Többtényezős hitelesítés (MFA) kezelése az előfizetéseken

Ha csak a felhasználók hitelesítéséhez használ jelszavakat, nyitva hagy egy támadási vektort. A felhasználók gyakran használnak gyenge jelszavakat, vagy több szolgáltatáshoz használják újra őket. Ha az MFA engedélyezve van, a fiókok biztonságosabbak, és a felhasználók továbbra is szinte bármilyen alkalmazáshoz hitelesíthetik magukat egyszeri bejelentkezéssel (SSO).

Az MFA-t többféleképpen is engedélyezheti a Microsoft Entra-felhasználók számára a szervezet licencei alapján. Ez a lap az egyes Felhőhöz készült Microsoft Defender kontextusában tartalmazza a részleteket.

MFA és Felhőhöz készült Microsoft Defender

Felhőhöz készült Defender magas értéket helyez el az MFA-n. A biztonsági pontszámhoz leginkább hozzájáruló biztonsági vezérlő az MFA engedélyezése.

Az MFA engedélyezése vezérlő alábbi javaslatai biztosítják, hogy megfelelhessen az előfizetések felhasználóinak ajánlott eljárásoknak:

  • Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t
  • Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t
  • Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t

Az MFA engedélyezésének három módja van, amelyek megfelelnek a Felhőhöz készült Defender két javaslatának: biztonsági alapértelmezett beállítások, felhasználónkénti hozzárendelés és feltételes hozzáférési (CA) szabályzat.

Ingyenes beállítás – alapértelmezett biztonsági beállítások

Ha a Microsoft Entra ID ingyenes kiadását használja, a biztonsági alapértékekkel engedélyezze a többtényezős hitelesítést a bérlőn.

MFA Microsoft 365 Vállalati, E3 vagy E5-ügyfeleknek

A Microsoft 365-öt használó ügyfelek felhasználónkénti hozzárendelést használhatnak. Ebben a forgatókönyvben a Microsoft Entra többtényezős hitelesítés engedélyezve van vagy le van tiltva minden felhasználó számára az összes bejelentkezési esemény esetében. Nem lehet többtényezős hitelesítést engedélyezni a felhasználók egy részének vagy bizonyos forgatókönyvek esetén, és a felügyelet az Office 365 portálon keresztül történik.

MFA a Microsoft Entra ID P1 vagy P2 ügyfelei számára

A jobb felhasználói élmény érdekében frissítsen a Microsoft Entra ID P1 vagy P2 azonosítóra a feltételes hozzáférési (CA) házirend-beállításokhoz. Ca-szabályzat konfigurálásához Microsoft Entra-bérlői engedélyekre van szükség.

A ca-szabályzatnak a következőnek kell lennie:

  • MFA kényszerítése

  • tartalmazza a Microsoft Azure Management alkalmazásazonosítóját (797f4846-ba00-4fd7-ba43-dac1f8f63013) vagy az összes alkalmazást

  • a Microsoft Azure Management alkalmazásazonosítójának kizárása

A Microsoft Entra ID P1-ügyfelek a Microsoft Entra CA használatával kérhetik a felhasználókat többtényezős hitelesítésre bizonyos forgatókönyvek vagy események során az üzleti követelményeknek megfelelően. További licencek, amelyek tartalmazzák ezt a funkciót: Nagyvállalati mobilitási és biztonsági E3 csomag, Microsoft 365 F1 és Microsoft 365 E3.

A Microsoft Entra ID P2 biztosítja a legerősebb biztonsági funkciókat és a jobb felhasználói élményt. Ez a licenc kockázatalapú feltételes hozzáférést biztosít a Microsoft Entra ID P1 funkcióihoz. A kockázatalapú hitelesítésszolgáltató alkalmazkodik a felhasználók mintáihoz, és minimalizálja a többtényezős hitelesítési kéréseket. Egyéb licencek, amelyek tartalmazzák ezt a funkciót: Enterprise Mobility + Security E5 vagy Microsoft 365 E5.

További információ az Azure Feltételes hozzáférés dokumentációjában.

Többtényezős hitelesítés (MFA) engedélyezése nélküli fiókok azonosítása

A felhasználói fiókok listáját az MFA engedélyezése nélkül is megtekintheti a Felhőhöz készült Defender javaslatok részleteit tartalmazó oldalon, vagy az Azure Resource Graph használatával.

A fiókok megtekintése MFA engedélyezése nélkül az Azure Portalon

A javaslat részletei lapon válasszon ki egy előfizetést a Nem megfelelő erőforrások listájából, vagy válassza a Művelet végrehajtása lehetőséget, és megjelenik a lista.

A fiókok megtekintése az MFA engedélyezése nélkül az Azure Resource Graph használatával

Annak megtekintéséhez, hogy mely fiókok nem rendelkeznek engedélyezett MFA-val, használja az alábbi Azure Resource Graph-lekérdezést. A lekérdezés a "Tulajdonosi engedélyekkel rendelkező fiókok az Azure-erőforrásokon engedélyezett MFA-val" javaslat összes nem megfelelő erőforrását – fiókját – adja vissza.

  1. Nyissa meg az Azure Resource Graph Explorert.

    Screenshot showing launching the Azure Resource Graph Explorer** recommendation page.

  2. Írja be a következő lekérdezést, és válassza a Lekérdezés futtatása lehetőséget.

    securityresources
    | where type =~ "microsoft.security/assessments/subassessments"
    | where id has "assessments/dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c" or id has "assessments/c0cb17b2-0607-48a7-b0e0-903ed22de39b" or id has "assessments/6240402e-f77c-46fa-9060-a7ce53997754"
    | parse id with start "/assessments/" assessmentId "/subassessments/" userObjectId
    | summarize make_list(userObjectId) by strcat(tostring(properties.displayName), " (", assessmentId, ")")
    | project ["Recommendation Name"] = Column1 , ["Account ObjectIDs"] = list_userObjectId
    
  3. A additionalData tulajdonság megjeleníti az MFA-t nem kényszerítő fiókok fiókobjektum-azonosítóinak listáját.

    Feljegyzés

    Az "Account ObjectIDs" (Fiókobjektumazonosítók) oszlop tartalmazza azoknak a fiókoknak a fiókobjektum-azonosítóit, amelyeknél nincs MFA kényszerítve javaslatonként.

    Tipp.

    Másik lehetőségként használhatja a Felhőhöz készült Defender REST API assessments – Get metódust is.

Korlátozások

  • Az MFA külső felhasználókra/bérlőkre való kényszerítésére vonatkozó feltételes hozzáférési funkció még nem támogatott.
  • A Microsoft Entra-szerepkörökre (például az összes globális rendszergazdára, külső felhasználóra, külső tartományra stb.) alkalmazott feltételes hozzáférési szabályzat még nem támogatott.
  • A külső MFA-megoldások, például az Okta, a Ping, a Duo és más megoldások nem támogatottak az identitáskezelési MFA-javaslatokban.

Következő lépések

Ha többet szeretne megtudni a más Azure-erőforrástípusokra vonatkozó javaslatokról, tekintse meg az alábbi cikkeket: