Gyakori biztonsági szabályzatok Microsoft 365-szervezetek számára

  • Cikk

A szervezeteknek sokat kell aggódniuk a Microsoft 365 vállalatuk számára történő telepítésekor. A cikkben hivatkozott feltételes hozzáférési, alkalmazásvédelmi és eszközmegfelelőségi szabályzatok a Microsoft ajánlásain és a Teljes felügyelet három alapelvén alapulnak:

  • Explicit ellenőrzés
  • Minimális jogosultság használata
  • Biztonsági incidens feltételezése

A szervezetek igény szerint alkalmazhatják ezeket a szabályzatokat, vagy testre szabhatják őket. Ha lehetséges, tesztelje a szabályzatokat nem éles környezetben, mielőtt bevezeti az éles felhasználók számára. A tesztelés kritikus fontosságú a lehetséges hatások azonosításához és a felhasználókkal való kommunikációhoz.

Ezeket a szabályzatokat három védelmi szintre csoportosítjuk attól függően, hogy hol tart az üzembe helyezési folyamat során:

  • Kiindulási pont – Alapszintű vezérlők, amelyek többtényezős hitelesítést, biztonságos jelszómódosításokat és alkalmazásvédelmi szabályzatokat vezetnek be.
  • Nagyvállalati – Továbbfejlesztett vezérlők, amelyek eszközmegfelelést vezetnek be.
  • Speciális biztonság – Olyan szabályzatok, amelyek többtényezős hitelesítést igényelnek minden alkalommal adott adatkészletekhez vagy felhasználókhoz.

Az alábbi ábrán az látható, hogy az egyes szabályzatok milyen szintű védelemre vonatkoznak, és hogy a házirendek pc-re, telefonokra és táblagépekre, illetve mindkét eszközkategóriára vonatkoznak-e.

Az Teljes felügyelet alapelveket támogató közös identitás- és eszközszabályzatokat bemutató ábra.

Ezt a diagramot PDF-fájlként töltheti le.

Tipp

A többtényezős hitelesítés (MFA) használatának megkövetelése ajánlott az eszközök Intune való regisztrálása előtt, hogy az eszköz a kívánt felhasználó birtokában legyen. Az eszközmegfelelési szabályzatok kényszerítése előtt regisztrálnia kell az eszközöket Intune.

Előfeltételek

Engedélyek

  • A feltételes hozzáférési szabályzatokat kezelő felhasználóknak feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként kell tudniuk bejelentkezni a Azure Portal.
  • Az alkalmazásvédelmi és eszközmegfelelőségi szabályzatokat kezelő felhasználóknak be kell tudniuk jelentkezni Intune Intune rendszergazdaként vagy globális rendszergazdaként.
  • Azok a felhasználók, akiknek csak a konfigurációkat kell megtekintenie, biztonsági olvasói vagy globális olvasói szerepkörökhöz rendelhetők.

A szerepkörökről és engedélyekről a beépített szerepkörök Microsoft Entra című cikkben talál további információt.

Felhasználóregisztráció

A használat megkövetelése előtt győződjön meg arról, hogy a felhasználók regisztrálnak a többtényezős hitelesítésre. Ha Microsoft Entra ID P2-t tartalmazó licencekkel rendelkezik, a Microsoft Entra ID-védelem MFA regisztrációs szabályzatával megkövetelheti, hogy a felhasználók regisztráljanak. Kommunikációs sablonokat biztosítunk, letölthetők és testre szabhatók a regisztráció elősegítése érdekében.

Csoportok

A javaslatok részeként használt összes Microsoft Entra csoportot Nem biztonsági csoportként, hanemMicrosoft 365-csoportként kell létrehozni. Ez a követelmény fontos a bizalmassági címkék üzembe helyezésekor, amikor később biztonságossá teszi a dokumentumokat a Microsoft Teamsben és a SharePointban. További információ: További információ a csoportokról és a hozzáférési jogokról a Microsoft Entra ID

Szabályzatok hozzárendelése

A feltételes hozzáférési szabályzatok felhasználókhoz, csoportokhoz és rendszergazdai szerepkörökhöz rendelhetők. Intune alkalmazásvédelmi és eszközmegfelelési szabályzatok csak csoportokhoz rendelhetők. A szabályzatok konfigurálása előtt meg kell határoznia, hogy kik legyenek belefoglalva és kizárva. A kiindulási pont védelmi szintű szabályzatai általában a szervezet minden felhasználójára vonatkoznak.

Íme egy példa az MFA megkövetelésének csoport-hozzárendelésére és kizárására, miután a felhasználók befejezték a felhasználói regisztrációt.

  Microsoft Entra feltételes hozzáférési szabályzat Tartalmaz Kizárása
Kiindulópont Többtényezős hitelesítés megkövetelése közepes vagy magas bejelentkezési kockázat esetén Minden felhasználó:
  • Vészhelyzeti hozzáférési fiókok
  • Feltételes hozzáférés kizárási csoportja
Enterprise Többtényezős hitelesítés megkövetelése alacsony, közepes vagy magas bejelentkezési kockázat esetén Vezetői munkatársak csoportja
  • Vészhelyzeti hozzáférési fiókok
  • Feltételes hozzáférés kizárási csoportja
Speciális biztonság Többtényezős hitelesítés megkövetelése mindig Top Secret Project Buckeye group
  • Vészhelyzeti hozzáférési fiókok
  • Feltételes hozzáférés kizárási csoportja

Legyen óvatos, amikor magasabb szintű védelmet alkalmaz a csoportokra és a felhasználókra. A biztonság célja nem az, hogy felesleges súrlódásokat adjon a felhasználói élményhez. A Szigorúan titkos projekt Buckeye-csoport tagjainak például minden bejelentkezéskor használniuk kell az MFA-t, még akkor is, ha nem dolgoznak a projektjük speciális biztonsági tartalmán. A túlzott biztonsági súrlódás fáradtsághoz vezethet.

Érdemes lehet engedélyezni a jelszó nélküli hitelesítési módszereket, például a Vállalati Windows Hello vagy a FIDO2 biztonsági kulcsokat, hogy csökkentse bizonyos biztonsági vezérlők okozta súrlódásokat.

Vészhelyzeti hozzáférési fiókok

Minden szervezetnek rendelkeznie kell legalább egy vészhelyzeti hozzáférési fiókkal, amelyet figyelnek a használatra, és kizárnak a szabályzatokból. Ezeket a fiókokat csak akkor használja a rendszer, ha az összes többi rendszergazdai fiók és hitelesítési módszer zárolva van, vagy más módon nem érhető el. További információt a segélyhívási fiókok kezelése a Microsoft Entra ID-ben című cikkben talál.

Kizárások

Ajánlott létrehozni egy Microsoft Entra csoportot a feltételes hozzáférés kizárásához. Ez a csoport lehetővé teszi, hogy hozzáférést biztosítson egy felhasználónak a hozzáférési problémák elhárítása során.

Figyelmeztetés

Ez a csoport csak ideiglenes megoldásként ajánlott. Folyamatosan monitorozza és naplóozza ezt a csoportot a változásokért, és győződjön meg arról, hogy a kizárási csoport csak a kívánt módon van használatban.

A kizárási csoport hozzáadása bármely meglévő szabályzathoz:

  1. Jelentkezzen be a Azure Portal feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként.
  2. Keresse meg a Microsoft Entra ID>Biztonsági>feltételes hozzáférés elemet.
  3. Válasszon ki egy meglévő szabályzatot.
  4. A Hozzárendelések területen válassza a Felhasználók vagy számításifeladat-identitások lehetőséget.
    1. A Kizárás területen válassza a Felhasználók és csoportok elemet, majd válassza ki a szervezet vészhelyzeti hozzáférési vagy biztonsági mentési fiókjait és a feltételes hozzáférés kizárási csoportját.

Bevezetés

Javasoljuk, hogy a kezdőpont-szabályzatokat az ebben a táblázatban felsorolt sorrendben implementálja. A nagyvállalati és speciális biztonsági szintű védelem MFA-szabályzatai azonban bármikor implementálhatók.

Kiindulópont

Politika További információ Licencelés
MFA megkövetelése, ha a bejelentkezési kockázat közepes vagy magas A Microsoft Entra ID-védelem kockázati adatainak használata az MFA megköveteléséhez, ha a rendszer kockázatokat észlel Microsoft 365 E5 vagy Microsoft 365 E3 az E5 biztonsági bővítménnyel
A modern hitelesítést nem támogató ügyfelek letiltása A nem modern hitelesítést használó ügyfelek megkerülhetik a feltételes hozzáférési szabályzatokat, ezért fontos letiltani őket. Microsoft 365 E3 vagy E5
A nagy kockázatú felhasználóknak módosítaniuk kell a jelszót Kényszeríti a felhasználókat, hogy változtassák meg a jelszavukat bejelentkezéskor, ha magas kockázatú tevékenységet észlelnek a fiókjukban. Microsoft 365 E5 vagy Microsoft 365 E3 az E5 biztonsági bővítménnyel
Alkalmazásvédelmi szabályzatok alkalmazása az adatvédelemhez Platformonként egy Intune alkalmazásvédelmi szabályzat (Windows, iOS/iPadOS, Android). Microsoft 365 E3 vagy E5
Jóváhagyott alkalmazások és alkalmazásvédelmi szabályzatok megkövetelése Mobilalkalmazás-védelmi szabályzatok kényszerítése telefonokra és táblagépekre iOS, iPadOS vagy Android rendszeren. Microsoft 365 E3 vagy E5

Enterprise

Politika További információ Licencelés
MFA megkövetelése, ha a bejelentkezési kockázat alacsony, közepes vagy magas A Microsoft Entra ID-védelem kockázati adatainak használata az MFA megköveteléséhez, ha a rendszer kockázatokat észlel Microsoft 365 E5 vagy Microsoft 365 E3 az E5 biztonsági bővítménnyel
Eszközmegfelelési szabályzatok meghatározása Állítsa be a minimális konfigurációs követelményeket. Minden platformhoz egy szabályzat tartozik. Microsoft 365 E3 vagy E5
Megfelelő számítógépek és mobileszközök megkövetelése Kikényszeríti a szervezethez hozzáférő eszközök konfigurációs követelményeit Microsoft 365 E3 vagy E5

Speciális biztonság

Politika További információ Licencelés
Mindig MFA-ra van szükség A felhasználóknak MFA-t kell végrehajtaniuk, amikor bejelentkeznek a szervezeti szolgáltatásokba Microsoft 365 E3 vagy E5

szabályzatok Alkalmazásvédelem

Alkalmazásvédelem szabályzatok határozzák meg, hogy mely alkalmazások engedélyezettek, és milyen műveleteket hajthatnak végre a szervezet adataival. Számos választási lehetőség áll rendelkezésre, és néhányuk számára zavaró lehet. Az alábbi alapkonfigurációk a Microsoft által javasolt konfigurációk, amelyek az Ön igényeire szabhatók. Három követendő sablont biztosítunk, de úgy gondolja, hogy a legtöbb szervezet a 2. és a 3. szintet választja.

A 2. szint megfelel a kiindulási pontnak vagy a vállalati szintű biztonságnak, a 3. szint specializált biztonságra van leképezve .

  • 1. szintű vállalati alapszintű adatvédelem – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális adatvédelmi konfigurációjaként.

  • 2. szintű, nagyvállalati szintű fokozott adatvédelem – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Egyes vezérlők hatással lehetnek a felhasználói élményre.

  • 3. szintű nagyvállalati szintű magas szintű adatvédelem – A Microsoft ezt a konfigurációt egy nagyobb vagy kifinomultabb biztonsági csapattal rendelkező szervezet által futtatott eszközökhöz, illetve az egyedileg magas kockázatú felhasználókhoz vagy csoportokhoz javasolja (olyan felhasználók számára, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Egy jól finanszírozott és kifinomult támadók által megcélzott szervezetnek erre a konfigurációra kell törekednie.

alkalmazásvédelmi szabályzatok Létrehozás

Létrehozás új alkalmazásvédelmi szabályzatot minden platformhoz (iOS és Android) Microsoft Intune az adatvédelmi keretrendszer beállításaival:

Eszközmegfelelőségi házirendek

Intune eszközmegfelelőségi szabályzatok meghatározzák azokat a követelményeket, amelyeknek az eszközöknek meg kell felelniük ahhoz, hogy megfelelőnek minősüljenek.

Minden pc-hez, telefonhoz vagy táblagéphez létre kell hoznia egy házirendet. Ez a cikk a következő platformokra vonatkozó javaslatokat ismerteti:

Létrehozás eszközmegfelelési szabályzatok

Eszközmegfelelési szabályzatok létrehozásához jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen az Eszközök>megfelelőségi szabályzataihoz>. Válassza Létrehozás Házirend lehetőséget.

A megfelelőségi szabályzatok Intune való létrehozásával kapcsolatos részletes útmutatásért lásd: megfelelőségi szabályzat Létrehozás Microsoft Intune.

Regisztrációs és megfelelőségi beállítások iOS/iPadOS rendszerhez

Az iOS/iPadOS számos beléptetési forgatókönyvet támogat, amelyek közül kettő a jelen keretrendszer része:

A Teljes felügyelet identitás- és eszközhozzáférés-konfigurációkban ismertetett alapelvek használata:

  • A kiindulási pont és a vállalati védelmi szintek szorosan igazodnak a 2. szintű továbbfejlesztett biztonsági beállításokhoz.
  • A speciális biztonsági védelmi szint szorosan megfelel a 3. szintű magas biztonsági beállításoknak.
Megfelelőségi beállítások személyes regisztrációval regisztrált eszközökhöz
  • Személyes alapszintű biztonság (1. szint) – A Microsoft ezt a konfigurációt javasolja minimális biztonsági konfigurációként azokhoz a személyes eszközökhöz, ahol a felhasználók munkahelyi vagy iskolai adatokhoz férnek hozzá. Ez a konfiguráció a jelszóházirendek, az eszközzárolási jellemzők kényszerítésével és bizonyos eszközfunkciók, például a nem megbízható tanúsítványok letiltásával végezhető el.
  • Fokozott személyes biztonság (2. szint) – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció az adatmegosztás ellenőrzését hajtja végre. Ez a konfiguráció a legtöbb olyan mobilfelhasználóra vonatkozik, aki munkahelyi vagy iskolai adatokat fér hozzá egy eszközön.
  • Személyes magas biztonság (3. szint) – A Microsoft ezt a konfigurációt az egyedileg magas kockázatú felhasználók vagy csoportok által használt eszközökhöz javasolja (azok a felhasználók, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Ez a konfiguráció erősebb jelszószabályzatokat léptet életbe, letilt bizonyos eszközfunkciókat, és további adatátviteli korlátozásokat kényszerít ki.
Megfelelőségi beállítások az automatikus eszközregisztrációhoz
  • Felügyelt alapszintű biztonság (1. szint) – A Microsoft ezt a konfigurációt javasolja minimális biztonsági konfigurációként azokhoz a felügyelt eszközökhöz, ahol a felhasználók munkahelyi vagy iskolai adatokhoz férnek hozzá. Ez a konfiguráció a jelszóházirendek, az eszközzárolási jellemzők kényszerítésével és bizonyos eszközfunkciók, például a nem megbízható tanúsítványok letiltásával végezhető el.
  • Felügyelt fokozott biztonság (2. szint) – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció az adatmegosztás ellenőrzését és az USB-eszközökhöz való hozzáférés letiltását teszi lehetővé. Ez a konfiguráció a legtöbb olyan mobilfelhasználóra vonatkozik, aki munkahelyi vagy iskolai adatokat fér hozzá egy eszközön.
  • Felügyelt magas biztonság (3. szint) – A Microsoft ezt a konfigurációt az egyedileg magas kockázatú felhasználók vagy csoportok által használt eszközökhöz javasolja (azok a felhasználók, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Ez a konfiguráció erősebb jelszóházirendeket léptet életbe, letilt bizonyos eszközfunkciókat, további adatátviteli korlátozásokat kényszerít ki, és megköveteli az alkalmazások telepítését az Apple mennyiségi vásárlási programján keresztül.

Regisztrációs és megfelelőségi beállítások Androidhoz

Az Android Enterprise számos regisztrációs forgatókönyvet támogat, amelyek közül kettő a keretrendszer részét képezi:

  • Android Enterprise munkahelyi profil – ezt a regisztrációs modellt általában személyes tulajdonú eszközökhöz használják, ahol az informatikai szervezet egyértelmű elkülönítési határt szeretne biztosítani a munkahelyi és a személyes adatok között. Az informatikai irányítású szabályzatok biztosítják, hogy a munkahelyi adatok ne legyenek átadhatók a személyes profilba.
  • Teljes körűen felügyelt Android Enterprise-eszközök – ezek az eszközök vállalati tulajdonban vannak, egyetlen felhasználóhoz vannak társítva, és kizárólag munkahelyi és nem személyes használatra használhatók.

Az Android Enterprise biztonsági konfigurációs keretrendszer több különböző konfigurációs forgatókönyvbe van rendezve, és útmutatást nyújt a munkahelyi profilokhoz és a teljes mértékben felügyelt forgatókönyvekhez.

A Teljes felügyelet identitás- és eszközhozzáférés-konfigurációkban ismertetett alapelvek használata:

  • A kiindulási pont és a vállalati védelmi szintek szorosan igazodnak a 2. szintű továbbfejlesztett biztonsági beállításokhoz.
  • A speciális biztonsági védelmi szint szorosan megfelel a 3. szintű magas biztonsági beállításoknak.
Megfelelőségi beállítások Android Enterprise munkahelyi profilos eszközökhöz
  • A személyes tulajdonú munkahelyi profilos eszközökhöz elérhető beállítások miatt nincs alapvető biztonsági (1. szintű) ajánlat. Az elérhető beállítások nem indokolják az 1. és a 2. szint közötti különbséget.
  • Munkahelyi profil fokozott biztonsága (2. szint) – A Microsoft ezt a konfigurációt javasolja minimális biztonsági konfigurációként azokhoz a személyes eszközökhöz, ahol a felhasználók hozzáférnek a munkahelyi vagy iskolai adatokhoz. Ez a konfiguráció jelszókövetelményeket vezet be, elkülöníti a munkahelyi és a személyes adatokat, és ellenőrzi az Android-eszközigazolást.
  • Munkahelyi profil magas szintű biztonsága (3. szint) – A Microsoft ezt a konfigurációt az egyedileg magas kockázatú felhasználók vagy csoportok által használt eszközökhöz javasolja (olyan felhasználók esetében, akik rendkívül bizalmas adatokat kezelnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okoz a szervezet számára). Ez a konfiguráció mobil veszélyforrások elleni védelmet vagy Végponthoz készült Microsoft Defender vezet be, beállítja az Android minimális verzióját, erősebb jelszóházirendeket léptet életbe, és tovább korlátozza a munkahelyi és a személyes elkülönítést.
Megfelelőségi beállítások teljes körűen felügyelt Android Enterprise-eszközökhöz
  • Teljes körűen felügyelt alapszintű biztonság (1. szint) – A Microsoft ezt a konfigurációt javasolja a vállalati eszközök minimális biztonsági konfigurációjaként. Ez a konfiguráció a munkahelyi vagy iskolai adatokhoz hozzáférő mobilfelhasználók többségére vonatkozik. Ez a konfiguráció jelszókövetelményeket vezet be, beállítja az Android minimális verzióját, és bizonyos eszközkorlátozásokat léptet életbe.
  • Teljes körűen felügyelt fokozott biztonság (2. szint) – A Microsoft ezt a konfigurációt olyan eszközökhöz javasolja, amelyeken a felhasználók bizalmas vagy bizalmas információkhoz férnek hozzá. Ez a konfiguráció erősebb jelszóházirendeket léptet életbe, és letiltja a felhasználói/fiókképességeket.
  • Teljes körűen felügyelt magas biztonság (3. szint) – A Microsoft ezt a konfigurációt az egyedileg magas kockázatú felhasználók vagy csoportok által használt eszközökhöz javasolja. Ezek a felhasználók rendkívül bizalmas adatokat kezelhetnek, ha a jogosulatlan közzététel jelentős anyagi veszteséget okozhat a szervezet számára. Ez a konfiguráció növeli az Android minimális verzióját, mobil veszélyforrások elleni védelmet vagy Végponthoz készült Microsoft Defender vezet be, és további eszközkorlátozásokat kényszerít ki.

A következő beállításokat konfigurálja a 2. lépés: A megfelelőségiszabályzat létrehozásának folyamata a Windows 10 és az újabb eszközökhöz. Ezek a beállítások összhangban vannak Teljes felügyelet identitás- és eszközhozzáférés-konfigurációkban ismertetett elvekkel.

Az Eszközállapot > Windows Állapotigazolási szolgáltatás kiértékelési szabályaiért tekintse meg ezt a táblázatot.

Tulajdonság Érték
BitLocker megkövetelése Igényel
A biztonságos rendszerindítás engedélyezésének megkövetelése az eszközön Igényel
Kódintegritás megkövetelése Igényel

Az Eszköztulajdonságok beállításnál adja meg az operációs rendszer verziójának megfelelő értékeket az informatikai és biztonsági szabályzatok alapján.

Ha Configuration Manager Megfelelőség beállításnál a Configuration Manager a közösen felügyelt környezetben van, válassza a Máskülönbennincs konfigurálva lehetőséget.

A rendszerbiztonságról ebben a táblázatban olvashat.

Tulajdonság Érték
Jelszó megkövetelése a mobileszközök zárolásának feloldásához Igényel
Egyszerű jelszavak Letiltás
Jelszó típusa Eszköz alapértelmezett beállítása
Jelszó minimális hossza 6
Jelszó kérése ennyi perc inaktivitás után 15 perc
Jelszó lejárata (nap) 41
Az újbóli felhasználást megakadályozó korábbi jelszavak száma 5
Jelszó kérése, amikor az eszköz visszatér inaktív állapotból (mobil és holografikus) Igényel
Adattárolás titkosításának megkövetelése az eszközön Igényel
Tűzfal Igényel
Vírusölő Igényel
Antispyware Igényel
Microsoft Defender antimalware Igényel
Microsoft Defender kártevőirtó minimális verziója A Microsoft azt javasolja, hogy a legújabb verziótól legfeljebb öt verzió maradjon le.
Microsoft Defender kártevőirtó-aláírás naprakészen Igényel
Valós idejű védelem Igényel

Végponthoz készült Microsoft Defender

Tulajdonság Érték
Megkövetelheti, hogy az eszköz a gépkockázati pontszámon vagy alatt legyen Közepes

Feltételes hozzáférési szabályzatok

Miután létrehozta az alkalmazásvédelmi és az eszközmegfelelési szabályzatokat a Intune, feltételes hozzáférési szabályzatokkal engedélyezheti a kényszerítést.

MFA megkövetelése bejelentkezési kockázat alapján

Kövesse a Gyakori feltételes hozzáférési szabályzat: Bejelentkezés kockázatalapú többtényezős hitelesítés című cikkben található útmutatást egy olyan szabályzat létrehozásához, amely többtényezős hitelesítést igényel a bejelentkezési kockázat alapján.

A szabályzat konfigurálásakor használja a következő kockázati szinteket.

A védelem szintje Szükséges kockázati szintértékek Művelet
Kiindulópont Magas, közepes Ellenőrizze mindkettőt.
Enterprise Magas, közepes, alacsony Ellenőrizze mind a hármat.

A többtényezős hitelesítést nem támogató ügyfelek letiltása

Kövesse a Gyakori feltételes hozzáférési szabályzat: Örökölt hitelesítés letiltása című cikkben található útmutatást az örökölt hitelesítés letiltásához.

A nagy kockázatú felhasználóknak módosítaniuk kell a jelszót

Kövesse a Gyakori feltételes hozzáférési szabályzat: Felhasználói kockázatalapú jelszómódosítás című cikkben található útmutatást, hogy megkövetelje a feltört hitelesítő adatokkal rendelkező felhasználóktól a jelszavuk módosítását.

Használja ezt a házirendet Microsoft Entra jelszóvédelemmel együtt, amely észleli és letiltja az ismert gyenge jelszavakat és azok változatait a szervezetre jellemző kifejezések mellett. A Microsoft Entra jelszóvédelem használata biztosítja, hogy a módosított jelszavak erősebbek legyenek.

Jóváhagyott alkalmazások és alkalmazásvédelmi szabályzatok megkövetelése

A Intune-ben létrehozott alkalmazásvédelmi szabályzatok kényszerítéséhez létre kell hoznia egy feltételes hozzáférési szabályzatot. Az alkalmazásvédelmi szabályzatok kikényszerítéséhez feltételes hozzáférési szabályzat és megfelelő alkalmazásvédelmi szabályzat szükséges.

Ha jóváhagyott alkalmazásokat és alkalmazásvédelmet igénylő feltételes hozzáférési szabályzatot szeretne létrehozni, kövesse a Jóváhagyott ügyfélalkalmazások vagy alkalmazásvédelmi szabályzat megkövetelése mobileszközökkel című cikk lépéseit. Ez a szabályzat csak az alkalmazásvédelmi szabályzatokkal védett mobilalkalmazásokban engedélyezi a Microsoft 365-végpontok elérését.

Az iOS- és Android-eszközökön futó egyéb ügyfélalkalmazások örökölt hitelesítésének letiltása biztosítja, hogy ezek az ügyfelek ne kerülhetik meg a feltételes hozzáférési szabályzatokat. Ha követi a cikkben található útmutatást, már konfigurálta a modern hitelesítést nem támogató ügyfélprogramok blokkolását.

Megfelelő számítógépek és mobileszközök megkövetelése

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy az erőforrásokhoz hozzáférő eszközök megfeleljenek a szervezet Intune megfelelőségi szabályzatainak.

Figyelem!

A szabályzat engedélyezése előtt győződjön meg arról, hogy az eszköz megfelelő. Ellenkező esetben zárolhatja a rendszer, és nem módosíthatja ezt a házirendet, amíg a felhasználói fiókját fel nem veszi a feltételes hozzáférés kizárási csoportjába.

  1. Jelentkezzen be az Azure portálra.
  2. Keresse meg a Microsoft Entra ID>Biztonsági>feltételes hozzáférés elemet.
  3. Válassza az Új szabályzat lehetőséget.
  4. Nevezze el a szabályzatot. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének.
  5. A Hozzárendelések területen válassza a Felhasználók vagy számításifeladat-identitások lehetőséget.
    1. A Belefoglalás területen válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza a Felhasználók és csoportok elemet, és válassza ki a szervezet vészhelyzeti hozzáférési vagy biztonsági mentési fiókjait.
  6. A Felhőalkalmazások vagy műveletek>Belefoglalva területen válassza a Minden felhőalkalmazás lehetőséget.
    1. Ha bizonyos alkalmazásokat ki kell zárnia a szabályzatból, kiválaszthatja őket a Kizárt felhőalkalmazások kiválasztása területen található Kizárás lapon, és kiválaszthatja a Kiválasztás lehetőséget.
  7. A Hozzáférés-vezérlés>megadása területen.
    1. Válassza az Eszköz megfelelőként való megjelölésének megkövetelése lehetőséget.
    2. Válassza a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése beállítást Be értékre.
  9. A szabályzat engedélyezéséhez válassza a létrehozni kívánt Létrehozás lehetőséget.

Megjegyzés:

Az új eszközöket akkor is regisztrálhatja a Intune, ha az Eszköz megfelelőként való megjelölésének megkövetelése a szabályzatban a Minden felhasználó és a Minden felhőalkalmazás számára lehetőséget választja. Az eszköz megfelelő vezérlőként való megjelölésének megkövetelése nem blokkolja Intune regisztrációt és a Microsoft Intune webes Céges portál alkalmazáshoz való hozzáférést.

Előfizetés aktiválása

Azok a szervezetek, amelyek az Előfizetés aktiválása funkcióval engedélyezik a felhasználók számára a windowsos verzióról a másikra történő "lépést", kizárhatják az Univerzális Áruház szolgáltatás API-jait és webalkalmazásait( AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f) az eszközmegfelelőségi szabályzatukból.

Mindig MFA-ra van szükség

Kövesse a Gyakori feltételes hozzáférési szabályzat: MFA megkövetelése minden felhasználó számára című cikkben található útmutatást, amely megköveteli, hogy a speciális biztonsági szintű felhasználók mindig többtényezős hitelesítést végezzenek el.

Figyelmeztetés

A szabályzat konfigurálásakor válassza ki azt a csoportot, amely speciális biztonságot igényel, és ezt használja a Minden felhasználó lehetőség kiválasztása helyett.

Következő lépések

3. lépés: Házirendek vendég- és külső felhasználók számára.

További információ a vendég- és külső felhasználókra vonatkozó szabályzatjavaslatokról