Megosztás a következőn keresztül:

Korábbi hitelesítés letiltása feltételes hozzáféréssel

A Microsoft azt javasolja, hogy a szervezetek tiltsa le a hitelesítési kérelmeket olyan örökölt protokollokkal, amelyek nem támogatják a többtényezős hitelesítést. A Microsoft elemzése alapján a hitelesítőadat-töltelékes támadások több mint 97 százaléka használ örökölt hitelesítést, a jelszóspray-támadások több mint 99 százaléka pedig örökölt hitelesítési protokollokat használ. Ezek a támadások leállnának, ha az alapszintű hitelesítés le van tiltva vagy le lett tiltva.

A feltételes hozzáférést tartalmazó licenccel nem rendelkező ügyfelek biztonsági alapértelmezett beállításokat használhatnak az örökölt hitelesítés letiltásához.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök. Javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

  • Vészelérési vagy vészhelyzet esetére szóló fiókok, hogy elkerüljék a házirend hibás konfigurációja miatti zárolást. Abban a valószínűtlen esetben, amikor az összes rendszergazda ki van zárva, a segélyhívási hozzáférés felügyeleti fiókja használható a bejelentkezéshez és a hozzáférés helyreállításához.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok neminteraktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában a háttérszolgáltatások használják az alkalmazások programozott hozzáférésének engedélyezésére, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezésre. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.

Template deployment

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával helyezhetik üzembe ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot az örökölt hitelesítési kérések letiltásához. Ez a szabályzat csak jelentés módban indul el, így a rendszergazdák megállapíthatják, hogy milyen hatással vannak a meglévő felhasználókra. Ha a rendszergazdák számára kényelmes, hogy a szabályzat a kívánt módon érvényesüljön, bizonyos csoportok hozzáadásával és más csoportok kizárásával átválthatnak az üzembe helyezés bekapcsolására vagy szakaszolására.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési rendszergazdaként.
  2. Keresse meg az Entra ID>feltételes hozzáférési>szabályzatokat.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás csoportban válassza ki a Felhasználók és csoportok lehetőséget , és válasszon ki minden olyan fiókot, amelyeknek meg kell őriznie az örökölt hitelesítés használatát. A Microsoft azt javasolja, hogy zárjon ki legalább egy fiókot, hogy megakadályozza, hogy helytelen konfiguráció miatt kizárja magát.
  6. A Célerőforrások>erőforrások (korábbi nevén felhőalkalmazások)>területen válassza a Minden erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
  7. A Feltételek>ügyfélalkalmazások területen állítsa a Konfigurálásigen értékre.
    1. Jelölje be csak az Exchange ActiveSync-ügyfelek és az Egyéb ügyfelek jelölőnégyzeteket.
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlés megadása> csoportban válassza a Hozzáférés letiltása lehetőséget.
    1. Válassza a Kiválasztás lehetőséget.
  9. Ellenőrizze a beállításokat, és állítsa a Házirend engedélyezésecsak jelentési célból módra.
  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a szabályzat hatása vagy a csak jelentés mód használatával, helyezze át a Házirend engedélyezése kapcsolót a Csak jelentés funkcióról a Be értékre.

Feljegyzés

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Örökölt hitelesítés használatának azonosítása

Annak megértéséhez, hogy a felhasználók rendelkeznek-e örökölt hitelesítést használó ügyfélalkalmazásokkal, a rendszergazdák a következő lépésekkel ellenőrizhetik a bejelentkezési naplókban lévő jelzőket:

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
  2. Keresse meg az Entra ID>Monitorozás és állapot>bejelentkezési naplóit.
  3. Adja hozzá az Ügyfélalkalmazás oszlopot, ha az nem jelenik meg az Oszlopok>ügyfélalkalmazás elemre kattintva.
  4. Válassza a Szűrők> hozzáadásaügyfélalkalmazás lehetőséget>, válassza ki az összes régi hitelesítési protokollt, és válassza az Alkalmaz lehetőséget.
  5. Ezeket a lépéseket a Felhasználói bejelentkezések (nem interaktív) lapon is végrehajtja.

A szűrés az örökölt hitelesítési protokollok által végrehajtott bejelentkezési kísérleteket mutatja. Az egyes bejelentkezési kísérletekre kattintva további részleteket jeleníthet meg. Az Ügyfélalkalmazás mező az Alapadatok lapon jelzi, hogy melyik örökölt hitelesítési protokollt használták. Ezek a naplók azokat a felhasználókat jelölik, akik olyan ügyfeleket használnak, amelyek az örökölt hitelesítéstől függenek.

Emellett az örökölt hitelesítés bérlőn belüli osztályozásához használja az Örökölt hitelesítést használó bejelentkezések munkafüzetet.

Kapcsolódó tartalom

  • Last updated on