A Microsoft 365-szervezetek általános biztonsági szabályzatai
A szervezeteknek sok minden miatt kell aggódniuk a Microsoft 365 vállalati telepítésekor. A cikkben hivatkozott feltételes hozzáférési, alkalmazásvédelmi és eszközmegfelelőségi szabályzatok a Microsoft ajánlásain és a Teljes felügyelet három alapelvén alapulnak:
- Explicit ellenőrzés
- Minimális jogosultság használata
- A szabálysértés feltételezése
A szervezetek az igényeiknek megfelelően alkalmazhatják ezeket a szabályzatokat, vagy testre szabhatják őket. Ha lehetséges, tesztelje a szabályzatokat egy nem éles környezetben, mielőtt üzembe helyezést végez az éles felhasználók számára. A tesztelés kritikus fontosságú a lehetséges hatások azonosításához és a felhasználókkal való kommunikációhoz.
Ezeket a szabályzatokat három védelmi szintre csoportosítjuk attól függően, hogy hol tart az üzembe helyezési folyamat során:
- Kiindulópont – Alapszintű vezérlők, amelyek többtényezős hitelesítést, biztonságos jelszómódosításokat és alkalmazásvédelmi szabályzatokat vezetnek be.
- Nagyvállalati – Továbbfejlesztett vezérlők, amelyek az eszközmegfelelést vezetik be.
- Speciális biztonság – Olyan szabályzatok, amelyek többtényezős hitelesítést igényelnek minden alkalommal adott adatkészletekhez vagy felhasználókhoz.
Az alábbi ábra azt mutatja be, hogy az egyes szabályzatok milyen szintű védelemre vonatkoznak, és hogy a szabályzatok a számítógépekre, telefonokra és táblagépekre, illetve mindkét eszközkategóriára vonatkoznak-e.
Ezt a diagramot PDF-fájlként töltheti le.
Tipp.
A többtényezős hitelesítés (MFA) használatát javasoljuk az eszközök Intune-ban való regisztrálása előtt annak biztosítása érdekében, hogy az eszköz a kívánt felhasználó birtokában legyen. Az eszközöknek az Intune-ban való regisztrálásával kényszerítheti az eszközmegfelelési szabályzatokat.
Előfeltételek
Engedélyek
- A feltételes hozzáférési szabályzatokat kezelő felhasználóknak legalább feltételes hozzáférési rendszergazdaként be kell tudniuk jelentkezni az Azure Portalra.
- Az alkalmazásvédelmi és eszközmegfelelőségi szabályzatokat kezelő felhasználóknak legalább Intune-rendszergazdaként be kell tudniuk jelentkezniük az Intune-ba.
- Azok a felhasználók, akiknek csak a konfigurációkat kell megtekinteni, hozzárendelhetők a Biztonsági olvasó vagy a Globális olvasó szerepkörhöz.
A szerepkörökről és az engedélyekről a Microsoft Entra beépített szerepköreiről szóló cikkben talál további információt.
Felhasználói regisztráció
A használat megkövetelése előtt győződjön meg arról, hogy a felhasználók regisztrálnak a többtényezős hitelesítésre. Ha rendelkezik olyan licencekkel, amelyek tartalmazzák a Microsoft Entra ID P2-t, az MFA regisztrációs szabályzatot használhatja a Microsoft Entra ID-védelem a felhasználók regisztrációjának megköveteléséhez. A regisztráció előmozdításához kommunikációs sablonokat biztosítunk, letölthetők és testre szabhatók.
Csoportok
A javaslatok részeként használt Összes Microsoft Entra-csoportot nem biztonsági csoportként, hanem Microsoft 365-csoportként kell létrehozni. Ez a követelmény fontos a bizalmassági címkék üzembe helyezése szempontjából a dokumentumok Microsoft Teamsben és SharePointban történő későbbi biztonságossá tételekor. További információ: A csoportok és a hozzáférési jogosultságok ismertetése a Microsoft Entra-azonosítóban
Szabályzatok hozzárendelése
A feltételes hozzáférési szabályzatok felhasználókhoz, csoportokhoz és rendszergazdai szerepkörökhöz rendelhetők. Az Intune alkalmazásvédelmi és eszközmegfelelési szabályzatai csak csoportokhoz rendelhetők. A szabályzatok konfigurálása előtt meg kell határoznia, hogy kik legyenek belefoglalva és kizárva. A kiindulási pont védelmi szintű szabályzatai általában a szervezet minden tagja esetében érvényesek.
Íme egy példa a csoportok hozzárendelésére és az MFA megkövetelésének kizárására, miután a felhasználók befejezték a felhasználói regisztrációt.
| Microsoft Entra feltételes hozzáférési szabályzat | Tartalmaz | Kizárása | |
|---|---|---|---|
| Kiindulópont | Többtényezős hitelesítés megkövetelése közepes vagy magas bejelentkezési kockázat esetén | Minden felhasználó |
|
| Vállalat | Többtényezős hitelesítés megkövetelése alacsony, közepes vagy magas bejelentkezési kockázat esetén | Vezető munkatársak csoportja |
|
| Speciális biztonság | Többtényezős hitelesítés megkövetelése mindig | Top Secret Project Buckeye csoport |
|
Legyen óvatos, amikor magasabb szintű védelmet alkalmaz a csoportokra és a felhasználókra. A biztonság célja nem az, hogy szükségtelen súrlódást adjon a felhasználói élményhez. A Szigorúan titkos projekt Buckeye-csoport tagjainak például minden bejelentkezéskor MFA-t kell használniuk, még akkor is, ha nem dolgoznak a projekt speciális biztonsági tartalmán. A túlzott biztonsági súrlódás fáradtsághoz vezethet.
Érdemes lehet engedélyezni a jelszó nélküli hitelesítési módszereket, például a Vállalati Windows Hello vagy a FIDO2 biztonsági kulcsokat, hogy csökkentse a bizonyos biztonsági vezérlők által létrehozott súrlódást.
Vészhelyzeti hozzáférési fiókok
Minden szervezetnek rendelkeznie kell legalább egy vészhelyzeti hozzáférési fiókkal, amelyet figyelnek a használatra, és kizárják a szabályzatokból. Ezeket a fiókokat csak akkor használja a rendszer, ha az összes többi rendszergazdai fiók és hitelesítési módszer ki van zárva, vagy más módon nem érhető el. További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
Kizárások
Ajánlott egy Microsoft Entra-csoportot létrehozni a feltételes hozzáférés kizárásaihoz. Ez a csoport lehetővé teszi, hogy hozzáférést biztosítson egy felhasználónak a hozzáférési problémák elhárítása során.
Figyelmeztetés
Ez a csoport csak ideiglenes megoldásként ajánlott. Folyamatosan monitorozza és naplóozza ezt a csoportot a módosításokért, és győződjön meg arról, hogy a kizárási csoport csak a kívánt módon van használatban.
A kizárási csoport hozzáadása bármely meglévő szabályzathoz:
- Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
- Keresse meg a védelmi>feltételes hozzáférést.
- Válasszon ki egy meglévő szabályzatot.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Kizárás csoportban válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését, illetve a törés-hozzáférési fiókokat és a feltételes hozzáférés kizárási csoportját.
Telepítés
Javasoljuk, hogy a kezdőpont-szabályzatokat a táblázatban felsorolt sorrendben implementálja. A vállalati és speciális biztonsági szintű védelem MFA-szabályzatai azonban bármikor implementálhatók.
Kiindulópont
| Szabályzat | További információ | Licencek |
|---|---|---|
| MFA megkövetelése, ha a bejelentkezési kockázat közepes vagy magas | A Microsoft Entra ID-védelem kockázati adatainak használata az MFA megköveteléséhez csak kockázat észlelésekor | Microsoft 365 E5 vagy Microsoft 365 E3 az E5 Biztonsági bővítményrel |
| A modern hitelesítést nem támogató ügyfelek letiltása | A modern hitelesítést nem használó ügyfelek megkerülhetik a feltételes hozzáférési szabályzatokat, ezért fontos letiltani őket. | Microsoft 365 E3 vagy E5 |
| A magas kockázatú felhasználóknak meg kell változtatniuk a jelszót | Kényszeríti a felhasználókat a jelszó módosítására bejelentkezéskor, ha magas kockázatú tevékenységet észlelnek a fiókjukban. | Microsoft 365 E5 vagy Microsoft 365 E3 az E5 Biztonsági bővítményrel |
| Alkalmazásvédelmi szabályzatok alkalmazása az adatvédelemhez | Platformonként egy Intune-alkalmazásvédelmi szabályzat (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 vagy E5 |
| Jóváhagyott alkalmazások és alkalmazásvédelmi szabályzatok megkövetelése | Mobilalkalmazás-védelmi szabályzatok kényszerítése iOS, iPadOS vagy Android rendszerű telefonokra és táblagépekre. | Microsoft 365 E3 vagy E5 |
Vállalat
| Szabályzat | További információ | Licencek |
|---|---|---|
| MFA megkövetelése alacsony, közepes vagy magas bejelentkezési kockázat esetén | A Microsoft Entra ID-védelem kockázati adatainak használata az MFA megköveteléséhez csak kockázat észlelésekor | Microsoft 365 E5 vagy Microsoft 365 E3 az E5 Biztonsági bővítményrel |
| Eszközmegfelelési szabályzatok definiálása | Adja meg a minimális konfigurációs követelményeket. Minden platformhoz egy-egy szabályzat tartozik. | Microsoft 365 E3 vagy E5 |
| Megfelelő számítógépek és mobileszközök megkövetelése | A szervezethez hozzáférő eszközök konfigurációs követelményeinek kikényszerítése | Microsoft 365 E3 vagy E5 |
Speciális biztonság
| Szabályzat | További információ | Licencek |
|---|---|---|
| Mindig MFA-ra van szükség | A felhasználóknak MFA-t kell végrehajtaniuk, amikor bejelentkeznek a szervezeti szolgáltatásokba | Microsoft 365 E3 vagy E5 |
Alkalmazásvédelem szabályzatok
Alkalmazásvédelem szabályzatok határozzák meg, hogy mely alkalmazások engedélyezettek, és milyen műveleteket hajthatnak végre a szervezet adataival. Számos választási lehetőség áll rendelkezésre, és néhány számára zavaró lehet. Az alábbi alapkonfigurációk a Microsoft által javasolt konfigurációk, amelyek az Ön igényeire szabhatók. Három követendő sablont biztosítunk, de úgy gondoljuk, hogy a legtöbb szervezet a 2. és a 3. szintet választja.
A 2. szint megfelel a kiindulási pontnak vagy a vállalati szintű biztonságnak, a 3. szint pedig a speciális biztonságnak.
1. szintű vállalati alapszintű adatvédelem – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális adatvédelmi konfigurációjaként.
2. szintű, nagyvállalati szintű fokozott adatvédelem – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Egyes vezérlők hatással lehetnek a felhasználói élményre.
3. szintű nagyvállalati szintű magas szintű adatvédelem – A Microsoft ezt a konfigurációt javasolja egy nagyobb vagy kifinomultabb biztonsági csapattal rendelkező szervezet által üzemeltetett eszközökhöz, illetve az egyedileg magas kockázatú felhasználókhoz vagy csoportokhoz (olyan felhasználókhoz, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Egy olyan szervezetnek, amelyet valószínűleg jól finanszírozott és kifinomult támadók céloznak meg, erre a konfigurációra kell törekednie.
Alkalmazásvédelmi szabályzatok létrehozása
Hozzon létre egy új alkalmazásvédelmi szabályzatot minden platformhoz (iOS és Android) a Microsoft Intune-ban az adatvédelmi keretrendszer beállításaival:
- Manuálisan hozza létre a szabályzatokat az alkalmazásvédelmi szabályzatok Microsoft Intune-nal való létrehozásának és üzembe helyezésének lépéseit követve.
- Importálja az Intune Alkalmazásvédelmi szabályzat konfigurációs keretrendszerének JSON-sablonjait az Intune PowerShell-szkriptjeivel.
Eszközmegfelelési szabályzatok
Az Intune eszközmegfelelőségi szabályzatai meghatározzák azokat a követelményeket, amelyeknek az eszközöknek meg kell felelniük ahhoz, hogy megfelelőként legyenek meghatározva.
Minden pc-, telefon- vagy táblagépplatformhoz létre kell hoznia egy szabályzatot. Ez a cikk a következő platformokra vonatkozó javaslatokat ismerteti:
Eszközmegfelelési szabályzatok létrehozása
Eszközmegfelelési szabályzatok létrehozásához jelentkezzen be a Microsoft Intune felügyeleti központjába, és keresse meg az Eszközök>megfelelőségi szabályzatainak>szabályzatát. Válassza a Szabályzat létrehozása lehetőséget.
A megfelelőségi szabályzatok Intune-beli létrehozásával kapcsolatos részletes útmutatásért lásd : Megfelelőségi szabályzat létrehozása a Microsoft Intune-ban.
Regisztrációs és megfelelőségi beállítások iOS/iPadOS rendszerhez
Az iOS/iPadOS számos regisztrációs forgatókönyvet támogat, amelyek közül kettő a keretrendszer részét képezi:
- Személyes tulajdonú eszközök eszközregisztrációja – ezek az eszközök személyes tulajdonban vannak, és mind munkahelyi, mind személyes használatra használják őket.
- Automatizált eszközregisztráció vállalati tulajdonú eszközökhöz – ezek az eszközök vállalati tulajdonban vannak, egyetlen felhasználóhoz vannak társítva, és kizárólag munkahelyi és nem személyes használatra használhatók.
A Teljes felügyelet identitás- és eszközhozzáférés-konfigurációkban ismertetett alapelveket használva:
- A kiindulási ésa vállalati védelmi szintek szorosan megfeleltetik a 2. szintű továbbfejlesztett biztonsági beállításokat.
- A speciális biztonsági védelmi szint szorosan megfelel a 3. szintű magas biztonsági beállításoknak.
A személyes regisztrációval regisztrált eszközök megfelelőségi beállításai
- Személyes alapszintű biztonság (1. szint) – A Microsoft ezt a konfigurációt javasolja a munkahelyi vagy iskolai adatokhoz hozzáférő személyes eszközök minimális biztonsági konfigurációjaként. Ez a konfiguráció jelszószabályzatok, eszközzárolási jellemzők kényszerítésével és bizonyos eszközfüggvények, például a nem megbízható tanúsítványok letiltásával végezhető el.
- Személyes fokozott biztonság (2. szint) – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció adatmegosztási vezérlőket léptet életbe. Ez a konfiguráció a munkahelyi vagy iskolai adatokat az eszközön hozzáférő mobilfelhasználók többségére vonatkozik.
- Személyes magas biztonság (3. szint) – A Microsoft ezt a konfigurációt olyan meghatározott felhasználók vagy csoportok által használt eszközökre javasolja, akik egyedileg magas kockázattal rendelkeznek (olyan felhasználók számára, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Ez a konfiguráció erősebb jelszószabályzatokat alkalmaz, letilt bizonyos eszközfüggvényeket, és további adatátviteli korlátozásokat kényszerít ki.
Az automatikus eszközregisztráció megfelelőségi beállításai
- Felügyelt alapszintű biztonság (1. szint) – A Microsoft ezt a konfigurációt javasolja a felügyelt eszközök minimális biztonsági konfigurációjaként, ahol a felhasználók hozzáférnek a munkahelyi vagy iskolai adatokhoz. Ez a konfiguráció jelszószabályzatok, eszközzárolási jellemzők kényszerítésével és bizonyos eszközfüggvények, például a nem megbízható tanúsítványok letiltásával végezhető el.
- Felügyelt fokozott biztonság (2. szint) – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció adatmegosztási vezérlőket léptet életbe, és letiltja az USB-eszközökhöz való hozzáférést. Ez a konfiguráció a munkahelyi vagy iskolai adatokat az eszközön hozzáférő mobilfelhasználók többségére vonatkozik.
- Felügyelt magas biztonság (3. szint) – A Microsoft ezt a konfigurációt olyan meghatározott felhasználók vagy csoportok által használt eszközökre javasolja, amelyek egyedileg magas kockázatot jelentenek (azok a felhasználók, akik rendkívül bizalmas adatokat kezelnek, és a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Ez a konfiguráció erősebb jelszószabályzatokat alkalmaz, letilt bizonyos eszközfüggvényeket, további adatátviteli korlátozásokat kényszerít ki, és megköveteli az alkalmazások telepítését az Apple mennyiségi vásárlási programján keresztül.
Regisztrálási és megfelelőségi beállítások Androidhoz
Az Android Enterprise számos regisztrációs forgatókönyvet támogat, amelyek közül kettő a keretrendszer részét képezi:
- Android Enterprise munkahelyi profil – ezt a regisztrációs modellt általában személyes tulajdonú eszközökhöz használják, ahol az informatikai szervezet egyértelmű elkülönítési határt szeretne biztosítani a munkahelyi és a személyes adatok között. Az informatikai szabályzatok biztosítják, hogy a munkahelyi adatok ne kerüljenek át a személyes profilba.
- Android Enterprise teljes körűen felügyelt eszközök – ezek az eszközök vállalati tulajdonban vannak, egyetlen felhasználóhoz vannak társítva, és kizárólag munkához és nem személyes használatra használhatók.
Az Android Enterprise biztonsági konfigurációs keretrendszere több különböző konfigurációs forgatókönyvbe van rendezve, és útmutatást nyújt a munkahelyi profilokhoz és a teljes mértékben felügyelt forgatókönyvekhez.
A Teljes felügyelet identitás- és eszközhozzáférés-konfigurációkban ismertetett alapelveket használva:
- A kiindulási ésa vállalati védelmi szintek szorosan megfeleltetik a 2. szintű továbbfejlesztett biztonsági beállításokat.
- A speciális biztonsági védelmi szint szorosan megfelel a 3. szintű magas biztonsági beállításoknak.
Megfelelőségi beállítások Android Enterprise munkahelyi profilos eszközökhöz
- A személyes tulajdonban lévő munkahelyi profilos eszközökhöz elérhető beállítások miatt nincs alapvető biztonsági (1. szintű) ajánlat. Az elérhető beállítások nem indokolják az 1. és a 2. szint közötti különbséget.
- Munkahelyi profil fokozott biztonsága (2. szint) – A Microsoft ezt a konfigurációt javasolja minimális biztonsági konfigurációként azokhoz a személyes eszközökhöz, ahol a felhasználók hozzáférnek a munkahelyi vagy iskolai adatokhoz. Ez a konfiguráció jelszókövetelményeket vezet be, elkülöníti a munkahelyi és a személyes adatokat, és ellenőrzi az Android-eszközigazolást.
- Munkahelyi profil magas biztonsága (3. szint) – A Microsoft ezt a konfigurációt olyan meghatározott felhasználók vagy csoportok által használt eszközökre javasolja, akik egyedileg magas kockázatot jelentenek (olyan felhasználók, akik rendkívül bizalmas adatokat kezelnek, és amelyek jogosulatlan nyilvánosságra hozatala jelentős anyagi veszteséget okoz a szervezet számára). Ez a konfiguráció mobil veszélyforrások elleni védelmet vagy Végponthoz készült Microsoft Defender vezet be, beállítja a minimális Android-verziót, erősebb jelszószabályzatokat léptet életbe, és tovább korlátozza a munkát és a személyes elkülönítést.
Megfelelőségi beállítások teljes mértékben felügyelt Android Enterprise-eszközökhöz
- Teljes körűen felügyelt alapszintű biztonság (1. szint) – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális biztonsági konfigurációjaként. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Ez a konfiguráció jelszókövetelményeket vezet be, beállítja a minimális Android-verziót, és bizonyos eszközkorlátozásokat léptet életbe.
- Teljes körűen felügyelt fokozott biztonság (2. szint) – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció erősebb jelszószabályzatokat alkalmaz, és letiltja a felhasználói/fiókképességeket.
- Teljes körűen felügyelt magas biztonság (3. szint) – A Microsoft ezt a konfigurációt az egyedileg magas kockázatú felhasználók vagy csoportok által használt eszközökhöz javasolja. Ezek a felhasználók rendkívül bizalmas adatokat kezelhetnek, ahol a jogosulatlan közzététel jelentős anyagi veszteséget okozhat a szervezet számára. Ez a konfiguráció növeli a minimális Android-verziót, mobil veszélyforrások elleni védelmet vagy Végponthoz készült Microsoft Defender vezet be, és további eszközkorlátozásokat kényszerít ki.
Ajánlott megfelelőségi beállítások Windows 10-hez és újabb verziókhoz
A következő beállítások a 2. lépésben vannak konfigurálva: Megfelelőségi beállítások, a Windows 10-hez és újabb eszközökhöz készült megfelelőségi szabályzat létrehozásának folyamata. Ezek a beállítások összhangban vannak Teljes felügyelet identitás- és eszközhozzáférés-konfigurációk alapelveivel.
Az eszközállapot > windowsos állapotigazolási szolgáltatásának kiértékelési szabályaiért tekintse meg ezt a táblázatot.
| Tulajdonság | Érték |
|---|---|
| BitLocker megkövetelése | Kötelező |
| A biztonságos rendszerindítás engedélyezésének megkövetelése az eszközön | Kötelező |
| Kódintegritás megkövetelése | Kötelező |
Az eszköztulajdonságok esetében adja meg az operációsrendszer-verziók megfelelő értékeit az informatikai és biztonsági szabályzatok alapján.
A Configuration Manager megfelelősége esetén, ha a Configuration Managerrel közösen felügyelt környezetben van, válassza a Nincs konfigurálva jelölőnégyzetet.
A rendszerbiztonságról lásd ezt a táblázatot.
| Tulajdonság | Érték |
|---|---|
| Jelszó megkövetelése a mobileszközök zárolásának feloldásához | Kötelező |
| Egyszerű jelszavak | Letiltás |
| Jelszó típusa | Eszköz alapértelmezett beállítása |
| Jelszó minimális hossza | 6 |
| Jelszó megadása előtt maximális perc inaktivitás | 15 perc |
| Jelszó lejárta (napokban) | 41 |
| A korábbi jelszavak száma az újrahasználat megakadályozása érdekében | 5 |
| Jelszó kérése, ha az eszköz tétlen állapotból tér vissza (mobil és holografikus) | Kötelező |
| Adattárolás titkosításának megkövetelése az eszközön | Kötelező |
| Firewall | Kötelező |
| Vírusirtó | Kötelező |
| Antispyware | Kötelező |
| Microsoft Defender Antimalware | Kötelező |
| Microsoft Defender Kártevőirtó minimális verziója | A Microsoft a legújabb verziótól ötnél nem régebbi verziót javasol. |
| A Microsoft Defender kártevőirtó aláírása naprakész | Kötelező |
| Valós idejű védelem | Kötelező |
Végponthoz készült Microsoft Defender
| Tulajdonság | Érték |
|---|---|
| Megkövetelheti, hogy az eszköz a gépkockázati pontszámon legyen vagy alatta legyen | Közepes |
Feltételes hozzáférési szabályzatok
Miután létrehozta az alkalmazásvédelmi és az eszközmegfelelési szabályzatokat az Intune-ban, feltételes hozzáférési szabályzatokkal engedélyezheti a kényszerítést.
MFA megkövetelése bejelentkezési kockázat alapján
Kövesse a Gyakori feltételes hozzáférési szabályzat: Bejelentkezési kockázatalapú többtényezős hitelesítés című cikkben található útmutatást egy olyan szabályzat létrehozásához, amely többtényezős hitelesítést igényel a bejelentkezési kockázat alapján.
A szabályzat konfigurálásakor használja a következő kockázati szinteket.
| Védelmi szint | Szükséges kockázati szintértékek | Művelet |
|---|---|---|
| Kiindulópont | Magas, közepes | Ellenőrizze mindkettőt. |
| Vállalat | Magas, közepes, alacsony | Ellenőrizze mind a hármat. |
A többtényezős hitelesítést nem támogató ügyfelek letiltása
Kövesse a Gyakori feltételes hozzáférési szabályzat: Az örökölt hitelesítés letiltása az örökölt hitelesítés letiltásához című cikkben található útmutatást.
A magas kockázatú felhasználóknak meg kell változtatniuk a jelszót
Kövesse a Gyakori feltételes hozzáférési szabályzat: A felhasználói kockázatalapú jelszómódosítás című cikk útmutatását követve megkövetelheti, hogy a feltört hitelesítő adatokkal rendelkező felhasználók változtassák meg a jelszavukat.
Használja ezt a szabályzatot a Microsoft Entra jelszóvédelemmel együtt, amely a szervezetre jellemző kifejezések mellett észleli és letiltja az ismert gyenge jelszavakat és azok változatait. A Microsoft Entra jelszóvédelemmel biztosítható, hogy a módosított jelszavak erősebbek legyenek.
Jóváhagyott alkalmazások és alkalmazásvédelmi szabályzatok megkövetelése
Az Intune-ban létrehozott alkalmazásvédelmi szabályzatok kikényszerítéséhez létre kell hoznia egy feltételes hozzáférési szabályzatot . Az alkalmazásvédelmi szabályzatok kikényszerítéséhez feltételes hozzáférési szabályzatra és megfelelő alkalmazásvédelmi szabályzatra van szükség.
Ha jóváhagyott alkalmazásokat és ALKALMAZÁSvédelmet igénylő feltételes hozzáférési szabályzatot szeretne létrehozni, kövesse a Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése mobileszközökkel című témakörben leírt lépéseket. Ez a szabályzat csak az alkalmazásvédelmi szabályzatokkal védett mobilalkalmazásokban engedélyezi a Microsoft 365-végpontok elérését.
Az iOS- és Android-eszközökön lévő egyéb ügyfélalkalmazások örökölt hitelesítésének letiltása biztosítja, hogy ezek az ügyfelek ne tudják megkerülni a feltételes hozzáférési szabályzatokat. Ha a jelen cikkben szereplő útmutatást követi, már konfigurálta a modern hitelesítést nem támogató blokk-ügyfeleket.
Megfelelő számítógépek és mobileszközök megkövetelése
Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy az erőforrásokhoz hozzáférő eszközök megfeleljenek a szervezet Intune megfelelőségi szabályzatainak.
Figyelemfelhívás
A szabályzat engedélyezése előtt győződjön meg arról, hogy az eszköz megfelelő. Ellenkező esetben kizárhatja, és nem módosíthatja ezt a házirendet, amíg a felhasználói fiókját fel nem veszi a feltételes hozzáférés kizárási csoportjába.
- Jelentkezzen be az Azure Portalra.
- Tallózással keresse meg a Microsoft Entra ID>Security>feltételes hozzáférését.
- Válassza az Új szabályzat lehetőséget.
- Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
- A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
- A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
- A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
- A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
- Ha bizonyos alkalmazásokat ki kell zárnia a szabályzatból, a Kizárt felhőalkalmazások kiválasztása lap Kizárás lapján választhatja ki őket, és válassza a Kiválasztás lehetőséget.
- A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
- Válassza az Eszköz megfelelőként való megjelölésének megkövetelése lehetőséget.
- Válassza a lehetőséget.
- Erősítse meg a beállításokat, és állítsa be a Házirend engedélyezése beállítást.
- Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.
Feljegyzés
Akkor is regisztrálhatja az új eszközeit az Intune-ban, ha a szabályzat minden felhasználója és minden felhőalkalmazása számára megfelelőként kell megjelölni az eszközt. Az eszköz megfelelő vezérlőként való megjelölésének megkövetelése nem blokkolja az Intune-regisztrációt és a Microsoft Intune Web Céges portál alkalmazáshoz való hozzáférést.
Előfizetés aktiválása
Azok a szervezetek, amelyek az Előfizetés-aktiválás funkciót használják, hogy lehetővé tegyék a felhasználók számára a Windows egyik verziójáról a másikra való "lépésre" való "lépést", előfordulhat, hogy ki szeretné zárni az Univerzális tár szolgáltatás API-jait és webalkalmazását, az AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f azonosítót az eszközmegfelelőségi szabályzatból.
Mindig MFA-ra van szükség
Kövesse a Gyakori feltételes hozzáférési szabályzat című cikkben található útmutatást: Az MFA megkövetelése minden felhasználó számára, hogy a speciális biztonsági szintű felhasználóktól mindig többtényezős hitelesítést végezzenek.
Figyelmeztetés
A szabályzat konfigurálásakor válassza ki azt a csoportot, amely speciális biztonságot igényel, és ezt használja a Minden felhasználó kiválasztása helyett.
Következő lépések
További információ a vendég- és külső felhasználókra vonatkozó szabályzatjavaslatokról
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: