Az Azure-beli eszközidentitás fogalma
Ebben a leckében megismerheti az eszközidentitást és a regisztrációs lehetőségeket, valamint azt, hogy ezek hogyan alkalmazhatók a különböző eszközökre. Megtudhatja, hogyan alkalmazhat feltételes hozzáférést az eszközök hozzáférés-vezérlésének javítására. Végül figyelembe veszi az eszközidentitás Azure-beli használatának előnyeit és szempontjait.
Az eszközidentitás alapjai
Az eszközidentitás a Microsoft Entra-azonosítóban segít szabályozni a szervezet Microsoft Entra-példányához hozzáadott eszközöket. Emellett lehetővé teszi az eszközök által elérhető adatok, erőforrások és eszközök szabályozását. Keretrendszert biztosít az eszközalapú feltételes hozzáférés implementálásához. Eszközalapú feltételes hozzáférési szabályzattal korlátozhatja a szervezet eszközeihez való eszközhozzáférést.
Napjaink munkakörnyezetei a helyszíni munkaterület ellenőrizhető határain túlra terjednek. A munkatársak különböző helyeken, akár az országon vagy régión kívül is dolgozhatnak. A felhasználók többféle technológiához férhetnek hozzá. A vállalata rendelkezik néhány ilyen technológiával, de nem rendelkezik másokkal.
Az informatikai személyzet számára kihívást jelent, hogy hogyan biztosítson rugalmasságot a felhasználóknak a vállalat adatainak védelme mellett. Támogatni szeretné a felhasználókat, és lehetővé szeretné tenni számukra a hatékony munkavégzést bárhol és bármilyen eszközön, amelyet használnak, de továbbra is biztonságban kell tartania a szervezet erőforrásait és eszközeit.
Az eszközök védelme és a felhasználóknak az általuk használt eszközök terén kínált nagyobb rugalmasság közötti egyensúly az eszközidentitás központi eleme. Minden eszköznek, amelyet a hálózathoz szeretne csatlakoztatni, ismertnek kell lennie. A Microsoft Intune és a hasonló megoldások a vállalati követelményeknek való megfelelőség biztosításával bővítik az eszközökről rendelkezésre álló adatok körét.
A Microsoft Entra ID és az egyszeri bejelentkezés kombinálása azt jelenti, hogy a felhasználók bármilyen eszközön hozzáférhetnek a szolgáltatásokhoz és az alkalmazásokhoz. Ez a megoldás megfelel a szervezet erőforrásainak és eszközeinek védelmére vonatkozó igényeinek, és biztosítja a felhasználók számára a kívánt rugalmasságot.
Eszközregisztrációs lehetőségek
Három eszközregisztrációs lehetőséggel adhat hozzá eszközt a Microsoft Entra-azonosítóhoz:
Regisztrált Microsoft Entra: Ezek az eszközök a Saját eszközök (BYOD) kategóriába tartoznak. Ezek többnyire magántulajdonban lévő, személyes Microsoft-fiókot vagy más helyi fiókot használó eszközök. Ez az eszközregisztrációs módszer a legkevésbé korlátozó, mert támogatja a Windows 10 vagy újabb, iOS, iPadOS, Android és macOS rendszerű eszközöket. Az eszköz védelme általában jelszóval, PIN-kóddal, mintázattal vagy a Windows Hellóval van biztosítva.
A Microsoft Entra csatlakozott: Az Ön szervezete birtokolja ezeket az eszközöket. A felhasználók a munkahelyi fiókjukon keresztül férnek hozzá a felhőalapú Microsoft Entra-példányhoz. Az eszközidentitások csak a felhőben léteznek. Ez a beállítás csak Windows 10, Windows 11 vagy Windows Server 2019 rendszerű eszközökön érhető el. A Windows Server 2019 Server Core-telepítése nem támogatott. Ennél a lehetőségnél a biztonság jelszó vagy a Windows Hello használatán alapul.
Microsoft Entra hibrid illesztés: Ez a beállítás hasonló a Microsoft Entra-hoz. Ezek az eszközök a szervezet tulajdonában vannak, és a szervezethez tartozó Microsoft Entra-fiókkal vannak bejelentkezve. Az eszközidentitások a felhőben és a helyszínen is léteznek. A hibrid megoldás jobban megfelel a helyszíni és felhőbeli hozzáférést is igénylő vállalatoknak. Ez a beállítás támogatja a Windows 8.1, 10 és 11, valamint a Windows Server 2012 vagy újabb verziót.
Conditional Access
A Microsoft Entra ID feltételes hozzáférése a jelekként ismert forrásokból származó adatokat használja, ellenőrzi azokat egy felhasználó által definiálható szabálybázison, és kiválasztja a legjobb eredményt a szervezet biztonsági szabályzatainak kikényszerítéséhez. A feltételes hozzáférés lehetővé teszi az eszközidentitás-kezelést, de a feltételes hozzáférési szabályzatok összetettek lehetnek.
A legegyszerűbben ezeket a szabályzatokat "if-then" utasításoknak tekintheti. Ha egy felhasználó el akar érni egy erőforrást, akkor eleget kell tennie a kérés teljesítésére vonatkozó feltételeknek. Példa: Egy bérszámfejtés-kezelő hozzá szeretne férni a bérszámfejtési alkalmazáshoz. A feltételes hozzáférési szabályzat megköveteli, hogy megfelelő eszközt használjanak, és többtényezős hitelesítést végezzenek az alkalmazás eléréséhez.
A feltételes hozzáférési szabályzatok akkor lesznek alkalmazva, ha a felhasználó sikeresen végrehajtotta az elsőfaktoros hitelesítést, általában felhasználónévvel és jelszóval. Ezek a szabályzatok nem helyettesítik a hitelesítés első fázisát. A rendeltetésük az olyan tényezők megállapítása, mint az eszköz, a hely és az alkalmazás, valamint a kockázat valós idejű felmérése.
Gyakran használt jeltípusok
A feltételes hozzáférés számos gyakori jeltípust használ annak eldöntéséhez, hogy melyik eredményt javasolja.
A jelek típusai többek között az alábbiak:
- Felhasználó vagy csoporttagság az erőforrások elérésének részletes szabályozásához.
- Az IP-helyadatok a megbízható IP-címek engedélyezési listáját és a letiltott vagy tiltott IP-címek tiltólistát használják.
- Eszköz az eszköz típusának és állapotának meghatározásához.
- Alkalmazás, amellyel egy adott eszköznek egy adott alkalmazáshoz való hozzáférése szabályozható.
- A valós idejű és számított kockázatészlelés lehetővé teszi, hogy a Microsoft Entra-azonosító ne csak a bejelentkezés során, hanem a felhasználói munkamenet során is azonosítsa a viselkedéseket.
- Felhőhöz készült Microsoft Defender Alkalmazások valós idejű monitorozást biztosítanak a felhasználó munkamenet- és alkalmazáshozzáféréséről. Felhőhöz készült Defender Alkalmazások a felhőkörnyezet szabályozásában is segítséget nyújt.
Gyakori döntések
A feltételes hozzáférés kiértékeli a jeleket, és meghatároz egy döntést:
- Tiltja a hozzáférést, ami a legkorlátozóbb.
- Adjon hozzáférést, ami a legkevésbé korlátozó, de a hozzáférés engedélyezése előtt további feltételeket igényelhet.
Ilyen feltétel lehet egy vagy több az alábbiak közül:
- Többtényezős hitelesítés
- Megfelelőként megjelölt eszköz
- Hibrid Microsoft Entra csatlakoztatott eszköz
- Jóváhagyott alkalmazás
- Alkalmazásvédelmi szabályzat szükségessége
Ha a szervezet a Microsoft Entra többtényezős hitelesítést használja, a felhasználóknak nem kell többtényezős hitelesítést végezniük, ha mobileszköz-kezelési (MDM) kompatibilis eszközt használnak, és a Microsoft Entra csatlakozik. A kiválasztott vezérlők közül a Kötelező beállítás kiválasztásával választhatja ki a támogatási vezérlőket. Ha a bérszámfejtési alkalmazáshoz hasonló további biztonságra van szüksége, válassza a Többtényezős hitelesítés és a megfelelő eszköz megkövetelése az összes kiválasztott vezérlő megkövetelése lehetőséget.
Gyakran alkalmazott szabályzatok
Számos szervezet rendelkezik gyakori hozzáférési problémákkal, amelyekben a feltételes hozzáférési szabályzatok segíthetnek, például:
- Többtényezős hitelesítés megkövetelése minden rendszergazdai szerepkörrel rendelkező felhasználótól.
- Többtényezős hitelesítés megkövetelése az Azure-felügyeleti feladatokhoz.
- A régebbi hitelesítési protokollokat használó bejelentkezési kísérletek tiltása.
- Megbízható helyek megkövetelése a Többtényezős Microsoft Entra-hitelesítés regisztrációhoz.
- Adott helyekről történő hozzáférés tiltása vagy engedélyezése.
- Kockázatos bejelentkezési viselkedések letiltása.
- Vállalat által felügyelt eszköz megkövetelése adott alkalmazásokhoz.
Feltételes hozzáférési szabályzat létrehozásához szükséges kijelölések
Feltételes hozzáférési szabályzat létrehozásához nyissa meg a Microsoft Entra ID>Security>Feltételes hozzáférés>új szabályzatát az Azure Portalon.
A szabályzat működéséhez konfigurálnia kell a következőket:
| Mi | Hogyan | Miért |
|---|---|---|
| Felhőalkalmazások | Válasszon ki legalább egy alkalmazást. | A feltételes hozzáférési szabályzat célja, hogy általa szabályozni tudja, hogyan érhetik el a jogosult felhasználók a felhőalkalmazásokat. |
| Felhasználók és csoportok | Válasszon ki legalább egy felhasználót vagy csoportot, amely jogosult a kijelölt felhőalkalmazások elérésére. | A feltételes hozzáférési szabályzatok, amelyekhez nincsenek hozzárendelve felhasználók és csoportok, soha nem aktiválódnak. |
| Hozzáférés-vezérlés | Válasszon ki legalább egy hozzáférés-vezérlőt. | A feltételek teljesülése esetén a szabályzat feldolgozásához tudni kell, hogy mi a teendő. |
Az eszközidentitás-kezelés előnyei
Az eszközidentitás és a Feltételes hozzáférés együttes használatának néhány előnye a Microsoft Entra ID-ban:
- Ez a kombináció leegyszerűsíti az eszközök Microsoft Entra-azonosítóban való hozzáadásának és kezelésének eljárását.
- Együttes használatuk egyszerűbbé teszi a különböző eszközök közötti váltást a felhasználók számára.
- A Microsoft Entra ID támogatja az MDM-eszközöket, például a Microsoft Intune-t.
- Bármely regisztrált vagy beléptetett eszközzel használható az egyszeri bejelentkezés.
Az eszközidentitás-kezelés használata előtt mérlegelendő szempontok
Eszközidentitás értékelésekor figyelembe kell venni az alábbi tényezőket:
- A Microsoft Entra csatlakoztatott vagy hibrid beállítás használata korlátozza a Windows- vagy Windows Server-alapú operációs rendszer használatát az eszközön.
- A feltételes hozzáféréshez Microsoft Entra ID P1 licencre vagy Microsoft 365 Vállalati verziós licencre van szükség.