Megosztás a következőn keresztül:

Mi a feltételes hozzáférés?

  • Cikk

A modern biztonság a szervezet hálózati peremhálózatán túl is kiterjed a felhasználói és az eszközidentitásra. A szervezetek mostantól identitásalapú jeleket használnak hozzáférés-vezérlési döntéseik részeként. A Microsoft Entra Feltételes hozzáférés jeleket hoz össze, döntéseket hoz, és szervezeti szabályzatokat kényszerít ki. A feltételes hozzáférés a Microsoft Teljes felügyelet szabályzatmotorja, amely figyelembe veszi a különböző forrásokból származó jeleket a szabályzattal kapcsolatos döntések végrehajtásakor.

A feltételes hozzáférési jelek fogalmát és a szervezeti szabályzat kikényszerítésére vonatkozó döntést bemutató ábra.

A feltételes hozzáférési szabályzatok a legegyszerűbbek az if-then utasítások; ha egy felhasználó hozzá szeretne férni egy erőforráshoz, akkor végre kell hajtania egy műveletet. Például: Ha egy felhasználó olyan alkalmazást vagy szolgáltatást szeretne elérni, mint a Microsoft 365, akkor többtényezős hitelesítést kell végrehajtania a hozzáférés eléréséhez.

A rendszergazdáknak két elsődleges céljuk van:

  • A felhasználók hatékony munkavégzésének elősegítése bárhol és bármikor
  • A szervezet eszközeinek védelme

A feltételes hozzáférési szabályzatokkal szükség esetén a megfelelő hozzáférési vezérlőket alkalmazhatja a szervezet biztonsága érdekében.

Fontos

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Gyakori jelek

A feltételes hozzáférés figyelembe veszi a különböző forrásokból származó jeleket a hozzáférési döntések meghozatalakor.

Diagram a feltételes hozzáférésről, mint a különböző forrásokból származó jeleket összesítő Teljes felügyelet házirendmotorról.

Ezek a jelek a következők:

  • Felhasználó- vagy csoporttagság
    • A szabályzatok meghatározott felhasználókra és csoportokra irányulhatnak, így a rendszergazdák részletesen szabályozhatják a hozzáférést.
  • IP-cím helyének adatai
    • A szervezetek megbízható IP-címtartományokat hozhatnak létre, amelyek felhasználhatók a házirend-döntések meghozatalakor.
    • A rendszergazdák teljes ország/régió IP-tartományt adhatnak meg a forgalom letiltásához vagy engedélyezéséhez.
  • Eszköz
    • A feltételes hozzáférési szabályzatok kikényszerítésekor az adott platformon vagy adott állapotban megjelölt eszközökkel rendelkező felhasználók használhatók.
    • Az eszközök szűrőinek használatával szabályzatokat célozhat meg bizonyos eszközökre, például emelt szintű hozzáférési munkaállomásokra.
  • Alkalmazás
    • Az adott alkalmazásokat elérni próbáló felhasználók különböző feltételes hozzáférési szabályzatokat aktiválhatnak.
  • Valós idejű és számított kockázatészlelés
    • A Microsoft Entra ID-védelem jelintegrációja lehetővé teszi a feltételes hozzáférési szabályzatok számára a kockázatos felhasználók azonosítását és elhárítását, valamint a bejelentkezési viselkedést.
  • Felhőhöz készült Microsoft Defender-alkalmazások
    • Lehetővé teszi a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozását és ellenőrzését. Ez az integráció növeli a felhőkörnyezeten belüli hozzáférés és tevékenységek láthatóságát és ellenőrzését.

Gyakori döntések

  • Hozzáférés letiltása
    • A legszigorúbb döntés
  • Hozzáférés biztosítása
    • A kevésbé korlátozó döntéshez az alábbi lehetőségek közül legalább egy szükséges:
      • Többtényezős hitelesítés megkövetelése
      • Hitelesítés erősségének megkövetelése
      • Az eszköz megfelelőként való megjelölésének megkövetelése
      • Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése
      • Jóváhagyott ügyfélalkalmazás megkövetelése
      • Alkalmazásvédelmi szabályzat megkövetelése
      • Jelszómódosítás megkövetelése
      • Használati feltételek megkövetelése

Általánosan alkalmazott szabályzatok

Számos szervezet rendelkezik olyan gyakori hozzáférési problémákkal, amelyekben a feltételes hozzáférési szabályzatok segíthetnek, például:

  • Többtényezős hitelesítés megkövetelése rendszergazdai szerepkörrel rendelkező felhasználók számára
  • Többtényezős hitelesítés megkövetelése az Azure felügyeleti feladataihoz
  • Az örökölt hitelesítési protokollokat használó felhasználók bejelentkezéseinek letiltása
  • Megbízható helyek megkövetelése a biztonsági adatok regisztrálásához
  • Hozzáférés letiltása vagy engedélyezése adott helyekről
  • Kockázatos bejelentkezési viselkedések blokkolása
  • Szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz

A rendszergazdák a portál sablonszabályzatából vagy a Microsoft Graph API-val hozhatnak létre szabályzatokat az alapoktól kezdve.

Rendszergazdai élmény

A feltételes hozzáférési rendszergazdai szerepkörrel rendelkező rendszergazdák kezelhetik a szabályzatokat.

A feltételes hozzáférés a Microsoft Entra Felügyeleti központban, a Feltételes hozzáférés védelme>területen található.

Képernyőkép a feltételes hozzáférés áttekintési oldaláról.

  • Az Áttekintés oldal a szabályzatállapot, a felhasználók, az eszközök és az alkalmazások, valamint az általános és biztonsági riasztások összegzését tartalmazza javaslatokkal.
  • A Lefedettség lap az alkalmazások összefoglalóját tartalmazza az elmúlt hét nap feltételes hozzáférési szabályzatának lefedettségével és anélkül.
  • A Figyelés lapon a rendszergazdák megtekinthetik a bejelentkezések gráfját, amely szűrhető a szabályzatlefedettség esetleges hiányosságainak megtekintéséhez.

A Szabályzatok lapon a feltételes hozzáférési szabályzatokat a rendszergazdák szűrhetik olyan elemek alapján, mint az aktor, a célerőforrás, a feltétel, az alkalmazott vezérlőelem, az állapot vagy a dátum. Ez a szűrési lehetőség lehetővé teszi, hogy a rendszergazdák gyorsan megtalálják a konfigurációjuk alapján meghatározott szabályzatokat.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. A követelményeknek megfelelő licenc megkereséséhez tekintse meg a Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása című témakört.

A Microsoft 365 Vállalati prémium verzió licenccel rendelkező ügyfelek is hozzáférhetnek a feltételes hozzáférési funkciókhoz.

A kockázatalapú szabályzatok hozzáférést igényelnek a Microsoft Entra ID-védelem, amelyhez P2-licencek szükségesek.

A feltételes hozzáférési szabályzatokat használó egyéb termékek és funkciók megfelelő licencelést igényelnek ezekhez a termékekhez és szolgáltatásokhoz.

Ha a feltételes hozzáféréshez szükséges licencek lejárnak, a szabályzatok nem lesznek automatikusan letiltva vagy törölve. Ez lehetővé teszi az ügyfelek számára, hogy anélkül migrálhassanak a feltételes hozzáférési szabályzatokból, hogy hirtelen megváltozik a biztonsági helyzetük. A fennmaradó szabályzatok megtekinthetők és törölhetők, de már nem frissíthetők.

A biztonsági alapértékek segítenek megvédeni az identitással kapcsolatos támadásokat, és minden ügyfél számára elérhetők.

Teljes felügyelet

Ez a funkció segít a szervezeteknek abban, hogy identitásaikat a Teljes felügyelet architektúra három vezérelveihez igazíthassák:

  • Explicit ellenőrzés
  • Minimális jogosultság használata
  • A szabálysértés feltételezése

Ha többet szeretne megtudni a Teljes felügyelet és a szervezetnek az irányelvekkel való igazításának egyéb módjairól, tekintse meg a Teljes felügyelet Útmutató központot.

Következő lépések