Többtényezős hitelesítés (MFA) kényszerítése az előfizetéseken

Ha csak jelszavakat használ a felhasználók hitelesítéséhez, nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat, vagy több szolgáltatáshoz használják újra őket. Ha az MFA engedélyezve van, a fiókjai biztonságosabbak, és a felhasználók továbbra is szinte bármilyen alkalmazáshoz hitelesíthetik magukat egyszeri bejelentkezéssel (SSO).

Az MFA több módon is engedélyezve van az Azure Active Directory- (AD-) felhasználók számára a szervezet licencei alapján. Ez az oldal a Microsoft Defender for Cloud környezetében található részletekkel szolgál.

MFA és Microsoft Defender for Cloud

A Defender for Cloud nagy értéket helyez el az MFA-n. Az MFA engedélyezése az a biztonsági vezérlő, amely a legtöbbet járul hozzá a biztonsági pontszámhoz.

Az MFA engedélyezése vezérlő javaslatai biztosítják, hogy megfelel-e az előfizetések felhasználóinak ajánlott eljárásoknak:

  • Az MFA-t engedélyezni kell az előfizetés tulajdonosi engedélyekkel rendelkező fiókjaiban
  • Az MFA-t engedélyezni kell az előfizetés írási engedélyekkel rendelkező fiókjaiban

Az MFA engedélyezésének három módja van, és meg kell felelnie a Defender for Cloud két javaslatának: alapértelmezett biztonsági beállítások, felhasználónkénti hozzárendelés, feltételes hozzáférési (CA) szabályzat. Ezeket a lehetőségeket az alábbiakban ismertetjük.

Ingyenes beállítás – alapértelmezett biztonsági beállítások

Ha a Azure AD ingyenes kiadását használja, a biztonsági alapértelmezések használatával engedélyezze a többtényezős hitelesítést a bérlőn.

MFA Microsoft 365 Vállalati, E3 vagy E5-ügyfeleknek

A Microsoft 365-öt használó ügyfelek felhasználónkénti hozzárendelést használhatnak. Ebben a forgatókönyvben Azure AD MFA engedélyezve van vagy le van tiltva az összes felhasználó számára az összes bejelentkezési eseményhez. Nem lehet engedélyezni a többtényezős hitelesítést a felhasználók egy részhalmazához vagy bizonyos forgatókönyvek esetén, és a felügyelet a Office 365 portálon keresztül történik.

MFA Azure AD Premium-ügyfelek számára

A jobb felhasználói élmény érdekében frissítsen Prémium P1 szintű Azure AD vagy P2 verzióra a feltételes hozzáférési (CA) szabályzatbeállításokhoz. Ca-szabályzat konfigurálásához Azure Active Directory-bérlői engedélyekre lesz szüksége.

A hitelesítésszolgáltatói szabályzatnak a következőket kell tennie:

  • MFA kényszerítése
  • tartalmazza a Microsoft Azure Management alkalmazásazonosítóját (797f4846-ba00-4fd7-ba43-dac1f8f63013) vagy az összes alkalmazást
  • nem zárja ki a Microsoft Azure Management alkalmazásazonosítóját

Prémium P1 szintű Azure AD ügyfelek Azure AD hitelesítésszolgáltatóval kérhetik a felhasználókat többtényezős hitelesítésre bizonyos forgatókönyvek vagy események során az üzleti követelményeknek megfelelően. Egyéb licencek, amelyek tartalmazzák ezt a funkciót: Nagyvállalati mobilitási és biztonsági E3 csomag, Microsoft 365 F1 és Microsoft 365 E3.

Prémium P2 szintű Azure AD a legerősebb biztonsági funkciókat és jobb felhasználói élményt nyújt. Ez a licenc kockázatalapú feltételes hozzáférést biztosít a Prémium P1 szintű Azure AD funkciókhoz. A kockázatalapú hitelesítésszolgáltató alkalmazkodik a felhasználók mintáihoz, és minimalizálja a többtényezős hitelesítési kéréseket. Egyéb licencek, amelyek tartalmazzák ezt a funkciót: Enterprise Mobility + Security E5 vagy Microsoft 365 E5.

További információ az Azure Feltételes hozzáférés dokumentációjában.

A többtényezős hitelesítés (MFA) engedélyezése nélküli fiókok azonosítása

Az MFA-t nem engedélyező felhasználói fiókok listáját a Defender for Cloud javaslatainak részleteit tartalmazó lapon, vagy az Azure Resource Graph használatával tekintheti meg.

Az MFA-t nem engedélyező fiókok megtekintése a Azure Portal

A javaslat részletei lapon válasszon ki egy előfizetést a Nem kifogástalan állapotú erőforrások listájából, vagy válassza a Művelet végrehajtása lehetőséget , és megjelenik a lista.

Az MFA engedélyezése nélküli fiókok megtekintése az Azure Resource Graph

Az alábbi Azure Resource Graph-lekérdezéssel megállapíthatja, hogy mely fiókokban nincs engedélyezve az MFA. A lekérdezés visszaadja az összes nem megfelelő állapotú erőforrást – a fiókokat – "Az MFA-t engedélyezni kell az előfizetés tulajdonosi engedélyeivel rendelkező fiókokon".

  1. Nyissa meg az Azure Resource Graph Explorert.

    Az Azure Resource Graph Explorer** javaslatoldalának elindítása

  2. Írja be a következő lekérdezést, és válassza a Lekérdezés futtatása lehetőséget.

    securityresources
     | where type == "microsoft.security/assessments"
     | where properties.displayName == "MFA should be enabled on accounts with owner permissions on your subscription"
     | where properties.status.code == "Unhealthy"
    
  3. A additionalData tulajdonság megjeleníti az MFA-t nem érvényesítő fiókok fiókobjektum-azonosítóinak listáját.

    Megjegyzés

    A fiókok objektumazonosítókként jelennek meg, nem pedig fióknevekként a fióktulajdonosok adatainak védelme érdekében.

Tipp

Másik lehetőségként használhatja a Defender for Cloud REST API Assessments – Get metódust.

Gyakori kérdések – MFA a Defender for Cloudban

Már ca-szabályzatot használunk az MFA kényszerítéséhez. Miért kapjuk meg továbbra is a Defender for Cloud javaslatait?

A javaslatok létrehozási okának vizsgálatához ellenőrizze a következő konfigurációs beállításokat az MFA hitelesítésszolgáltatói szabályzatában:

  • A fiókokat az MFA hitelesítésszolgáltatói szabályzatÁnak Felhasználók szakaszában (vagy a Csoportok szakaszban szereplő csoportok egyikében) foglalta össze.
  • Az Azure Management-alkalmazásazonosító (797f4846-ba00-4fd7-ba43-dac1f8f63013) vagy az összes alkalmazás szerepel az MFA-hitelesítésszolgáltatói szabályzat Alkalmazások szakaszában
  • Az Azure Management alkalmazásazonosítója nincs kizárva az MFA-hitelesítésszolgáltatói szabályzat Alkalmazások szakaszában

Külső MFA-eszközt használunk az MFA kényszerítéséhez. Miért kapjuk meg továbbra is a Defender for Cloud javaslatait?

A Defender for Cloud MFA-javaslatai nem támogatják a külső MFA-eszközöket (például DUO).

Ha a javaslatok a szervezet szempontjából irrelevánsak, érdemes lehet "enyhítettként" megjelölni őket az erőforrások kivétele és a biztonsági pontszámból származó javaslatok alapján. Letilthatja a javaslatokat is.

Miért jeleníti meg a Defender for Cloud az előfizetés engedély nélküli felhasználói fiókjait "MFA-t igénylőként"?

A Defender for Cloud MFA-javaslatai az Azure RBAC-szerepkörökre és a klasszikus Azure-előfizetés-rendszergazdák szerepkörre vonatkoznak . Ellenőrizze, hogy egyik fiók se rendelkezzen ilyen szerepkörökkel.

Az MFA-t a PIM-hez kényszerítjük. Miért nem megfelelőként jelennek meg a PIM-fiókok?

A Defender for Cloud MFA-javaslatai jelenleg nem támogatják a PIM-fiókokat. A Felhasználók/Csoport szakaszban adhatja ezeket a fiókokat feltételes hozzáférési szabályzathoz.

Felmenthetek vagy elutasíthatok néhány fiókot?

Az MFA-t nem használó fiókok kivételének képessége jelenleg nem támogatott. Ennek a funkciónak a hozzáadását tervezik, és az információk megtekinthetők a Fontos közelgő változások lapon.

Korlátozások vonatkoznak a Defender for Cloud identitás- és hozzáférés-védelmére?

Bizonyos korlátozások vonatkoznak a Defender for Cloud identitás- és hozzáférés-védelmére:

  • Az identitásjavaslatok nem érhetők el a 6000-nél több fiókkal rendelkező előfizetésekhez. Ezekben az esetekben az ilyen típusú előfizetések a Nem alkalmazható lapon jelennek meg.
  • Az identitásjavaslatok nem érhetők el a felhőszolgáltatói (CSP-) partner rendszergazdai ügynökei számára.
  • Az identitásjavaslatok nem azonosítják az emelt szintű identitáskezelési (PIM) rendszerrel felügyelt fiókokat. Ha PIM-eszközt használ, előfordulhat, hogy pontatlan eredmények jelennek meg a Hozzáférés és engedélyek kezelése vezérlőben.

Következő lépések

Ha többet szeretne megtudni a más Azure-erőforrástípusokra vonatkozó javaslatokról, tekintse meg a következő cikket: