
- A korrelációs azonosítót, ha egy adott eseményt kíván megvizsgálni.
- Feltételes hozzáférés a szabályzathibák és a sikeresség megtekintéséhez. Az eredmények számának korlátozása érdekében állítsa be úgy a szűrőt, hogy csak a meghiúsulásokat jelenítse meg.
- A felhasználónevet az adott felhasználókhoz kapcsolódó adatok megtekintéséhez.
- A kérdéses időszakra szűkített dátumot.
- A hatókör szűkítéséhez adjon hozzá olyan szűrőket, mint:
- Miután megtalálta a felhasználó bejelentkezésének megfelelő bejelentkezési eseményt, válassza a Feltételes hozzáférés lapot. A Feltételes hozzáférés lap azokat a szabályzatokat vagy szabályzatokat jeleníti meg, amelyek a bejelentkezés megszakítását eredményezték.
- A további vizsgálathoz részletezze a szabályzatok konfigurációját a Szabályzat nevére kattintva. A Szabályzat nevére kattintva megjelenik a kiválasztott szabályzat szabályzatkonfigurációs felhasználói felülete felülvizsgálatra és szerkesztésre.
- A feltételes hozzáférési szabályzat kiértékeléséhez használt ügyfélfelhasználó és eszközadatok is elérhetők a bejelentkezési esemény Alapadatok, Hely, Eszközadatok, Hitelesítés részletei és További részletek lapjain.
Mit jelent a feltételes hozzáférés?
A feltételes hozzáférés egy Microsoft Entra-funkció, amely lehetővé teszi a szervezetek számára, hogy biztonsági követelményeket érvényesíthessenek az erőforrások elérésekor. A feltételes hozzáférést gyakran használják többtényezős hitelesítés, eszközkonfiguráció vagy hálózati hely követelményeinek kikényszerítésére.
Ezek a szabályzatok logikusnak tekinthetők, ha ezek az utasítások.
Ha a hozzárendelések (felhasználók, erőforrások és feltételek) teljesülnek, alkalmazza a hozzáférési vezérlőket (engedélyezés és/vagy munkamenet) a szabályzatban. Ha Ön rendszergazda, aki hozzá szeretne férni a Microsoft egyik felügyeleti portáljához, akkor többtényezős hitelesítést kell végrehajtania annak igazolásához, hogy valóban Ön az.
Mi a teendő, ha további módosításokat szeretnék végrehajtani?
A rendszergazdák dönthetnek úgy, hogy további módosításokat hajtanak végre ezen szabályzatokban a Házirendlista nézet Duplikálás gombjának duplikálásával. Ez az új szabályzat ugyanúgy konfigurálható, mint bármely más feltételes hozzáférési szabályzat a Microsoft által javasolt pozíciótól kezdve.
Milyen rendszergazdai szerepkörökre vonatkoznak ezek a szabályzatok?
- Globális rendszergazda
- alkalmazás-rendszergazda
- Hitelesítési rendszergazda
- Számlázási rendszergazda
- Felhőalkalmazás-rendszergazda
- Feltételes hozzáférésű rendszergazda
- Exchange-rendszergazda
- Ügyfélszolgálati rendszergazda
- Jelszóadminisztrátor
- Kiemelt hitelesítési rendszergazda
- Kiemelt szerepkörű rendszergazda
- Biztonsági rendszergazda
- SharePoint-rendszergazda
- Felhasználói rendszergazda
Mi történik, ha más megoldást használok a többtényezős hitelesítéshez?
A többtényezős hitelesítés összevonás vagy a nemrég bejelentett külső hitelesítési módszerek megfelelnek a felügyelt szabályzat követelményeinek.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: