Útmutató: Kockázati szabályzatok konfigurálása és engedélyezése

Ahogy az előző cikkben megtanultuk, az Identity Protection-szabályzatok két kockázati szabályzattal rendelkeznek, amelyeket engedélyezhetünk a címtárban.

• Bejelentkezési kockázati szabályzat
• Felhasználói kockázati szabályzat

Mindkét szabályzat együttműködik a környezet kockázatészlelésekre adott válaszának automatizálásával, és lehetővé teszi a felhasználók számára, hogy a kockázat észlelésekor önműködő szervizelést végezhessenek.

Az elfogadható kockázati szintek kiválasztása

A szervezeteknek el kell dönteniük, hogy milyen szintű kockázatot vállalnak a felhasználói élmény és a biztonsági helyzet egyensúlyának elfogadására.

A Microsoft javaslata az, hogy a felhasználói kockázati szabályzat küszöbértékét magasra , a bejelentkezési kockázati szabályzatot közepesre és magasabbra állítsa, és engedélyezze az önjavítási lehetőségeket. Ha nem engedélyezi az önjavítási lehetőségeket, például a jelszómódosítást és a többtényezős hitelesítést, a hozzáférés letiltása hatással lesz a felhasználókra és a rendszergazdákra. A szabályzatok konfigurálásakor mérlegelje ezt a lehetőséget.

A magas küszöbérték kiválasztása csökkenti a szabályzatok aktiválásának számát, és minimalizálja a felhasználókra gyakorolt hatást. Azonban kizárja az alacsony és közepes kockázatú észleléseket a szabályzatból, ami nem feltétlenül akadályozza meg, hogy egy támadó feltört identitást használjon ki. Az alacsony küszöbérték kiválasztása további felhasználói megszakításokat vezet be.

A konfigurált megbízható hálózati helyeket az Identity Protection bizonyos kockázatészlelésekben a téves pozitív értékek csökkentése érdekében használja.

Kockázatkezelés

A szervezetek dönthetnek úgy, hogy kockázat észlelésekor letiltják a hozzáférést. A blokkolás néha megakadályozza, hogy a jogszerű felhasználók azt tegyenek, amire szükségük van. Jobb megoldás az önkiszolgáló szervizelés engedélyezése az Azure AD Multi-Factor Authentication (MFA) és az önkiszolgáló jelszóátállítás (SSPR) használatával.

• Amikor egy felhasználói kockázati szabályzat aktiválódik:
  • A rendszergazdák megkövetelhetik a biztonságos jelszó-visszaállítást, ami megköveteli az Azure AD MFA-t, mielőtt a felhasználó új jelszót hozna létre az SSPR-vel, ezzel visszaállítva a felhasználói kockázatot.
• Amikor egy bejelentkezési kockázati szabályzat aktiválódik:
  • Az Azure AD MFA aktiválható, így a felhasználó az egyik regisztrált hitelesítési módszerével igazolhatja, visszaállítva a bejelentkezési kockázatot.

Figyelmeztetés

A felhasználóknak regisztrálniuk kell az Azure AD MFA-ra és az SSPR-re, mielőtt szervizelést igénylő helyzetbe ütköznének. A nem regisztrált felhasználók blokkolva vannak, és rendszergazdai beavatkozást igényelnek.

A jelszó módosítása (ismerem a jelszavamat, és valami újra szeretném módosítani) a kockázatos felhasználói házirend szervizelési folyamatán kívül nem felel meg a biztonságos jelszó-visszaállítás követelményének.

Kizárások

A szabályzatok lehetővé teszik olyan felhasználók kizárását, mint például a vészhelyzeti hozzáférés vagy a biztonsági mentést lehetővé tért rendszergazdai fiókok. Előfordulhat, hogy a szervezeteknek ki kell zárniuk más fiókokat bizonyos szabályzatokból a fiókok használatától függően. A kizárásokat rendszeresen felül kell vizsgálni, hogy továbbra is alkalmazhatók-e.

Szabályzatok engedélyezése

Két helyen konfigurálhatók ezek a házirendek, a feltételes hozzáférés és az Identity Protection. A feltételes hozzáférési szabályzatokat használó konfiguráció az előnyben részesített módszer, amely további kontextust biztosít, például:

• Továbbfejlesztett diagnosztikai adatok
• Csak jelentés módú integráció
• Graph API támogatása
• További feltételes hozzáférési attribútumok használata a szabályzatban

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok (előzetes verzió) használatával dönthetnek úgy, hogy szabályzatokat helyeznek üzembe.

Mielőtt a szervezetek engedélyeznének szervizelési szabályzatokat, érdemes lehet megvizsgálniuk és elhárítaniuk az aktív kockázatokat.

Felhasználói kockázat feltételes hozzáféréssel

1. Jelentkezzen be a Azure Portal globális rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként.
2. Tallózással keresse meg a Azure Active Directory>SecurityConditional-hozzáférést>.
3. Válassza az Új szabályzat lehetőséget.
4. Nevezze el a szabályzatot. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések alatt válassza a Felhasználók és csoportok lehetőséget.
   1. A Belefoglalás csoportban válassza az Összes felhasználó lehetőséget.
   2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférési vagy biztonsági mentési fiókjait.
   3. Válassza a Kész lehetőséget.
6. A Felhőalkalmazások vagy azActionsInclude> területen válassza az Összes felhőalkalmazás lehetőséget.
7. A ConditionsUser> kockázat alatt állítsa a Konfigurálásigen értékre.
   1. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása területen válassza a Magas lehetőséget.
   2. Válassza a Kész lehetőséget.
8. Az AccesscontrolsGrant> alatt.
   1. Válassza a Hozzáférés megadása, Jelszómódosítás megkövetelése lehetőséget.
   2. Válassza a Kiválasztás lehetőséget.
9. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésebeállítást Be értékre.
10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Bejelentkezési kockázat feltételes hozzáféréssel

1. Jelentkezzen be a Azure Portal globális rendszergazdaként, biztonsági rendszergazdaként vagy feltételes hozzáférési rendszergazdaként.
2. Tallózással keresse meg a Azure Active Directory>SecurityConditional-hozzáférést>.
3. Válassza az Új szabályzat lehetőséget.
4. Nevezze el a szabályzatot. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
5. A Hozzárendelések alatt válassza a Felhasználók és csoportok lehetőséget.
   1. A Belefoglalás csoportban válassza az Összes felhasználó lehetőséget.
   2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférési vagy biztonsági mentési fiókjait.
   3. Válassza a Kész lehetőséget.
6. A Felhőalkalmazások vagy azActionsInclude> területen válassza az Összes felhőalkalmazás lehetőséget.
7. A ConditionsSign-in> kockázat alatt állítsa a Konfigurálásigen értékre. A Bejelentkezési kockázati szint kiválasztása területen ez a szabályzat érvényes lesz.
   1. Válassza a Magas és a Közepes lehetőséget.
   2. Válassza a Kész lehetőséget.
8. Az AccesscontrolsGrant> alatt.
   1. Válassza a Hozzáférés biztosítása lehetőséget, többtényezős hitelesítés megkövetelése.
   2. Válassza a Kiválasztás lehetőséget.
9. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésebeállítást Be értékre.
10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Következő lépések

• Az Azure AD Multi-Factor Authentication regisztrációs szabályzatának engedélyezése

• Mi a kockázat?

• Kockázatészlelések vizsgálata

• Kockázatészlelések szimulálása