Korábbi hitelesítés letiltása feltételes hozzáféréssel
Az örökölt hitelesítési protokollokhoz kapcsolódó megnövekedett kockázat miatt a Microsoft azt javasolja, hogy a szervezetek tiltsa le a hitelesítési kérelmeket ezekkel a protokollokkal, és követeljenek meg modern hitelesítést. További információ arról, hogy miért fontos az örökölt hitelesítés letiltása, olvassa el a Következő cikk : Az örökölt hitelesítés letiltása a Microsoft Entra-azonosítóra feltételes hozzáféréssel.
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:
- Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
- További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
Sablonalapú telepítés
A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.
Feltételes hozzáférési házirend létrehozása
Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot az örökölt hitelesítési kérések letiltásához. Ez a szabályzat csak jelentés módban indul el, így a rendszergazdák megállapíthatják, hogy milyen hatással vannak a meglévő felhasználókra. Ha a rendszergazdák számára kényelmes, hogy a szabályzat a kívánt módon érvényesüljön, bizonyos csoportok hozzáadásával és más csoportok kizárásával átválthatnak az üzembe helyezés bekapcsolására vagy szakaszolására.
- Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás csoportban válassza ki a Felhasználók és csoportok lehetőséget, és válasszon ki minden olyan fiókot, amelyeknek meg kell őriznie az örökölt hitelesítés használatát. A Microsoft azt javasolja, hogy zárjon ki legalább egy fiókot, hogy ne zárhassa ki magát.
- A Célerőforrások erőforrások (korábbi nevén felhőalkalmazások)> területen válassza a Minden erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.>
- A Feltételek>ügyfélalkalmazások területen állítsa a Konfigurálás igen értékre.
- Csak az ügyfelek és az egyéb ügyfelek Exchange ActiveSync protokoll jelölőnégyzeteket jelölje be.
- Válassza a Kész lehetőséget.
- A Hozzáférés-vezérlés megadása> csoportban válassza a Hozzáférés letiltása lehetőséget.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.
Feljegyzés
A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.
Következő lépések
Feltételes hozzáférési sablonok
Többfunkciós eszköz vagy alkalmazás beállítása e-mailek küldésére a Microsoft 365 használatával