Feltételes hozzáférés: Hozzáférés letiltása

A konzervatív felhőbe való migrálási megközelítéssel rendelkező szervezetek esetében a minden szabályzat blokkolása egy olyan lehetőség, amely használható.

Figyelemfelhívás

A blokkszabályzat helytelen konfigurálása miatt a szervezetek ki lesznek zárva az Azure Portalról.

Az ilyen szabályzatoknak nem kívánt mellékhatásai lehetnek. Az engedélyezés előtt elengedhetetlen a megfelelő tesztelés és ellenőrzés. A rendszergazdáknak olyan eszközöket kell használniuk, mint a feltételes hozzáférés jelentéskészítési módja és a Lehetőségelemzés eszköz a feltételes hozzáférésben a módosítások végrehajtásakor.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy biztonsági mentéssel rendelkező fiókok. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiókjával bejelentkezhet a bérlőbe, és lépéseket tehet a hozzáférés helyreállításához.
  • Szolgáltatásfiókok és szolgáltatásnevek, például az Azure AD Connect szinkronizálási fiókja. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában a háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem hajtható végre programozott módon. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem blokkolja.
    • Ha szervezete használja ezeket a fiókokat szkriptekben vagy kódban, érdemes lehet felügyelt identitásokra cserélni őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Feltételes hozzáférési szabályzat létrehozása

Az alábbi lépések segítenek feltételes hozzáférési szabályzatokat létrehozni, amelyek letiltják az összes alkalmazáshoz való hozzáférést, kivéve az Office 365-öt , ha a felhasználók nem megbízható hálózaton vannak. Ezek a szabályzatok csak jelentéskészítési módba kerülnek, hogy a rendszergazdák megállapíthassák, milyen hatással lesznek a meglévő felhasználókra. Ha a rendszergazdák jól érzik magukat, hogy a szabályzatok a kívánt módon érvényesek, bekapcsolhatják őket.

Az első szabályzat letiltja az összes alkalmazáshoz való hozzáférést, kivéve a Microsoft 365-alkalmazásokat, ha nem megbízható helyen.

  1. Jelentkezzen be az Azure Portalra globális rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként.
  2. Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférését.
  3. Válassza az Új szabályzat lehetőséget.
  4. Nevezze el a szabályzatot. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések alatt válassza a Felhasználók és csoportok lehetőséget.
    1. A Belefoglalás csoportban válassza az Összes felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférési vagy biztonsági mentési fiókjait.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy -műveletek területen válassza a következő beállításokat:
    1. A Belefoglalás területen válassza az Összes felhőalkalmazás lehetőséget.
    2. A Kizárás területen válassza az Office 365 lehetőséget, válassza a Kiválasztás, majd a Kész lehetőséget.
  7. Feltételek szerint:
    1. Feltételek mellett>a hely.
      1. Konfigurálás beállításaIgen értékre
      2. A Belefoglalás területen válassza a Bármely hely lehetőséget.
      3. A Kizárás területen válassza az Összes megbízható hely lehetőséget.
      4. Válassza a Kész lehetőséget.
    2. Az Ügyfélalkalmazások (előzetes verzió) területen állítsa a Konfigurálásigen értékre, majd válassza a Kész, majd a Kész lehetőséget.
  8. A Hozzáférés-vezérlés>megadása területen válassza a Hozzáférés letiltása, majd a Kiválasztás lehetőséget.
  9. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésebeállítást csak jelentésre.
  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a csak jelentéskészítési módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Az alábbiakban egy második szabályzatot hozunk létre, amely többtényezős hitelesítést vagy megfelelő eszközt igényel a Microsoft 365 felhasználói számára.

  1. Válassza az Új szabályzat lehetőséget.
  2. Nevezze el a szabályzatot. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  3. A Hozzárendelések alatt válassza a Felhasználók és csoportok lehetőséget.
    1. A Belefoglalás csoportban válassza az Összes felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférési vagy biztonsági mentési fiókjait.
    3. Válassza a Kész lehetőséget.
  4. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Alkalmazások kiválasztása, az Office 365, majd a Kiválasztás, majd a Kész lehetőséget.
  5. A Hozzáférés-vezérlés>megadása területen válassza a Hozzáférés megadása lehetőséget.
    1. Válassza a Többtényezős hitelesítés megkövetelése és Az eszköz megfelelőként való megjelölésének megkövetelése lehetőséget, válassza a Kiválasztás lehetőséget.
    2. Győződjön meg arról , hogy a kijelölt vezérlők egyikének megkövetelése van kiválasztva.
    3. Válassza a Kiválasztás lehetőséget.
  6. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésebeállítást csak jelentésre.
  7. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a csak jelentéskészítési módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Megjegyzés

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kikényszeríthetők. A feltételes hozzáférés nem a szervezet első védelmi vonala olyan forgatókönyvek esetén, mint a szolgáltatásmegtagadásos (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Következő lépések

Feltételes hozzáférés – gyakori szabályzatok

Hatás meghatározása csak feltételes hozzáférés jelentéskészítési móddal

Bejelentkezési viselkedés szimulálása a feltételes hozzáférés Lehetőségelemzési eszközével