Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Áttekintés
A feltételes hozzáférés üzembe helyezésének megtervezése kritikus fontosságú a szervezet alkalmazásokra és erőforrásokra vonatkozó hozzáférési stratégiájának eléréséhez. A feltételes hozzáférési szabályzatok jelentős rugalmasságot biztosítanak a konfigurációhoz. Ez a rugalmasság azonban azt jelenti, hogy gondosan kell megterveznie, hogy elkerülje a nemkívánatos eredményeket.
Microsoft Entra Feltételes hozzáférés olyan jeleket egyesít, mint a felhasználó, az eszköz és a hely, hogy automatizálja a döntéseket, és kikényszerítse a szervezeti hozzáférési szabályzatokat az erőforrásokhoz. A feltételes hozzáférési szabályzatok segítenek kiegyensúlyozni a biztonságot és a hatékonyságot azáltal, hogy szükség esetén érvényesítik a biztonsági intézkedéseket, és nem zavarják a felhasználót, ha erre nincs szükség.
A feltételes hozzáférés Microsoft Teljes felügyelet biztonsági szabályzatmotorjának alapja.
Microsoft biztonsági alapértelmezett beállításokat biztosít, amelyek a P1 vagy P2 Microsoft Entra ID nélküli bérlők alapvető biztonsági szintjét biztosítják. A feltételes hozzáféréssel olyan szabályzatokat hozhat létre, amelyek ugyanolyan védelmet nyújtanak, mint a biztonsági alapértékek, de részletesebben. A feltételes hozzáférés és a biztonsági alapértelmezett beállítások nem kombinálhatók, mert a feltételes hozzáférési szabályzatok létrehozása megakadályozza a biztonsági alapértelmezett beállítások engedélyezését.
Előfeltételek
- Egy működő Microsoft Entra bérlő, amelyen engedélyezve van Microsoft Entra ID P1, P2 vagy próbaverziós licenc. Ha szükséges, hozzon létre egyet ingyen.
- Microsoft Entra ID P2-nek Microsoft Entra ID-védelem kockázatot kell tartalmaznia a feltételes hozzáférési szabályzatokban.
- A feltételes hozzáféréssel kommunikáló rendszergazdáknak az alábbi szerepkör-hozzárendelések egyikére van szükségük, attól függően, hogy milyen feladatokat végeznek. A Teljes felügyelet minimális jogosultság elvének követéséhez fontolja meg a Privileged Identity Management (PIM) használatát a kiemelt szerepkör-hozzárendelések időben történő aktiválásához.
- Olvassa el a feltételes hozzáférési szabályzatokat és konfigurációkat.
- Ideiglenesen törölt feltételes hozzáférési szabályzatok létrehozása, módosítása vagy helyreállítása.
- Egy tesztfelhasználó (nem rendszergazda) ellenőrzi, hogy a szabályzatok a várt módon működnek-e, mielőtt üzembe helyeznénk a valós felhasználókat. Ha létre kell hoznia egy felhasználót, tekintse meg a Gyorsútmutató: Új felhasználók hozzáadása a Microsoft Entra ID-hez.
- A tesztfelhasználót tartalmazó csoport. Ha létre kell hoznia egy csoportot, olvassa el a Csoport létrehozása és tagok hozzáadása Microsoft Entra ID című témakört.
Változás közlése
A kommunikáció kritikus fontosságú az új funkciók sikeressége szempontjából. Tudassa a felhasználókkal, hogyan változik a felhasználói élményük, mikor változik, és hogyan kérhetnek támogatást, ha problémáik vannak.
Feltételes hozzáférési szabályzatok komponensei
A feltételes hozzáférési szabályzatok határozzák meg, hogy kik férhetnek hozzá az erőforrásokhoz, milyen erőforrásokhoz férhetnek hozzá, és milyen feltételek mellett. A szabályzatok hozzáférést biztosíthatnak, korlátozhatják a hozzáférést a munkamenet-vezérlőkkel, vagy letilthatják a hozzáférést. Feltételes hozzáférési szabályzatot az alábbi if-then utasítások definiálásával hozhat létre:
| Ha egy feladat teljesül | A hozzáférési vezérlők alkalmazása |
|---|---|
| Ha Ön a Finance felhasználója, és hozzáfér a bérszámfejtési alkalmazáshoz | Többtényezős hitelesítés és megfelelő eszköz megkövetelése |
| Ha nem tagja a pénzügyi részlegnek, akkor nem fér hozzá a bérszámfejtési alkalmazáshoz. | Hozzáférés letiltása |
| Ha a felhasználói kockázat magas | Többtényezős hitelesítés és biztonságos jelszómódosítás megkövetelése |
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök. Javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:
-
Vészelérési vagy vészhelyzeti fiókok a házirend helytelen konfigurációjából adódó zárolás elkerülése érdekében. Abban a valószínűtlen esetben, amikor az összes rendszergazda ki van zárva, a segélyhívási hozzáférés felügyeleti fiókja használható a bejelentkezéshez és a hozzáférés helyreállításához.
- További információt a A segélyhívási fiókok kezelése Microsoft Entra ID című cikkben talál.
-
Service-fiókok és Szolgáltatásfőkulcsok, például a Microsoft Entra Connect Sync fiók. A szolgáltatásfiókok neminteraktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában a háttérszolgáltatások használják az alkalmazások programozott hozzáférésének engedélyezésére, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezésre. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata a feladatidentitásokhoz a szolgáltatási alapegységekre vonatkozó szabályzatok meghatározásához.
- Ha a szervezet szkriptekben vagy kódban használja ezeket a fiókokat, cserélje le őket felügyelt identitásokra.
Tegye fel a megfelelő kérdéseket
Az alábbiakban gyakori kérdéseket talál a hozzárendelésekkel és a hozzáférés-vezérléssel kapcsolatban. A szabályzat létrehozása előtt jegyezze fel az egyes szabályzatok válaszait.
Felhasználók vagy számítási feladatok identitásai
- Mely felhasználók, csoportok, címtárszerepkörök vagy számítási feladatok identitásai szerepelnek a szabályzatban, vagy ki vannak zárva a szabályzatból?
- Milyen vészhelyzeti hozzáférési fiókokat vagy csoportokat zárjon ki a szabályzatból?
Célerőforrások
Ez a szabályzat alkalmazásra, felhasználói műveletre vagy hitelesítési környezetre vonatkozik? Ha igen:
- Milyen alkalmazásokra vagy szolgáltatásokra vonatkozik a szabályzat?
- Milyen felhasználói műveletekre vonatkozik ez a szabályzat?
- Milyen hitelesítési környezetekre vonatkozik ez a szabályzat?
Alkalmazások szűrése
- Tetszőleges számú alkalmazás egyszerűen méretezhető és célba skálázható
- Hasonló szabályzati követelményekkel rendelkező alkalmazások kezelése
- Az egyes szabályzatok számának csökkentése
- A szabályzatok szerkesztése során felmerülő hibák csökkentése: Nem kell manuálisan hozzáadni vagy eltávolítani az alkalmazásokat a szabályzatból. Csak kezelje az attribútumokat.
- Szabályzatméret-korlátozások leküzdése
Feltételek
- Mely eszközplatformokat tartalmazza vagy zárja ki a szabályzat?
- Mik a szervezet ismert hálózati helyei?
- Milyen helyek szerepelnek a szabályzatban, vagy ki vannak zárva a szabályzatból?
- Milyen ügyfélalkalmazás-típusokat tartalmaz vagy zár ki a szabályzat?
- Meg kell céloznia bizonyos eszközattribútumokat?
- Ha Microsoft Entra ID-védelem használ, be szeretné építeni a bejelentkezési vagy felhasználói kockázatot?
Vezérlők letiltása vagy engedélyezése
Szeretne hozzáférést biztosítani az erőforrásokhoz az alábbiak közül egy vagy több megkövetelésével?
- Többtényezős hitelesítés
- Megfelelőként megjelölt eszköz
- Microsoft Entra hibrid csatlakoztatott eszköz használata
- Jóváhagyott ügyfélalkalmazás használata
- Alkalmazásvédelem szabályzat alkalmazva
- Jelszó módosítása
- Elfogadott használati feltételek
A hozzáférés blokkolása egy hatékony eszköz. Csak akkor alkalmazza, ha tisztában van a hatásával. A blokk-utasításokat tartalmazó szabályzatok nem kívánt mellékhatásokkal járhatnak. Tesztelje és érvényesítse, mielőtt a vezérlőt nagy léptékben engedélyezné. A módosítások lehetséges hatásainak megértéséhez használja a szabályzatok hatását vagy a csak jelentéskészítési módot .
Munkamenet-vezérlők
Szeretné kikényszeríteni az alábbi hozzáférési vezérlők valamelyikét a felhőalkalmazásokon?
- Alkalmazás által kikényszerített korlátozások használata
- Feltételes hozzáférésű alkalmazásvezérlő használata
- Bejelentkezési gyakoriság kényszerítése
- Állandó böngésző munkamenetek használata
- Folyamatos hozzáférés-kiértékelés testreszabása
Szabályzatok kombinálása
Szabályzatok létrehozásakor és hozzárendelésekor fontolja meg a hozzáférési jogkivonatok működését. A hozzáférési jogkivonatok hozzáférést biztosítanak vagy tiltanak attól függően, hogy a kérést küldő felhasználó jogosult-e és hitelesítve van-e. Ha a kérelmező bizonyítja, hogy ők azok, akiknek vallják magukat, használhatják a védett erőforrásokat vagy funkciókat.
A hozzáférési jogkivonatok alapértelmezés szerint ki vannak adva, ha egy feltételes hozzáférési szabályzatfeltétel nem indít el hozzáférés-vezérlést.
Ez a szabályzat nem akadályozza meg, hogy az alkalmazás önmagában blokkolja a hozzáférést.
Vegyük például egy egyszerűsített szabályzat példáját, ahol:
Felhasználók: PÉNZÜGYI CSOPORT
Hozzáférés: PAYROLL alkalmazás
Hozzáférés-vezérlés: Többtényezős hitelesítés
- Az A felhasználó a PÉNZÜGYI CSOPORTBAN van, többtényezős hitelesítést kell végrehajtania a PAYROLL ALKALMAZÁS eléréséhez.
- A B felhasználó nem szerepel a PÉNZÜGYI CSOPORTBAN, hozzáférési jogkivonatot ad ki, és többtényezős hitelesítés nélkül is hozzáférhet a PAYROLL ALKALMAZÁShoz.
Annak érdekében, hogy a pénzügyi csoporton kívüli felhasználók ne férhessenek hozzá a bérszámfejtési alkalmazáshoz, hozzon létre egy külön szabályzatot, amely letiltja az összes többi felhasználót, például ezt az egyszerűsített szabályzatot:
Felhasználók: Az összes felhasználó belefoglalása/PÉNZÜGYI CSOPORT kizárása
Hozzáférés: PAYROLL alkalmazás
Hozzáférés-vezérlés: Hozzáférés letiltása
Most, amikor a B felhasználó megpróbálja elérni a PAYROLL ALKALMAZÁST, a rendszer letiltja őket.
Ajánlások
A feltételes hozzáféréssel és más ügyfelek támogatásával kapcsolatos tapasztalataink alapján íme néhány javaslat.
Feltételes hozzáférési szabályzatok alkalmazása minden alkalmazásra
Győződjön meg arról, hogy minden alkalmazáshoz legalább egy feltételes hozzáférési szabályzat van alkalmazva. Biztonsági szempontból jobb, ha minden erőforrást tartalmazó szabályzatot hoz létre (korábbi nevén "Minden felhőalkalmazás"). Ez a gyakorlat biztosítja, hogy nem kell frissítenie a feltételes hozzáférési szabályzatokat minden alkalommal, amikor új alkalmazást készít.
Tipp.
Legyen óvatos, ha blokkokat és minden erőforrást egyetlen szabályzatban használ. Ez a kombináció kizárhatja a rendszergazdákat, és a kizárások nem konfigurálhatók olyan fontos végpontokhoz, mint például a Microsoft Graph.
A feltételes hozzáférési szabályzatok számának minimalizálása
Az alkalmazásonkénti szabályzatok létrehozása nem hatékony, és megnehezíti azok kezelését. A feltételes hozzáférés legfeljebb 240 szabályzatot engedélyez bérlőnként. Ez a 240-szabályzatos korlát bármilyen állapotban lévő feltételes hozzáférési szabályzatokat tartalmaz, beleértve a jelentéskészítési módot, aktív vagy inaktív állapotban.
Elemezze az alkalmazásokat, és csoportosítsa őket ugyanazon felhasználók erőforrás-követelményei szerint. Ha például minden Microsoft 365 alkalmazásnak vagy az összes HR-alkalmazásnak ugyanazok a követelményei ugyanazokra a felhasználókra vonatkozóan, hozzon létre egyetlen szabályzatot, és tartalmazza az összes alkalmazást, amelyekre vonatkozik.
A feltételes hozzáférési szabályzatok egy JSON-fájlban találhatók, és a fájl méretkorlátja általában nem haladja meg az egyetlen házirendet. Ha a szabályzatban hosszú GUID-listát használ, előfordulhat, hogy eléri ezt a korlátot. Ha ezeket a korlátokat tapasztalja, próbálkozzon az alábbi lehetőségekkel:
- Csoportok vagy szerepkörök használata felhasználók belefoglalására vagy kizárására ahelyett, hogy az egyes felhasználókat külön-külön sorolja fel.
- Alkalmazzon szűrőt az alkalmazások bevonására vagy kizárására az alkalmazások egyenkénti megadása helyett.
A csak jelentési mód konfigurálása
Szabályzatok engedélyezése csak jelentés módban. Miután csak jelentés módban mentett egy szabályzatot, a bejelentkezési naplókban láthatja a valós idejű bejelentkezésekre gyakorolt hatást. A bejelentkezési naplókban válasszon ki egy eseményt, és lépjen a Csak jelentés lapra az egyes csak jelentésalapú szabályzatok eredményeinek megtekintéséhez.
Tekintse meg a feltételes hozzáférési szabályzatok összesített hatásait az Insights és a Reporting munkafüzetben. A munkafüzet eléréséhez szüksége van egy Azure Monitor-előfizetésre, és bejelentkezési naplóit egy naplóanalitikai munkaterületre kell streamelnie.
Fennakadások tervezése
A szervezet rugalmassági stratégiáinak tervezésével csökkentheti az előre nem látható fennakadások miatti kimaradás kockázatát.
Védett műveletek engedélyezése
Engedélyezze a védett műveleteket egy másik biztonsági réteg hozzáadásához a feltételes hozzáférési szabályzatok létrehozására, módosítására vagy törlésére tett kísérletekhez. A szabályzat módosítása előtt a szervezetek új, többtényezős hitelesítést vagy egyéb engedélyezési vezérlést igényelhetnek.
Vendégfelhasználói beállítások konfigurálása
Olyan külső szervezetek esetében, amelyek ismerik és kapcsolatban állnak egymással, érdemes lehet megbízni a vendégek által a feltételes hozzáférési szabályzatokban bemutatott többtényezős hitelesítésben, eszközmegfelelésben vagy hibrid eszközjogcímekben. További információt a B2B-együttműködés bérlők közötti hozzáférési beállításainak kezelése című témakörben talál. A B2B-felhasználók Microsoft Entra ID-védelem-nel való együttműködésével kapcsolatban van néhány figyelmeztetés. További információért lásd a Microsoft Entra ID-védelem B2B-felhasználók számára című részt.
Elnevezési szabványok beállítása a szabályzatokhoz
Az elnevezési szabvány segít megtalálni a szabályzatokat és megérteni azok célját anélkül, hogy megnyitná őket. Adja meg a megjelenítendő szabályzatot:
- Sorozatszám
- Azok a felhőalkalmazások, amelyekre vonatkozik
- A válasz
- Kire vonatkozik?
- Amikor alkalmazható
Example: A külső hálózatokról a Dynamics CRP-alkalmazást elérő marketingfelhasználók MFA-jának megkövetelésére vonatkozó szabályzat a következő lehet:
Egy leíró név segít áttekinteni a feltételes hozzáférés implementációját. A sorszám akkor hasznos, ha egy beszélgetésben egy szabályzatra kell hivatkoznia. Ha például telefonon beszél egy rendszergazdával, megkérheti őket, hogy nyissák meg a CA01 szabályzatot a probléma megoldásához.
A vészhelyzeti hozzáférés-vezérlés elnevezési szabványai
Az aktív szabályzatokon kívül olyan letiltott szabályzatokat is implementálhat, amelyek másodlagos rugalmas hozzáférés-vezérlésként működnek kimaradás vagy vészhelyzet esetén. A készenléti szabályzatok elnevezési szabványának a következőket kell tartalmaznia:
- AZ ELEJÉN ENGEDÉLYEZZE VÉSZHELYZETBEN, hogy a név kitűnjön a többi szabályzat közül.
- Az a zavar megnevezése, amelyre alkalmazandó.
- Egy sorrendszám, amely segít a rendszergazdának tudni, hogy mely rendelési szabályzatokat kell engedélyezni.
Példa: Az alábbi név azt mutatja, hogy ez a szabályzat az első a négy olyan szabályzat közül, amelyek MFA-fennakadás esetén engedélyezve vannak:
- EM01 – Engedélyezés vészhelyzetben: MFA-fennakadás [1/4] – Exchange SharePoint: Microsoft Entra hibrid csatlakozás megkövetelése a VIP-felhasználók számára.
Tiltsa le azokat az országokat/régiókat, amelyekből soha nem vár bejelentkezést
Microsoft Entra ID lehetővé teszi nevezett helyek létrehozását. Hozzon létre egy listát az engedélyezett országokról/régiókról, majd hozzon létre egy hálózati blokkszabályzatot, amely kizárja ezeket az "engedélyezett országokat/régiókat". Ez a beállítás kevesebb többletterhelést okoz a kisebb földrajzi helyeken lévő ügyfelek számára. Mindenképpen zárja ki a vészhelyzeti hozzáférési fiókokat ebből a szabályzatból.
Feltételes hozzáférési szabályzatok üzembe helyezése
Ha elkészült, fázisokban helyezze üzembe a feltételes hozzáférési szabályzatokat. Kezdje néhány alapvető feltételes hozzáférési szabályzattal, például az alábbi szabályzatokkal. Számos szabályzat feltételes hozzáférési szabályzatsablonként érhető el. Alapértelmezés szerint minden sablonból létrehozott szabályzat csak jelentés módban van. Az egyes szabályzatok bekapcsolása előtt tesztelje és figyelje a használatot a kívánt eredmény biztosítása érdekében.
A következő három fázisban üzembe helyezhet házirendeket a biztonsági fejlesztések és a minimális felhasználói fennakadások kiegyensúlyozása érdekében. A szervezetek méretük, összetettségük és változáskezelési képességeik alapján módosíthatják az ütemterveket.
Fontos
A szabályzatok üzembe helyezése előtt:
- Ellenőrizze, hogy a vészhelyzeti hozzáférési fiókok nincsenek-e kizárva az összes szabályzatból
- Szabályzatok tesztelése egy próbacsoporttal a teljes szervezetre kiterjedő bevezetés előtt
- Győződjön meg arról, hogy a felhasználók regisztrálták a szükséges hitelesítési módszereket
- Az érintett felhasználók módosításainak közlése és a támogató dokumentáció biztosítása
1. fázis: Alapozás (1-2. hét)
Alapszintű biztonsági vezérlők létrehozása és az MFA-kényszerítés előkészítése. Előfeltételek: A kényszerítési szabályzatok engedélyezése előtt győződjön meg arról, hogy a felhasználók regisztrálhatnak az MFA-ra.
| Feltételes hozzáférési szabályzat | Scenario | Licenckövetelmény |
|---|---|---|
| Régi hitelesítési folyamat letiltása | Minden felhasználó | Microsoft Entra ID P1 |
| Az MFA-regisztráció (Saját biztonsági adatok) oldal védelme | Minden felhasználó | Microsoft Entra ID P1 |
| Privileged Microsoft Entra beépített szerepkörök adathalászat-ellenálló módszereket kényszerítenek | Kiemelt jogosultságú felhasználók | Microsoft Entra ID P1 |
2. fázis: Alapvető hitelesítés (2–3. hét)
Az MFA kényszerítése minden felhasználóra és vendégre, valamint a mobileszközök védelme alkalmazásvédelmi szabályzatokkal. Főbb hatások: A felhasználóknak minden bejelentkezéshez MFA-t kell használniuk, és jóváhagyott alkalmazásokat kell használniuk mobileszközökön alkalmazásvédelemmel. Győződjön meg arról, hogy a kommunikációs terv végrehajtásra kerül, és rendelkezésre állnak támogatási erőforrások.
| Feltételes hozzáférési szabályzat | Scenario | Licenckövetelmény |
|---|---|---|
| Minden felhasználói bejelentkezési tevékenység erős hitelesítési módszereket használ | Minden felhasználó | Microsoft Entra ID P1 |
| A vendéghozzáférést erős hitelesítési módszerek védik | Vendéghozzáférés | Microsoft Entra ID P1 |
| Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése | Mobilfelhasználók | Microsoft Entra ID P1 |
| Többtényezős hitelesítés megkövetelése az eszközcsatlakozáshoz és az eszközregisztrációhoz felhasználói művelet használatával | Minden felhasználó | Microsoft Entra ID P1 |
3. fázis: Speciális védelem (3-4. hét)
Kockázatalapú szabályzatok és speciális támadás-megelőzési vezérlők hozzáadása. License követelmény: A kockázatalapú szabályzatok Microsoft Entra ID P2-licenceket igényelnek.
| Feltételes hozzáférési szabályzat | Scenario | Licenckövetelmény |
|---|---|---|
| A magas kockázatú bejelentkezések korlátozása | Minden felhasználó | Microsoft Entra ID P2 |
| A magas kockázatú felhasználók hozzáférésének korlátozása | Minden felhasználó | Microsoft Entra ID P2 |
| A felhasználói bejelentkezési tevékenység tokenalapú védelmet használ | Minden felhasználó | Microsoft Entra ID P1 |
| Eszközkód-folyamat korlátozása | Minden felhasználó | Microsoft Entra ID P1 |
| A hitelesítési átvitel le van tiltva | Minden felhasználó | Microsoft Entra ID P1 |
| A Privileged Access Workstations (PAW) esetében a feltételes hozzáférési szabályok konfigurálása megtörtént | Kiemelt jogosultságú felhasználók | Microsoft Entra ID P1 |
Tipp.
Engedélyezze az egyes szabályzatokat csak jelentéskészítési módban legalább egy héttel a kényszerítés előtt. Mielőtt továbblépne a következő fázisra, tekintse át a bejelentkezési naplókat, és közölje a módosításokat a felhasználókkal.
Megjegyzés:
A kiváltságos hozzáférésű munkaállomások (PAW) jelentős infrastruktúra-tervezést igényelnek. A szervezetek csak akkor implementálhatják ezt a szabályzatot, ha létrehoznak egy PAW üzembehelyezési stratégiát, és biztonságos eszközöket építenek ki a kiemelt felhasználók számára.
A szabályzat hatásának kiértékelése
Az elérhető eszközökkel ellenőrizheti a szabályzatok hatását a módosítások végrehajtása előtt és után. A szimulált futtatás jó képet ad arról, hogy a feltételes hozzáférési szabályzat hogyan befolyásolja a bejelentkezést, de nem helyettesíti a tényleges tesztfuttatást egy megfelelően konfigurált fejlesztői környezetben.
A rendszergazdák megerősíthetik a házirend-beállításokat a házirend hatásának ellenőrzésével vagy csak jelentési módban.
Szabályzatok tesztelése
Győződjön meg arról, hogy teszteli egy szabályzat kizárási feltételeit. Kizárhat például egy felhasználót vagy csoportot egy MFA-t igénylő szabályzatból. Ellenőrizze, hogy a kizárt felhasználók MFA-t kérnek-e, mert más szabályzatok kombinációja MFA-t igényelhet ezekhez a felhasználókhoz.
Futtassa az egyes teszteket a teszttervben a tesztfelhasználókkal. A tesztterv segít a várt és a tényleges eredmények összehasonlításában.
Üzembe helyezés éles környezetben
Miután megerősítette a beállításait a szabályzat hatása vagy a csak jelentési mód segítségével, állítsa a Házirend engedélyezése kapcsolót Csak jelentésrőlBe állásra.
Szabályzatok visszaállítása
Ha vissza kell állítania az újonnan implementált szabályzatokat, használja az alábbi lehetőségek egyikét:
Tiltsa le a szabályzatot. A szabályzatok letiltásával biztosítható, hogy az ne legyen érvényes, amikor egy felhasználó megpróbál bejelentkezni. Bármikor visszatérhet, és engedélyezheti a szabályzatot, amikor használni szeretné.
Felhasználó vagy csoport kizárása szabályzatból. Ha egy felhasználó nem fér hozzá az alkalmazáshoz, zárja ki a felhasználót a szabályzatból.
Figyelemfelhívás
A kizárásokat takarékosan használja, csak olyan helyzetekben, amikor a felhasználó megbízható. A lehető leghamarabb vegye fel a felhasználókat a szabályzatba vagy csoportba.
Ha egy szabályzat le van tiltva, és már nincs rá szükség, törölje.
Törölt szabályzatok visszaállítása
Ha töröl egy feltételes hozzáférést vagy helyet, az 30 napos helyreállítható törlési időszakon belül visszaállítható. A feltételes hozzáférési szabályzatok és a névvel ellátott helyek visszaállításáról további információt a törlésből való helyreállítás című cikkben talál.
Feltételes hozzáférési szabályzatok hibaelhárítása
Ha egy felhasználónál probléma merül fel a feltételes hozzáférési szabályzattal kapcsolatban, gyűjtse össze ezeket az információkat a hibaelhárításhoz.
- Felhasználói azonosító név
- Felhasználó megjelenítendő neve
- Operációs rendszer neve
- Időbélyeg (közelítő időpont jó)
- Célalkalmazás
- Ügyfélalkalmazás típusa (böngésző vagy ügyfél)
- Korrelációs azonosító (ez az azonosító egyedi a bejelentkezéshez)
Ha a felhasználó egy További részletek hivatkozással ellátott üzenetet kap, a legtöbb információt összegyűjtheti Önnek.
Az információk összegyűjtése után tekintse meg az alábbi erőforrásokat:
- A feltételes hozzáféréssel kapcsolatos bejelentkezési problémák – Ismerje meg a feltételes hozzáféréssel kapcsolatos váratlan bejelentkezési eredményeket hibaüzenetek és a Microsoft Entra bejelentkezési napló használatával.
- A Feltételes hozzáférés "Mi lenne, ha?" eszköz – Megtudhatja, hogy egy szabályzat miért van, vagy miért nincs alkalmazva egy adott helyzetben lévő felhasználóra, vagy hogy egy szabályzat alkalmazásra kerül-e egy ismert állapotban.
Kapcsolódó tartalom
- További információ a többtényezős hitelesítésről
- Tudjon meg többet a Microsoft Entra ID-védelem szolgáltatásról
Feltételes hozzáférési szabályzatok kezelése a Microsoft Graph API