Megfelelő eszköz vagy Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése rendszergazdák számára

Áttekintés

A rendszergazdai jogosultságokkal rendelkező fiókok a támadók célpontjai. Az ilyen kiemelt jogosultságokkal rendelkező felhasználók megfelelőként megjelölt vagy Microsoft Entra hibrid csatlakoztatással rendelkező eszközök műveleteinek megkövetelése segíthet korlátozni a lehetséges expozíciót.

Az eszközmegfelelési szabályzatokról további információt az Eszközökre vonatkozó szabályok beállítása az Intune használatával a szervezet erőforrásaihoz való hozzáférés engedélyezéséhez című cikkben talál.

A Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése attól függ, hogy az eszközök már Microsoft Entra hibrid csatlakoztatva vannak. További információért lásd a Microsoft Entra hibrid illesztés konfigurálása cikket.

A Microsoft azt javasolja, hogy legalább az alábbi szerepkörökön megkövetelje az adathalászatnak ellenálló többtényezős hitelesítést:

  • Globális rendszergazda
  • alkalmazás-rendszergazda
  • Hitelesítési rendszergazda
  • Számlázási rendszergazda
  • Felhőalkalmazás-rendszergazda
  • Feltételes hozzáférésű rendszergazda
  • Exchange-rendszergazda
  • Ügyfélszolgálati rendszergazda
  • Jelszóadminisztrátor
  • Kiemelt hitelesítési rendszergazda
  • Kiemelt szerepkörű rendszergazda
  • Biztonsági rendszergazda
  • SharePoint rendszergazda
  • Felhasználói rendszergazda

A szervezetek dönthetnek úgy, hogy belefoglalják vagy kizárják a szerepköröket, ahogy megfelelőnek látják.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök. Javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

  • Vészkijárati hozzáférési vagy vészhelyzeti fiókok a zárolás elkerülésére a házirend hibás konfigurációja miatt. Abban a valószínűtlen esetben, amikor az összes rendszergazda ki van zárva, a segélyhívási hozzáférés felügyeleti fiókja használható a bejelentkezéshez és a hozzáférés helyreállításához.
  • Service-fiókok és Szolgáltatásfőnevek, például a Microsoft Entra Connect Szinkronizálási Fiók. A szolgáltatásfiókok neminteraktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában a háttérszolgáltatások használják az alkalmazások programozott hozzáférésének engedélyezésére, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezésre. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférést használjon a munkaterhelés-identitásokhoz, hogy szabályokat határozzon meg a szolgáltatásfőbb komponensekre.

Template deployment

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával helyezhetik üzembe ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési házirendet, amely többtényezős hitelesítést igényel, az erőforrásokhoz hozzáférő eszközök megfeleljenek a szervezet Intune megfelelőségi szabályzatainak, vagy a Microsoft Entra által hibrid csatlakoztatott legyen.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább Feltételes hozzáférés rendszergazdaként.
  2. Keresse meg az Entra ID>feltételes hozzáférési>szabályzatokat.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Hozzon létre egy értelmes szabványt a szabályzatok nevéhez.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.

    1. A Belefoglalás résznél válassza a Címtárszerepkörök lehetőséget, és válassza ki legalább a korábban felsorolt szerepköröket.

      Figyelmeztetés

      A feltételes hozzáférési szabályzatok támogatják a beépített szerepköröket. A feltételes hozzáférési szabályzatok nem lesznek kényszerítve más szerepkörtípusokra, például felügyeleti egységekre vagyegyéni szerepkörökre.

    2. A Kizárás kategória alatt válassza a Felhasználók és csoportok lehetőséget, és jelölje ki a szervezet vészhelyzeti hozzáféréseit vagy break-glass fiókjait.

  6. A Célerőforrások>Erőforrások (korábbi nevén felhőalkalmazások)>Tartalmazza részben válassza a Összes erőforrás (korábbi nevén 'Összes felhőalkalmazás') lehetőséget.
  7. A Hozzáférés-vezérlési beállítások>Engedélyezés.
    1. Válassza a Az eszköz megkövetelése a megfelelőséghez jelölve és a Microsoft Entra hibrid csatlakozott eszköz megkövetelése lehetőséget.
    2. Több vezérlő esetén válassza a Kijelölt vezérlők egyikének megkövetelése lehetőséget.
    3. Válassza a Válassza.
  8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése beállítást Csak jelentés értékre.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a szabályzat hatása vagy a csak jelentés mód használatával, kapcsolja át a Szabályzat engedélyezése kapcsolót a Csak jelentés funkcióról Be.

Megjegyzés

Az új eszközöket akkor is regisztrálhatja az Intune-ban, ha az előző lépések végrehajtásával az Összes felhasználó és minden erőforrás (korábban "Minden felhőalkalmazás") számára megfelelőkéntkell megjelölni az eszközt. Az eszköz megfelelő vezérlőként való megjelölésének megkövetelése nem blokkolja az Intune-regisztrációt.

Ismert viselkedés

Windows 7, iOS, Android, macOS és néhány nem Microsoft-webböngésző esetén Microsoft Entra ID azonosítja az eszközt egy ügyféltanúsítvány használatával, amely akkor van kiépítve, amikor az eszköz regisztrálva van Microsoft Entra ID. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer kéri a tanúsítvány kiválasztását. A végfelhasználónak ki kell választania ezt a tanúsítványt, mielőtt tovább használhatja a böngészőt.

Előfizetés aktiválása

A Subscription Activation funkciót használó szervezetek, amelyek lehetővé teszik, hogy a felhasználók az Windows egyik verziójáról a másikra "lépjenek fel", előfordulhat, hogy ki szeretné zárni a Windows Store vállalati verziós AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f azonosítót az eszközmegfelelési szabályzatából.

Kapcsolódó tartalom

  • Last updated on