Gyakori feltételes hozzáférési szabályzat: MFA megkövetelése minden felhasználóhoz

Ahogy Alex Weinert, a Microsoft Identitásbiztonsági Címtára, megemlíti a Saját Pa$$word blogbejegyzésében:

A jelszó nem számít, de az MFA igen! Tanulmányaink alapján a fiókja több mint 99,9%-kal kisebb valószínűséggel sérül meg, ha MFA-t használ.

A cikk útmutatása segít a szervezetnek MFA-szabályzatot létrehozni a környezetéhez.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Alkalmazáskizárások

A szervezetek számos felhőalkalmazást használhatnak. Nem minden alkalmazás igényelhet egyenlő biztonságot. Előfordulhat például, hogy a bérszámfejtési és részvételi kérelmekhez MFA szükséges, de a cafeteria valószínűleg nem. Rendszergazda istratorok dönthetnek úgy, hogy kizárnak bizonyos alkalmazásokat a szabályzatukból.

Előfizetés aktiválása

Azok a szervezetek, amelyek az Előfizetés-aktiválás funkciót használják, lehetővé teszik a felhasználók számára, hogy a Windows egyik verziójáról a másikra "lépjenek fel", és feltételes hozzáférési szabályzatokkal szabályozhassák a hozzáférést, ki kell zárniuk az alábbi felhőalkalmazások egyikét a feltételes hozzáférési szabályzataikból a Kizárt felhőalkalmazások kiválasztása funkcióval:

Bár az alkalmazásazonosító mindkét példányban ugyanaz, a felhőalkalmazás neve a bérlőtől függ.

A kizárások feltételes hozzáférési szabályzatokban való konfigurálásáról további információt az Alkalmazáskizárások című témakörben talál.

Ha egy eszköz hosszabb ideje offline állapotban van, előfordulhat, hogy az eszköz nem aktiválódik automatikusan, ha ez a feltételes hozzáférés-kizárás nincs érvényben. A feltételes hozzáférés kizárásának beállítása biztosítja, hogy az előfizetés aktiválása továbbra is zökkenőmentesen működjön.

A Windows 11 23H2 KB5034848 vagy újabb verziójától kezdve a rendszer bejelentési értesítéssel kéri a felhasználók hitelesítését, amikor az előfizetés aktiválásának újra kell aktiválnia. A bejelentési értesítés a következő üzenetet jeleníti meg:

A fiók hitelesítést igényel

Jelentkezzen be munkahelyi vagy iskolai fiókjába az adatai ellenőrzéséhez.

Emellett az Aktiválás panelen a következő üzenet jelenhet meg:

Jelentkezzen be munkahelyi vagy iskolai fiókjába az adatai ellenőrzéséhez.

A hitelesítés kérése általában akkor fordul elő, ha egy eszköz hosszabb ideje offline állapotban van. Ez a módosítás szükségtelenné teszi a kizárást a Windows 11 23H2-es és KB5034848 vagy újabb verziójának feltételes hozzáférési szabályzatában. A feltételes hozzáférési szabályzat továbbra is használható a Windows 11 23H2-es verziójával KB5034848 vagy újabb verzióval, ha a felhasználói hitelesítés bejelentési értesítésen keresztüli kérése nem kívánatos.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy minden felhasználó többtényezős hitelesítést végezhessen.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
  6. A Célerőforrások>Felhőalkalmazások>Belefoglalva területen válassza az Összes felhőalkalmazás lehetőséget.
    1. A Kizárás területen válassza ki azokat az alkalmazásokat, amelyekhez nincs szükség többtényezős hitelesítésre.
  7. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Nevesített helyek

A szervezetek dönthetnek úgy, hogy a feltételes hozzáférési szabályzataikba beépítik a nevesített helyek néven ismert hálózati helyeket . Ezek az elnevezett helyek tartalmazhatnak megbízható IPv4-hálózatokat, például egy fő irodahelyhez tartozókat. A névvel ellátott helyek konfigurálásáról további információt a Microsoft Entra Feltételes hozzáférés helyfeltételei című cikkben talál.

Az előző példaszabályzatban a szervezetek dönthetnek úgy, hogy nem igényelnek többtényezős hitelesítést, ha egy felhőalkalmazást a vállalati hálózatukról érnek el. Ebben az esetben a következő konfigurációt adhatják hozzá a szabályzathoz:

  1. A Hozzárendelések csoportban válassza a Feltételek>helye lehetőséget.
    1. Konfigurálja az igent.
    2. Adjon meg bármilyen helyet.
    3. Zárja ki az összes megbízható helyet.
    4. Válassza a Kész lehetőséget.
  2. Válassza a Kész lehetőséget.
  3. Mentse a szabályzat módosításait.

Következő lépések

Feltételes hozzáférési sablonok

A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.