Kockázati szabályzatok konfigurálása és engedélyezése

Ahogy azt az előző cikkben, a kockázatalapú hozzáférési szabályzatokban megtanultuk, a Microsoft Entra Feltételes hozzáférésben kétféle kockázati szabályzatot állíthat be. Ezekkel a szabályzatokkal automatizálhatja a kockázatokra adott választ, így a felhasználók önjavítást végezhetnek a kockázat észlelésekor:

  • Bejelentkezési kockázati szabályzat
  • Felhasználói kockázati szabályzat

Screenshot of a Conditional Access policy showing risk as conditions.

Az elfogadható kockázati szintek kiválasztása

A szervezeteknek el kell dönteniük, hogy milyen szintű kockázatra van szükségük ahhoz, hogy hozzáférés-vezérlést igényeljenek a felhasználói élmény és a biztonsági helyzet egyensúlyának kiegyensúlyozása érdekében.

A hozzáférés-vezérlés magas kockázati szinten történő alkalmazása csökkenti a szabályzatok aktiválásának számát, és minimálisra csökkenti a felhasználók súrlódását. Azonban kizárja az alacsony és közepes kockázatokat a szabályzatból, ami nem akadályozhatja meg a támadót a feltört identitások kihasználásában. Ha alacsony kockázati szintet választ a hozzáférés-vezérlés megköveteléséhez, több felhasználói megszakítást vezet be.

A konfigurált megbízható hálózati helyeket az Identity Protection bizonyos kockázatészlelésekben a hamis pozitív értékek csökkentésére használja.

Az alábbi szabályzatkonfigurációk magukban foglalják a bejelentkezési gyakorisági munkamenet-vezérlést , amely ismételt hitelesítést igényel a kockázatos felhasználók és a bejelentkezések számára.

Kockázatkezelés

A szervezetek dönthetnek úgy, hogy letiltják a hozzáférést a kockázat észlelésekor. A letiltás néha megakadályozza a jogos felhasználókat, hogy azt tegyenek, amire szükségük van. Jobb megoldás az önműködő szervizelés engedélyezése a Microsoft Entra többtényezős hitelesítés és a jelszómódosítás biztonságos használatával.

Figyelmeztetés

A felhasználóknak regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre, mielőtt szervizelést igénylő helyzetbe ütköznének. A helyszíniről a felhőbe szinkronizált hibrid felhasználók esetében a jelszóvisszaírót engedélyezni kell rajtuk. A nem regisztrált felhasználók le vannak tiltva, és rendszergazdai beavatkozást igényelnek.

A jelszó módosítása (ismerem a jelszavamat, és valami újra szeretném módosítani) a kockázatos felhasználói házirend szervizelési folyamatán kívül nem felel meg a jelszó biztonságos módosítására vonatkozó követelménynek.

A Microsoft javaslata

A Microsoft a következő kockázati szabályzatkonfigurációkat javasolja a szervezet védelme érdekében:

  • Felhasználói kockázati szabályzat
    • Ha a felhasználói kockázati szint magas, biztonságos jelszómódosítást igényel. A Microsoft Entra többtényezős hitelesítésre van szükség ahhoz, hogy a felhasználó új jelszót hozzon létre jelszóvisszaíróval a kockázat elhárításához.
  • Bejelentkezési kockázati szabályzat
    • Többtényezős Microsoft Entra-hitelesítés megkövetelése, ha a bejelentkezési kockázati szint közepes vagy magas, így a felhasználók az egyik regisztrált hitelesítési módszerükkel igazolhatják a bejelentkezési kockázatot.

A hozzáférés-vezérlés megkövetelése, ha a kockázati szint alacsony, nagyobb súrlódást és felhasználói megszakításokat vezet be, mint közepes vagy magas. A hozzáférés letiltása ahelyett, hogy lehetővé tenné az önjavítási lehetőségeket, például a jelszómódosítást és a többtényezős hitelesítést, még inkább hatással van a felhasználókra és a rendszergazdákra. A szabályzatok konfigurálásakor mérlegelje ezeket a lehetőségeket.

Kizárások

A szabályzatok lehetővé teszik az olyan felhasználók kizárását, mint a vészhelyzeti hozzáférés vagy a biztonsági mentési rendszergazdai fiókok. Előfordulhat, hogy a szervezeteknek a fiókok használatától függően más fiókokat is ki kell zárniuk bizonyos szabályzatokból. A kizárásokat rendszeresen felül kell vizsgálni, hogy továbbra is alkalmazhatók-e.

Szabályzatok engedélyezése

A szervezetek az alábbi lépések vagy feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy kockázatalapú szabályzatokat helyeznek üzembe a feltételes hozzáférésben.

Mielőtt a szervezetek engedélyeznének szervizelési szabályzatokat, meg kell vizsgálniuk és orvosolniuk kell az aktív kockázatokat.

Felhasználói kockázati szabályzat a feltételes hozzáférésben

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
  7. Felhasználói kockázat esetén>állítsa a Konfigurálás igen értékre.
    1. A szabályzat kikényszerítéséhez szükséges felhasználói kockázati szintek konfigurálása csoportban válassza a Magas lehetőséget. (Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet)
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
    1. Válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése és a jelszómódosítás megkövetelése lehetőséget.
    2. Válassza a lehetőséget.
  9. A Munkamenet csoportban.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Bejelentkezési kockázati szabályzat a feltételes hozzáférésben

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.
  6. A Felhőalkalmazások vagy műveletek>belefoglalása területen válassza az Összes felhőalkalmazás lehetőséget.
  7. A bejelentkezési kockázat feltételei>között állítsa a Konfigurálás igen értékre. A Bejelentkezési kockázati szint kiválasztása területen ez a szabályzat érvényes lesz. (Ez az útmutató a Microsoft ajánlásain alapul, és az egyes szervezetek esetében eltérő lehet)
    1. Válassza a Magas és a Közepes lehetőséget.
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlési beállítások>területen adja meg a jogosultságot.
    1. Válassza a Hozzáférés megadása lehetőséget, többtényezős hitelesítés megkövetelése.
    2. Válassza a lehetőséget.
  9. A Munkamenet csoportban.
    1. Válassza ki a bejelentkezési gyakoriságot.
    2. Győződjön meg arról, hogy minden alkalommal ki van jelölve.
    3. Válassza a lehetőséget.
  10. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  11. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Kockázati szabályzatok áttelepítése feltételes hozzáférésre

Figyelmeztetés

A Microsoft Entra ID-védelem-ben konfigurált örökölt kockázati szabályzatok 2026. október 1-jén megszűnnek.

Ha a Kockázati szabályzatok engedélyezve vannak a Microsoft Entra-azonosítóban, érdemes a feltételes hozzáférésbe migrálni őket:

Screenshots showing the migration of a sign-in risk policy to Conditional Access.

Migrálás feltételes hozzáférésre

  1. Hozzon létre egy egyenértékű, kockázatalapú és bejelentkezési kockázatalapú szabályzatot feltételes hozzáféréssel csak jelentés módban. Létrehozhat egy szabályzatot az előző lépésekkel, vagy feltételes hozzáférési sablonokat használhat a Microsoft javaslatai és a szervezeti követelmények alapján.
    1. Győződjön meg arról, hogy az új feltételes hozzáférési kockázati szabályzat a vártnak megfelelően működik, ha csak jelentés módban teszteli.
  2. Engedélyezze az új feltételes hozzáférési kockázati szabályzatot. Dönthet úgy, hogy mindkét szabályzat egymás mellett fut, így meggyőződhet arról, hogy az új szabályzatok a várt módon működnek, mielőtt kikapcsolná az ID Protection kockázati szabályzatokat.
    1. Lépjen vissza a Védelmi>feltételes hozzáféréshez.
    2. Válassza ki ezt az új szabályzatot a szerkesztéshez.
    3. A házirend engedélyezéséhez állítsa be a házirend engedélyezését bekapcsolva
  3. Tiltsa le a régi kockázati szabályzatokat az ID Protectionben.
    1. Keresse meg a Protection>Identity Protectiont>: Válassza ki a felhasználói kockázatot vagy a bejelentkezési kockázati szabályzatot.
    2. Házirend kényszerítése letiltva értékre
  4. Szükség esetén hozzon létre más kockázati szabályzatokat a feltételes hozzáférésben.

Következő lépések