1. lépés: Többtényezős hitelesítéssel rendelkező hibrid feldolgozók bejelentkezési biztonságának növelése
A hibrid feldolgozók bejelentkezéseinek biztonságának növeléséhez használjon többtényezős hitelesítést (MFA). Az MFA megköveteli, hogy a felhasználói bejelentkezéseket a felhasználói fiók jelszaván túl további ellenőrzésnek kell alávetni. Még akkor is, ha egy rosszindulatú felhasználó meghatároz egy felhasználói fiók jelszavát, képesnek kell lennie válaszolnia egy további ellenőrzésre is, például egy sms-nek, amelyet a hozzáférés megadása előtt egy okostelefonra küldenek.
A Microsoft minden felhasználó számára, beleértve a hibrid dolgozókat és különösen a rendszergazdákat, határozottan javasolja az MFA használatát.
A Microsoft 365-csomag alapján háromféleképpen követelheti meg a felhasználóktól az MFA használatát.
| Csomag | Javaslat |
|---|---|
| Minden Microsoft 365-csomag (Microsoft Entra P1 vagy P2 azonosítójú licenc nélkül) | Engedélyezze az alapértelmezett biztonsági beállításokat Microsoft Entra azonosítóban. Az Microsoft Entra-azonosító alapértelmezett biztonsági beállításai közé tartozik az MFA a felhasználók és a rendszergazdák számára. |
| Microsoft 365 E3 (tartalmazza Microsoft Entra id P1 licenceket) | A következő szabályzatok konfigurálásához használja a gyakori feltételes hozzáférési szabályzatokat : - MFA megkövetelése rendszergazdák számára - MFA megkövetelése minden felhasználó számára - Örökölt hitelesítés letiltása |
| Microsoft 365 E5 (Microsoft Entra id P2 licenceket tartalmaz) | Az Microsoft Entra ID funkciójának előnyeit kihasználva kezdje el implementálni a Microsoft által javasolt feltételes hozzáférést és a kapcsolódó szabályzatokat, például: – MFA megkövetelése, ha a bejelentkezési kockázat közepes vagy magas. – A modern hitelesítést nem támogató ügyfelek blokkolása. – A magas kockázatú felhasználók jelszómódosításának megkövetelése. |
Alapértelmezett biztonsági beállítások
Az alapértelmezett biztonsági beállítások egy új funkció a Microsoft 365-höz, és Office 365 2019. október 21. után létrehozott fizetős vagy próbaverziós előfizetésekhez. Ezekben az előfizetésekben be vannak kapcsolva az alapértelmezett biztonsági beállítások, ami megköveteli, hogy az összes felhasználó az MFA-t használja a Microsoft Authenticator alkalmazással.
A felhasználóknak 14 napjuk van arra, hogy regisztráljanak az MFA-ra a Microsoft Authenticator alkalmazással az okostelefonjukról, ami az alapértelmezett biztonsági beállítások engedélyezése után az első bejelentkezéstől kezdődik. 14 nap elteltével a felhasználó nem tud bejelentkezni, amíg az MFA-regisztráció be nem fejeződik.
Az alapértelmezett biztonsági beállítások biztosítják, hogy minden szervezet alapszintű biztonsági szinttel rendelkezzen a felhasználói bejelentkezéshez, amely alapértelmezés szerint engedélyezve van. Letilthatja az alapértelmezett biztonsági beállításokat az MFA feltételes hozzáférési szabályzatokkal vagy az egyes fiókok esetében.
További információkért tekintse meg az alapértelmezett biztonsági beállítások áttekintését.
Feltételes hozzáférési szabályzatok
A feltételes hozzáférési szabályzatok olyan szabályok, amelyek meghatározzák a bejelentkezések kiértékelésének és engedélyezésének feltételeit. Létrehozhat például egy feltételes hozzáférési szabályzatot, amely a következőt állítja be:
- Ha a felhasználói fiók neve egy olyan csoport tagja, amelyhez Exchange-, felhasználó-, jelszó-, biztonsági, SharePoint- vagy globális rendszergazdai szerepkör van hozzárendelve, a hozzáférés engedélyezése előtt MFA szükséges.
Ez a szabályzat lehetővé teszi az MFA csoporttagságon alapuló megkövetelását ahelyett, hogy egyéni felhasználói fiókokat próbálna konfigurálni az MFA-hoz, amikor ezekhez a rendszergazdai szerepkörökhöz vannak hozzárendelve vagy ki vannak rendelve.
A feltételes hozzáférési szabályzatokat speciálisabb képességekhez is használhatja, például megkövetelheti a bejelentkezést egy megfelelő eszközről, például Windows 11 vagy 10-et futtató laptopról.
A feltételes hozzáféréshez Microsoft Entra P1 azonosítójú licencek szükségesek, amelyek a Microsoft 365 E3 és az E5 csomag részét képezik.
További információ: A feltételes hozzáférés áttekintése.
Microsoft Entra ID-védelem támogatás
A Microsoft Entra ID-védelem további feltételes hozzáférési szabályzatot hozhat létre, amely az alábbiakat tartalmazza:
- Ha a bejelentkezés kockázata közepes vagy magas, MFA szükséges.
Microsoft Entra ID-védelem Microsoft Entra azonosítójú P2-licencek szükségesek, amelyek a Microsoft 365 E5 részét képezik.
További információ: Kockázatalapú feltételes hozzáférés.
A Microsoft Entra ID-védelem olyan szabályzatot is létrehozhat, amely megköveteli a felhasználóktól az MFA-regisztrációt. További információ: A Microsoft Entra többtényezős hitelesítés regisztrációs szabályzatának konfigurálása
A metódusok együttes használata
Tartsa szem előtt a következőket:
- Az alapértelmezett biztonsági beállítások nem engedélyezhetők, ha a feltételes hozzáférési szabályzatok engedélyezve vannak.
- Nem engedélyezhet feltételes hozzáférési szabályzatokat, ha a biztonsági alapértelmezések engedélyezve vannak.
Ha az alapértelmezett biztonsági beállítások engedélyezve vannak, a rendszer minden új felhasználótól MFA-regisztrációt és a Microsoft Authenticator alkalmazás használatát kéri.
Ez a táblázat az MFA alapértelmezett biztonsági és feltételes hozzáférési szabályzatokkal történő engedélyezésének eredményeit mutatja be.
| Módszer | Engedélyezve. | Tiltva | További hitelesítési módszer |
|---|---|---|---|
| Alapértelmezett biztonsági beállítások | A feltételes hozzáférési szabályzatok nem használhatók | Használhat feltételes hozzáférési szabályzatokat | Microsoft Authenticator alkalmazás |
| Feltételes hozzáférési szabályzatok | Ha bármelyik engedélyezve van, nem engedélyezheti az alapértelmezett biztonsági beállításokat | Ha minden le van tiltva, engedélyezheti az alapértelmezett biztonsági beállításokat | A felhasználó az MFA-regisztráció során adja meg |
A saját jelszavuk alaphelyzetbe állításának engedélyezése a felhasználóknak
Self-Service jelszó-visszaállítás (SSPR) lehetővé teszi, hogy a felhasználók az informatikai személyzet befolyásolása nélkül visszaállítsák a saját jelszavukat. A felhasználók bármikor és bárhonnan gyorsan alaphelyzetbe állíthatják a jelszavukat. További információ: Microsoft Entra önkiszolgáló jelszóátállítás üzembe helyezésének megtervezése.
Bejelentkezés SaaS-alkalmazásokba Microsoft Entra azonosítóval
Amellett, hogy felhőalapú hitelesítést biztosít a felhasználók számára, az Microsoft Entra id is lehet az összes alkalmazás védelmének központi módja, függetlenül attól, hogy azok a helyszínen, a Microsoft felhőjében vagy egy másik felhőben vannak-e. Az alkalmazások Microsoft Entra-azonosítóba való integrálásával megkönnyítheti a hibrid feldolgozók számára a szükséges alkalmazások felderítését és biztonságos bejelentkezését.
Az MFA és az identitás technikai erőforrásainak Rendszergazda
- A Microsoft Entra-azonosító öt legfontosabb módja a távoli munkavégzés engedélyezésében
- Identitásinfrastruktúra a Microsoft 365-höz
- Az Azure Academy Microsoft Entra id oktatóvideói
Az 1. lépés eredményei
Az MFA üzembe helyezése után a felhasználók:
- A bejelentkezésekhez MFA szükséges.
- Befejezte az MFA regisztrációs folyamatát, és minden bejelentkezéshez MFA-t használ.
- Az SSPR használatával alaphelyzetbe állíthatja a saját jelszavát.
További lépés
Folytassa a 2. lépéssel , hogy távoli hozzáférést biztosítson a helyszíni alkalmazásokhoz és szolgáltatásokhoz.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: