Feltételes hozzáférés: MFA megkövetelve minden felhasználó számára

Alex Weinert, a Microsoft Identity Security címtára a következő blogbejegyzésében említi: A Pa$$word nem számít:

A jelszó nem számít, de az MFA igen! Tanulmányaink alapján a fiókja több mint 99,9%-kal kisebb valószínűséggel kerül veszélybe MFA használata esetén.

Az ebben a cikkben olvasható útmutatás segítséget nyújt a szervezet számára egy MFA-szabályzat létrehozásához a környezethez.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, javasoljuk, hogy a következő fiókokat kizárja a szabályzatból:

  • Vészelérési vagy vészhelyzeti fiókok a bérlői szintű fiókzárolás megakadályozása érdekében. Abban a nem valószínű forgatókönyvben, hogy minden rendszergazda ki van zárva a bérlőből, a vészelérési rendszergazdai fiókkal bejelentkezhet a bérlőbe, és lépéseket tesz a hozzáférés helyreállításához.
    • További információt a Vészelérési fiókok kezelése az Azure AD-bancikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnév, például az Azure AD Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egy adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek lehetővé teszik az alkalmazások programozott hozzáférését, de felügyeleti célból a rendszerekbe való bejelentkezésre is használatosak. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem teljesítható programozott módon. A szolgáltatásnév által kezdeményezt hívásokat nem blokkolja a feltételes hozzáférés.
    • Ha a szervezete ezeket a fiókokat szkriptekben vagy kódban használja, érdemes lehet felügyelt identitásokkal helyettesítenie őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket a fiókokat az alapkonfiguráció szabályzatból.

Alkalmazáskizárások

A szervezetek számos felhőalkalmazást használhatnak. Előfordulhat, hogy nem minden alkalmazáshoz van szükség azonos biztonságra. Előfordulhat például, hogy a bérszámfejtési és a kérelmi alkalmazások MFA-t igényelnek, de a bérszámfejtési rendszer valószínűleg nem. A rendszergazdák dönthetnek úgy, hogy kizárnak bizonyos alkalmazásokat a szabályzatukból.

Sablonalapú telepítés

A szervezetek az alábbi lépésekkel vagy a Feltételes hozzáférés sablonjaival (előzetes verzió) választhatják a szabályzat üzembe helyezését.

Feltételes hozzáférési szabályzat létrehozása

Az alábbi lépések segítségével létrehozhat egy feltételes hozzáférési szabályzatot, amely minden felhasználótól megköveteli a többtényezős hitelesítést.

  1. Jelentkezzen be a Azure Portal rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférésű rendszergazdaként.
  2. Lépjen a Azure Active Directoryfeltételes hozzáférésének eléréséhez.
  3. Válassza az Új szabályzat lehetőséget.
  4. Nevezze el a szabályzatot. Javasoljuk, hogy a szervezetek hozzanak létre egy jelentéssel bíró szabványt a szabályzataik neveihez.
  5. A Hozzárendelések alattválassza a Felhasználók és csoportok lehetőséget.
    1. A Include (Tartalmazza)alatt válassza a Minden felhasználó lehetőséget.
    2. A Kizárás alattválassza a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészelérési vagy vészhelyzeti fiókjait.
    3. Válassza a Kész lehetőséget.
  6. A Cloud apps or actions (Felhőalkalmazások vagyműveletek) Include (Tartalmazza)alatt válassza a Minden felhőalkalmazás lehetőséget.
    1. A Kizárás alattválasszon ki minden olyan alkalmazást, amely nem igényel többtényezős hitelesítést.
  7. A Hozzáférés-vezérlésiengedélyalatt válassza a Hozzáférés megadásalehetőséget, a Többtényezős hitelesítés megkövetelvelehetőséget, majd a Kijelölés lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Szabályzat engedélyezése beállítást Csak jelentésre.
  9. A szabályzat engedélyezéséhez válassza a Létrehozás lehetőséget.

Miután meggyőződtek a beállításokról a csak jelentés módban,a rendszergazda áthelyezheti a Szabályzat engedélyezése kapcsolót a Csak jelentésről a Bebeállításra.

Nevesített helyek

A szervezetek dönthetnek úgy, hogy a Nevessel elnevezett helyek néven ismert hálózati helyeket építik be a feltételes hozzáférési szabályzataikba. Ezek az elnevezett helyek megbízható IPv4-hálózatokat tartalmazhatnak, például a főiroda telephelyeit. A nevestűs helyek konfigurálásával kapcsolatos további információkért tekintse meg A feltételes hozzáférés helyével kapcsolatos Azure Active Directory cikkét.

A fenti példa szabályzatban egy szervezet dönthet úgy, hogy nem követeli meg a többtényezős hitelesítést, ha a felhőalkalmazást a vállalati hálózatról fér hozzá. Ebben az esetben a következő konfigurációt adhatják hozzá a szabályzathoz:

  1. A Hozzárendelések alattválassza a Feltételek helyelehetőséget.
    1. Konfigurálja az Igen et.
    2. Bármilyen helyet foglalhat bele.
    3. Zárja ki az Összes megbízható helyet.
    4. Válassza a Kész lehetőséget.
  2. Válassza a Kész lehetőséget.
  3. Mentse a szabályzat módosításait.

Következő lépések

Feltételes hozzáférés – gyakori szabályzatok

Bejelentkezési viselkedés szimulálása a feltételes hozzáférés What If eszközzel