Megosztás:

Többtényezős hitelesítés megkövetelése emelt szintű bejelentkezési kockázat esetén

A felhasználók többsége normál viselkedést követ, amely nyomon követhető. Ha a viselkedésük kívül esik ezen a normán, kockázatos lehet, ha beengedik őket. Előfordulhat, hogy le szeretné tiltani a felhasználót, vagy megkérheti őket, hogy fejezzék be a többtényezős hitelesítést az identitás megerősítéséhez.

A bejelentkezési kockázat annak a valószínűségét jelenti, hogy egy hitelesítési kérés nem az identitástulajdonostól származik. A Microsoft Entra ID P2-licencekkel rendelkező szervezetek feltételes hozzáférési szabályzatokat hozhatnak létre, amelyek Microsoft Entra ID-védelem bejelentkezési kockázatészleléseket tartalmaznak.

A bejelentkezési kockázatalapú szabályzat megakadályozza, hogy a felhasználók regisztrálják az MFA-t a kockázatos munkamenetek során. Ha a felhasználók nincsenek regisztrálva az MFA-ra, a kockázatos bejelentkezések le lesznek tiltva, és AADSTS53004 hibaüzenetet kapnak.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök. Javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

  • Vészhelyzeti hozzáférés vagy break-glass fiókok a házirend hibás konfigurációja miatti zárolás elkerülése érdekében. Abban a valószínűtlen esetben, amikor az összes rendszergazda ki van zárva, a segélyhívási hozzáférés felügyeleti fiókja használható a bejelentkezéshez és a hozzáférés helyreállításához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatási képviselők, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok neminteraktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában a háttérszolgáltatások használják az alkalmazások programozott hozzáférésének engedélyezésére, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezésre. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.

Template deployment

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával helyezhetik üzembe ezt a szabályzatot.

Engedélyezés feltételes hozzáférési szabályzattal

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba, mint feltételes hozzáférés adminisztrátor.
  2. Navigáljon az Entra ID>Feltételes hozzáférés elemhez.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárásnál válassza ki a Felhasználók és csoportok opciót, és válassza ki a szervezet vészhelyzeti hozzáférését vagy vészhelyzeti fiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
  7. A Feltételek>Bejelentkezési kockázat alatt állítsa a Konfigurálás értékét Igenre.
    1. Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Hitelesítés erősségének megkövetelése lehetőséget, majd válassza ki a beépített többtényezős hitelesítés erősségét a listából.
    2. Válassza a Választ.
  9. A Munkamenet alatt.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a Választ.
  10. Erősítse meg a beállításokat, és állítsa a házirend engedélyezése beállítást csak jelentésre.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a szabályzat hatása vagy a csak jelentés mód használatával, helyezze át a Házirend engedélyezése kapcsolót a Csak jelentés funkcióról a Be értékre.

Jelszó nélküli forgatókönyvek

A jelszó nélküli hitelesítési módszereket alkalmazó szervezetek esetében a következő módosításokat hajtják végre:

Jelszó nélküli bejelentkezési kockázati szabályzat frissítése

  1. Felhasználók alatt:
    1. Belefoglalhatja, kiválaszthatja a felhasználókat és csoportokat , és megcélozza a jelszó nélküli felhasználókat.
    2. A Kizárásnál válassza ki a Felhasználók és csoportok opciót, és válassza ki a szervezet vészhelyzeti hozzáférését vagy vészhelyzeti fiókját.
    3. Válassza a Kész lehetőséget.
  2. A Felhőalkalmazások vagy -műveletek>területen válassza a Minden erőforrás (korábbi nevén "Minden felhőalkalmazás") lehetőséget.
  3. A Feltételek>Bejelentkezési kockázat alatt állítsa a Konfigurálás értékét Igenre.
    1. Válassza ki azt a bejelentkezési kockázati szintet, amelyre ez a szabályzat vonatkozik, válassza a Magas és a Közepes lehetőséget. További információ a kockázati szintekről: Elfogadható kockázati szintek kiválasztása.
    2. Válassza a Kész lehetőséget.
  4. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Hitelesítés erősségének megköveteléselehetőséget, majd válassza ki a beépített jelszó nélküli MFA- vagy adathalászatnak ellenálló MFA- alapján, hogy a megcélzott felhasználók milyen módszerrel rendelkeznek.
    2. Válassza a Választ.
  5. A munkamenet alatt:
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a Választ.

Kapcsolódó tartalom

  • Last updated on