Olvasás angol nyelven

Megosztás a következőn keresztül:

Hozzáférési példaházirend letiltása

  • Cikk

A konzervatív felhőbeli migrálási megközelítéssel rendelkező szervezetek esetében a minden szabályzat letiltása egy olyan lehetőség, amely használható.

Figyelemfelhívás

A blokkszabályzat helytelen konfigurálása a szervezetek zárolását eredményezheti.

Az ilyen szabályzatoknak nem kívánt mellékhatásai lehetnek. A megfelelő tesztelés és ellenőrzés elengedhetetlen az engedélyezés előtt. A rendszergazdáknak olyan eszközöket kell használniuk, mint a feltételes hozzáférés jelentéskészítési módja és a What If eszköz a feltételes hozzáférésben a módosítások végrehajtásakor.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • Vészelérési vagy üvegtörési fiókok a zárolás elkerülése érdekében, amely a házirend helytelen konfigurációja miatt következhet be. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. A szolgáltatási összetevők által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem blokkolják. Használjon feltételes hozzáférést munkafolyamati identitásokhoz a szolgáltatási főeseményekre vonatkozó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek feltételes hozzáférési szabályzatokat létrehozni az összes alkalmazáshoz való hozzáférés letiltásához, kivéve az Office 365-öt , ha a felhasználók nem megbízható hálózaton dolgoznak. Ezek a szabályzatok csak jelentés módban indulnak el, hogy a rendszergazdák megállapíthassák a meglévő felhasználókra gyakorolt hatást. Ha a rendszergazdák számára kényelmes, hogy a szabályzatok a kívánt módon legyenek érvényben, bekapcsolhatják őket.

Az első szabályzat letiltja az összes alkalmazás elérését, kivéve a Microsoft 365-alkalmazásokat, ha nem megbízható helyen.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételes hozzáférési adminisztrátorként.
  2. Keresse meg a >>szabályzatokat.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárások alatt válassza ki a Felhasználók és csoportok elemet, és jelölje ki a szervezet vészhelyzeti hozzáférési vagy vészhelyzeti fiókjait.
  6. A Célerőforrások> területen válassza a következő lehetőségeket:
    1. A Belefoglalás csoportban válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
    2. A Kizárás alatt válassza az Office 365, majd a Kiválasztás lehetőséget.
  7. Feltételek szerint:
    1. Feltételek szerinti >hely.
      1. Állítsa a Konfigurálás lehetőséget Igen értékre
      2. A Belefoglalás alatt válassza a Bármely hely lehetőséget.
      3. A Kizárás csoportban válassza az Összes megbízható hely lehetőséget.
    2. Az Ügyfélalkalmazások területen állítsa a Konfigurálás igen értékre, és válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>Engedélyezés területen válassza a Hozzáférés blokkolása lehetőséget, majd a Kiválasztás gombot.
  9. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése beállítást Csak jelentés módra.
  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat csak jelentéskészítési módban, áthelyezhetik a házirend engedélyezése kapcsolót Csak jelentés értékről Be értékre.

A következő szabályzat azért jön létre, hogy többtényezős hitelesítést vagy megfelelő eszközt igényeljen a Microsoft 365 felhasználói számára.

  1. Válassza az Új szabályzat létrehozása lehetőséget.
  2. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  3. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás alatt válassza a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférési vagy vészhelyzeti fiókjait.
  4. A célerőforrások>erőforrások (korábbi nevén felhőalkalmazások) beállításon válassza az > lehetőséget, válassza az Office 365 lehetőséget, és kattintson a > gombra.
  5. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Többtényezős hitelesítés megkövetelése és Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget, válassza a Kiválasztás lehetőséget.
    2. Győződjön meg arról, hogy a kijelölt vezérlők egyikének megkövetelése van kiválasztva.
    3. Válassza a lehetőséget.
  6. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése opciót csak jelentési módra.
  7. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat csak jelentéskészítő módban, áthelyezhetik az Engedélyezési házirend kapcsolótCsak jelentés mód értékről a Be módra.

Megjegyzés

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Következő lépések

Feltételes hozzáférési sablonok

Hatás meghatározása csak jelentési módban a feltételes hozzáférés használatával

A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.