Feltételes hozzáférési szabályzat vezérlőinek és hozzárendeléseinek implementálása

  • 8 perc

A Visual Studio App Center támogatja a Microsoft Entra Feltételes hozzáférést, amely a Microsoft Entra ID speciális funkciója, amely lehetővé teszi, hogy részletes szabályzatokat adjon meg, amelyek meghatározzák, hogy kik férhetnek hozzá az erőforrásokhoz. A feltételes hozzáféréssel megvédheti az alkalmazásokat úgy, hogy korlátozza a felhasználók hozzáférését a csoport, az eszköz típusa, a hely és a szerepkör alapján.

Feltételes hozzáférés beállítása

Ez egy rövidített útmutató a feltételes hozzáférés beállításához. A teljes dokumentáció a Mi a feltételes hozzáférés? című témakörben érhető el.

Az Azure Portalon nyissa meg az Active Directory-bérlőt, majd nyissa meg a biztonsági beállításokat, és válassza a Feltételes hozzáférés lehetőséget.

A feltételes hozzáférés beállításai között válassza az Új szabályzat lehetőséget a szabályzat létrehozásához.

Képernyőkép a Microsoft Entra Feltételes hozzáférés képernyőről, amely felsorolja a jelenleg létező szabályzatokat.

Az Új szabályzat beállításai között válassza a Felhőalkalmazások vagy -műveletek lehetőséget, és válassza a Visual Studio App Centert a szabályzat céljaként. Ezután válassza ki az alkalmazni kívánt egyéb feltételeket, engedélyezze a szabályzatot, és mentse a Létrehozás lehetőséget .

Képernyőkép a Microsoft Entra feltételes hozzáférésről: Felhőalkalmazások vagy műveletek lap konfigurációhoz.

Bejelentkezési kockázatalapú feltételes hozzáférés

A felhasználók többsége normál viselkedéssel rendelkezik, amely nyomon követhető. Ha kívül esnek ezen a normán, kockázatos lehet engedélyezni, hogy csak jelentkezzenek be. Le szeretné tiltani a felhasználót, vagy többtényezős hitelesítést kell végeznie, hogy bebizonyítsa, valóban azok, akiknek mondják magukat.

A bejelentkezéssel együtt jár az a lehetőség, hogy az adott hitelesítési kérést az identitás tulajdonosa nem engedélyezi. A Microsoft Entra ID Premium P2 licencekkel rendelkező szervezetek feltételes hozzáférési szabályzatokat hozhatnak létre, amelyek a Microsoft Entra Identity Protection bejelentkezési kockázatészleléseit is magukban foglalják.

Ez a szabályzat a feltételes hozzáférésen vagy a Microsoft Entra Identity Protectionen keresztül rendelhető hozzá. A szervezeteknek két lehetőség közül kell választaniuk, hogy biztonságos jelszómódosítást igénylő, kockázatalapú feltételes hozzáférési szabályzatot engedélyezzenek.

Felhasználói kockázatalapú feltételes hozzáférés

A Microsoft együttműködik a kutatókkal, a bűnüldözéssel, a Microsoft különböző biztonsági csapataival és más megbízható forrásokkal a kiszivárgott felhasználónév- és jelszópárok megtalálásához. A Microsoft Entra ID Premium P2 licenccel rendelkező szervezetek feltételes hozzáférési szabályzatokat hozhatnak létre, amelyek a Microsoft Entra Identity Protection felhasználói kockázatészleléseit is magukban foglalják.

A kockázati alapú feltételes hozzáféréshez hasonlóan ez a szabályzat a feltételes hozzáférésen vagy a Microsoft Entra Identity Protectionen keresztül rendelhető hozzá.

A biztonsági információk regisztrálásának védelme

A feltételes hozzáférési szabályzat felhasználói műveleteivel mostantól biztonságossá tehető, hogy a felhasználók mikor és hogyan regisztrálnak a többtényezős hitelesítésre és az önkiszolgáló jelszó-visszaállításra. Ez az előzetes verziójú funkció olyan szervezetek számára érhető el, amelyek engedélyezték a kombinált regisztráció előnézetét. Ez a funkció engedélyezhető olyan szervezetekben, ahol olyan feltételeket szeretnének használni, mint a megbízható hálózati hely, hogy korlátozzák a hozzáférést a többtényezős hitelesítéshez és az önkiszolgáló jelszó-visszaállításhoz (SSPR) való regisztrációhoz.

Szabályzat létrehozása megbízható helyről történő regisztráció megköveteléséhez

Az alábbi szabályzat az összes kiválasztott felhasználóra vonatkozik, aki a kombinált regisztrációs felületen próbál regisztrálni, és letiltja a hozzáférést, kivéve, ha megbízható hálózatként megjelölt helyről csatlakozik.

  1. A Microsoft Entra Felügyeleti központban keresse meg az Identitás, majd a Védelem, majd a Feltételes hozzáférés lehetőséget.

  2. Válassza a + Új szabályzat létrehozása lehetőséget.

  3. Írja be a szabályzat nevét a Név mezőbe. Például a megbízható hálózatok kombinált biztonsági adatainak regisztrálása.

  4. A Hozzárendelések csoportban válassza a Felhasználók és csoportok lehetőséget, és jelölje ki azokat a felhasználókat és csoportokat, amelyeket alkalmazni szeretne a szabályzatra.

    1. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    2. Válassza a Kész lehetőséget.

  5. A Felhőalkalmazások vagy -műveletek területen válassza a Felhasználói műveletek lehetőséget, és ellenőrizze a biztonsági adatok regisztrálása jelölőnégyzetet.

  6. A Feltételek területen válassza a Helyek lehetőséget.

    1. Konfigurálja az igent.
    2. Adjon meg bármilyen helyet.
    3. Zárja ki az összes megbízható helyet.
    4. Válassza a Kész elemet a Helyek képernyőn.
    5. Válassza a Kész elemet a Feltételek képernyőn.

  7. A Feltételek területen az ügyfélalkalmazásokban (előzetes verzió) állítsa a Konfigurálás igen értékre, és válassza a Kész lehetőséget.

  8. A Hozzáférés-vezérlés csoportban válassza a Támogatás lehetőséget.

    1. Válassza a Hozzáférés letiltása lehetőséget.
    2. Ezután használja a Kiválasztás lehetőséget.

  9. Állítsa a Házirend engedélyezése kapcsolót Be állásba.

  10. Ezután válassza a Mentés lehetőséget.

A szabályzat 6. lépésében a szervezeteknek választási lehetőségeik vannak. A fenti szabályzathoz megbízható hálózati helyről kell regisztrálni. A szervezetek dönthetnek úgy, hogy a helyek helyett a rendelkezésre álló feltételeket használják. Ne feledje, hogy ez a szabályzat egy blokkszabályzat, ezért a rendszer minden benne foglaltat letilt.

A fenti 6. lépésben lehetőség van az eszköz állapotának használatára a hely helyett:

  1. A Feltételek területen válassza az Eszköz állapota (előzetes verzió) lehetőséget.
  2. Konfigurálja az igent.
  3. Az összes eszközállapot belefoglalása.
  4. Zárja ki az eszköz hibrid Microsoft Entra csatlakoztatott és/vagy megfelelőként megjelölt eszközét.
  5. Válassza a Kész elemet a Helyek képernyőn.
  6. Válassza a Kész elemet a Feltételek képernyőn.

Hozzáférés letiltása hely alapján

A feltételes hozzáférés helyfeltételével a felhasználó hálózati helye alapján szabályozható a hozzáférés a felhőalapú alkalmazásokhoz. A helyfeltételt gyakran használják olyan országok/régiók hozzáférésének letiltására, amelyekről a szervezet tudja, hogy a forgalom nem származhat.

Helyek meghatározása

  1. Jelentkezzen be a Microsoft Entra felügyeleti portálra globális Rendszergazda istratorként, biztonsági Rendszergazda istratorként vagy feltételes hozzáférési Rendszergazda istratorként.

  2. Keresse meg az Identitás, majd a Védelem, majd a Feltételes hozzáférés, majd az Elnevezett helyek lehetőséget.

  3. Válassza az Új hely lehetőséget.

  4. Adjon nevet a tartózkodási helyének.

  5. Válassza ki az IP-címtartományokat , ha ismeri az adott helyet vagy országokat/régiókat alkotó, külsőleg elérhető IPv4-címtartományokat.

    1. Adja meg az IP-címtartományokat , vagy válassza ki a megadott hely országait/régióit .
    • Ha az Országok/Régiók lehetőséget választja, opcionálisan választhat, hogy ismeretlen területeket is tartalmazzon.

  6. Válassza a Mentés lehetőséget.

Feltételes hozzáférési házirend létrehozása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként, biztonsági Rendszergazda istratorként vagy feltételes hozzáférési Rendszergazda istratorként.

  2. Keresse meg az Identitás, majd a Védelem, majd a Feltételes hozzáférés lehetőséget.

  3. Válassza a + Új szabályzat létrehozása lehetőséget.

  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. A Hozzárendelések csoportban válassza a Felhasználók és csoportok lehetőséget.

    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.

  6. A Felhőalkalmazások vagy -műveletek területen válassza a Belefoglalás lehetőséget, és válassza az Összes felhőalkalmazás lehetőséget.

  7. A Feltételek, majd a Hely területen.

    1. Állítsa be a konfigurálást igen értékre .
    2. A Belefoglalás csoportban válassza a Kijelölt helyek lehetőséget.
    3. Válassza ki a szervezet számára létrehozott letiltott helyet.
    4. Válassza a Kiválasztás lehetőséget

  8. A Hozzáférés-vezérlők területen válassza a Hozzáférés letiltása, majd a Kiválasztás lehetőséget.

  9. Erősítse meg a beállításokat, és állítsa be a Házirend engedélyezése beállítást.

  10. A Létrehozás gombra kattintva feltételes hozzáférési szabályzatot hozhat létre.

Megfelelő eszközök megkövetelése

A Microsoft Intune-t üzembe helyező szervezetek az eszközeikről visszaadott információkat felhasználhatják a megfelelőségi követelményeknek megfelelő eszközök azonosítására, például:

  • PIN-kód megkövetelése a zárolás feloldásához.
  • Eszköztitkosítást igényel.
  • Az operációs rendszer minimális vagy maximális verziójának megkövetelése.
  • Az eszköz megkövetelése nem feltört vagy gyökerezett.

Ezek a szabályzatmegfelelőségi információk továbbítva lesznek a Microsoft Entra-azonosítónak, ahol a feltételes hozzáférés döntéseket hozhat az erőforrásokhoz való hozzáférés engedélyezéséről vagy letiltásáról.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy az erőforrásokhoz hozzáférő eszközök megfeleljenek a szervezet Intune megfelelőségi szabályzatainak.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként, biztonsági Rendszergazda istratorként vagy feltételes hozzáférési Rendszergazda istratorként.

  2. Keresse meg az Identitás, majd a Védelem, majd a Feltételes hozzáférés lehetőséget.

  3. Válassza a + Új szabályzat létrehozása lehetőséget.

  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. A Hozzárendelések csoportban válassza a Felhasználók és csoportok lehetőséget.

    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
    3. Válassza a Kész lehetőséget.

  6. A Felhőalkalmazások vagy -műveletek területen válassza a Belefoglalás lehetőséget, és válassza az Összes felhőalkalmazás lehetőséget.

    1. Ha bizonyos alkalmazásokat ki kell zárnia a szabályzatból, a Kizárt felhőalkalmazások kiválasztása lap Kizárás lapján választhatja ki őket, és válassza a Kiválasztás lehetőséget.
    2. Válassza a Kész lehetőséget.

  7. A Feltételek területen, majd az Ügyfélalkalmazások (előzetes verzió), majd válassza ki azokat az ügyfélalkalmazásokat, amelyekre a szabályzat vonatkozik, hagyja bejelölve az összes alapértelmezett beállítást, és válassza a Kész lehetőséget.

  8. A Hozzáférés-vezérlés, majd a Engedélyezés területen válassza az Eszköz megfelelőként való megjelölésének megkövetelése lehetőséget.

    1. Válassza a lehetőséget.

  9. Erősítse meg a beállításokat, és állítsa be a Házirend engedélyezése beállítást.

  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

    Feljegyzés

    Az új eszközöket akkor is regisztrálhatja az Intune-ban, ha a fenti lépések végrehajtásával a Minden felhasználó és az Összes felhőalkalmazás számára megfelelőként kell megjelölni az eszközt. Az eszköz megfelelő vezérlőként való megjelölésének megkövetelése nem blokkolja az Intune-regisztrációt.

Ismert viselkedés

Windows 7, iOS, Android, macOS és néhány külső webböngésző esetén a Microsoft Entra ID azonosítja az eszközt egy ügyféltanúsítvány használatával, amely akkor van kiépítve, amikor az eszköz regisztrálva van a Microsoft Entra ID-val. Amikor egy felhasználó először jelentkezik be a böngészőben, a rendszer felkéri a felhasználót a tanúsítvány kiválasztására. A végfelhasználónak ki kell választania ezt a tanúsítványt, mielőtt tovább használhatja a böngészőt.

Hozzáférés letiltása

A konzervatív felhőbeli migrálási megközelítéssel rendelkező szervezetek esetében a minden szabályzat letiltása egy olyan lehetőség, amely használható.

Figyelmeztetés

A blokkszabályzat helytelen konfigurálása azt eredményezheti, hogy a szervezeteket kizárják az Azure Portalról.

Az ilyen szabályzatoknak nem kívánt mellékhatásai lehetnek. A megfelelő tesztelés és ellenőrzés elengedhetetlen az engedélyezés előtt. Rendszergazda istratoroknak olyan eszközöket kell használniuk, mint a feltételes hozzáférés jelentéskészítési módja és a What If eszköz a feltételes hozzáférésben.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök. Javasoljuk, hogy zárja ki a következő fiókokat a szabályzatból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, amikor az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók használatával bejelentkezhet a bérlőbe, és lépéseket tehet a hozzáférés helyreállításához.

  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezésre. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem blokkolja.

    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Feltételes hozzáférési feltételek (TOU)

Képernyőkép az Identitásszabályozás párbeszédpanelről, amelyen új használati feltételeket hozhat létre a felhőmegoldásokhoz.

Az Identitásszabályozási eszközökben létrehozhatja a webhely használati feltételeit . Indítsa el az identitásszabályozási alkalmazást, és válassza a használati feltételeket a menüből. Meg kell adnia és PDF-fájlt kell megadnia a felhasználóra vonatkozó feltételekkel. Több szabályt is beállíthat, például azt, hogy mikor járnak le a feltételek, vagy hogy a felhasználónak meg kell-e nyitnia őket az elfogadás előtt. A létrehozás után létrehozhat egy egyéni feltételes szabályt közvetlenül az identitásszabályozásban. Vagy mentheti a feltételeket, és használhatja a feltételes hozzáférést a Microsoft Entra-azonosítóban. Új használati feltételek létrehozásához töltse ki a fenti párbeszédpanelt.

Képernyőkép a Microsoft Entra feltételes hozzáférés beállítási oldaláról, amelyen a használati feltételekre vonatkozó szabályok hozzáadása látható az erőforrások eléréséhez.

A hozzájárulás (a hozzáférés előtti feltételek elfogadása) és a feltételes hozzáférés összekapcsolása egyre nagyobb vontatást kap. A szervezeteknek lehetőségük van arra, hogy kikényszerítsenek egy felhasználót, hogy hozzájáruljon a használati feltételekhez. Emellett a szervezetek le is adhatják a hozzájárulást, vagy módosíthatják a használati feltételeket, és újra kérhetik a felhasználó igazolását.

Mielőtt a felhasználók hozzáférhetnének bizonyos felhőalkalmazásokhoz a környezetében, érdemes lehet hozzájárulást kérni tőlük a használati feltételek (ToU) elfogadásának formájában. A Microsoft Entra Feltételes hozzáférés a következő lehetőségeket biztosítja:

  • Egyszerű módszer a ToU konfigurálására
  • A használati feltételek feltételes hozzáférési szabályzaton keresztüli elfogadásának megkövetelése