Megosztás a következőn keresztül:

Többtényezős hitelesítés megkövetelése minden felhasználó számára

Ahogy Alex Weinert, a Microsoft identitásbiztonsági igazgatója a Saját Pa$$word című blogbejegyzésében említi, nem számít:

A jelszó nem számít, de az MFA igen! Tanulmányaink alapján a fiókja több mint 99,9%-kal kisebb valószínűséggel sérül meg, ha MFA-t használ.

A hitelesítés erőssége

A jelen cikk útmutatása segít a szervezetnek egy MFA-szabályzat létrehozásában a környezet számára a hitelesítési erősségek használatával. A Microsoft Entra ID három beépített hitelesítési erősséget biztosít:

  • A cikkben javasolt többtényezős hitelesítés erőssége (kevésbé korlátozó)
  • Jelszó nélküli MFA erőssége
  • Adathalászatnak ellenálló MFA erősség (legkorlátozóbb)

Használhatja az egyik beépített erősséget, vagy létrehozhat egyéni hitelesítési erősséget a kívánt hitelesítési módszerek alapján.

Külső felhasználói forgatókönyvek esetén az erőforrás-bérlő által elfogadható MFA hitelesítési módszerek attól függően változnak, hogy a felhasználó befejezi-e az MFA-t az otthoni bérlőjében vagy az erőforrás-bérlőben. További információ: Külső felhasználók hitelesítésének erőssége.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • Vészelérési vagy sürgősségi felhasználói fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatási főszereplők, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. A szolgáltatásiszolgáltatási főszemélyek által kezdeményezett hívásokat a felhasználókra alkalmazott feltételes hozzáférési szabályzatok nem korlátozzák. Használjon feltételes hozzáférést a munkafolyamatok azonosítóihoz a szolgáltatási entitások célzó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését.

Sablon telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy minden felhasználó többtényezős hitelesítést végezhessen a hitelesítési erősségű szabályzat használatával, alkalmazáskizárások nélkül.

Figyelmeztetés

külső hitelesítési módszerek jelenleg nem kompatibilisek a hitelesítés erősségével. A Többtényezős hitelesítés megkövetelése engedélyezés-vezérlést kell használnia.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba, mint legalább egy feltételes hozzáférés adminisztrátor.

  2. Keresse meg az Entra ID>feltételes hozzáférési>szabályzatokat.

  3. Válassza az Új szabályzat lehetőséget.

  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.

    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget
    2. A Kizárás alatt:
      1. Válasszon Felhasználók és csoportok
        1. Válassza ki a szervezet vészhelyzeti hozzáférési vagy úgynevezett "break-glass" fiókjait.
        2. Ha olyan hibrid identitáskezelési megoldásokat használ, mint a Microsoft Entra Connect vagy a Microsoft Entra Connect Cloud Sync, válassza címtárszerepköröket, majd válassza címtár-szinkronizálási fiókok
      2. Előfordulhat, hogy kizárhatja a vendégfelhasználókat, amennyiben vendégfelhasználói szabályzattal célozza meg őket.

  6. A Célerőforrások>Erőforrások (korábbi nevén felhőalkalmazások)>Tartalmazza, válassza az Összes erőforrás (korábbi nevén 'Összes felhőalkalmazás') lehetőséget.

    Borravaló

    A Microsoft azt javasolja, hogy minden szervezet hozzon létre egy alapkonfigurációs feltételes hozzáférési szabályzatot, amely a következőket célozza: Minden felhasználó, minden erőforrás alkalmazáskizárások nélkül, és többtényezős hitelesítést igényel.

  7. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.

    1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
    2. VálasszaKiválasztás.

  8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése opciót Csak jelentés módra.

  9. Válassza a Létrehozás lehetőséget a szabályzat aktiválásához.

Miután a rendszergazdák a házirend-beállításokat szabályzat-hatás vagy csak jelentésalapú mód használatával értékelték ki, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés funkcióról a Be értékre.

Nevesített helyek

A szervezetek dönthetnek úgy, hogy a feltételes hozzáférési szabályzataikba belefoglalják a nevesített helyek néven ismert hálózati helyeket . Ezek az elnevezett helyek olyan megbízható IP-hálózatokat tartalmazhatnak, mint a főirodai helyek. A névvel ellátott helyek konfigurálásáról további információt a Microsoft Entra Feltételes hozzáférés helyfeltételei című cikkben talál.

Az előző példaszabályzatban a szervezetek dönthetnek úgy, hogy nem igényelnek többtényezős hitelesítést, ha egy felhőalkalmazást a vállalati hálózatukról érnek el. Ebben az esetben a következő konfigurációt adhatják hozzá a szabályzathoz:

  1. A Hozzárendelések csoportban válassza a Hálózat lehetőséget.
    1. Állítsa be a "Yes" értéket.
    2. Adjon meg bármilyen hálózatot vagy helyet.
    3. Zárja ki az összes megbízható hálózatot és helyet.
  2. Mentse a szabályzat módosításait.

Kapcsolódó tartalom