Megosztás a következőn keresztül:


Biztonsági alapértékek a Microsoft Entra ID-ben

A biztonsági alapértékek megkönnyítik a szervezet védelmét az identitással kapcsolatos támadások, például a jelszópermet, a visszajátszás és az adathalászat ellen a mai környezetekben.

A Microsoft ezeket az előre konfigurált biztonsági beállításokat mindenki számára elérhetővé teszi, mert tudjuk, hogy a biztonság kezelése nehézkes lehet. A tanulásunk alapján ezeknek a gyakori identitással kapcsolatos támadásoknak többtényezős hitelesítéssel és az örökölt hitelesítés blokkolásával a támadások több mint 99,9%-a leáll. Célunk annak biztosítása, hogy minden szervezetnek legyen legalább egy alapszintű biztonsági szintje, amely további költségek nélkül engedélyezve van.

Ezek az alapvető vezérlők a következők:

Kinek?

  • Azok a szervezetek, akik növelni szeretnék a biztonsági helyzetüket, de nem tudják, hogyan és hol kezdjenek.
  • A Microsoft Entra ID licencelésének ingyenes szintjét használó szervezetek.

Ki használja a feltételes hozzáférést?

  • Ha Ön Microsoft Entra id P1 vagy P2 licenccel rendelkező szervezet, akkor a biztonsági alapértelmezések valószínűleg nem megfelelőek Önnek.
  • Ha a szervezet összetett biztonsági követelményekkel rendelkezik, érdemes megfontolnia a feltételes hozzáférést.

Alapértelmezett biztonsági beállítások engedélyezése

Ha a bérlőt 2019. október 22-én vagy azt követően hozták létre, akkor előfordulhat, hogy a biztonsági alapértelmezések engedélyezve vannak a bérlőben. Az összes felhasználó védelme érdekében a biztonsági alapértékek a létrehozáskor az összes új bérlőre ki lesznek állítva.

A szervezetek védelme érdekében folyamatosan dolgozunk a Microsoft-fiókszolgáltatások biztonságának javításán. A védelem részeként az ügyfelek rendszeres időközönként értesítést kapnak az alapértelmezett biztonsági beállítások automatikus engedélyezéséről, ha:

  • Nincsenek feltételes hozzáférési szabályzatok
  • Nem rendelkezik prémium licencekkel
  • Nem használ aktívan régi hitelesítési ügyfeleket

A beállítás engedélyezése után a szervezet összes felhasználójának regisztrálnia kell a többtényezős hitelesítésre. A félreértések elkerülése érdekében tekintse meg a kapott e-mailt, és letilthatja az alapértelmezett biztonsági beállításokat az engedélyezés után.

A címtárban az alapértelmezett biztonsági beállítások konfigurálásához legalább a feltételes hozzáférés adminisztrátor szerepkörrel kell rendelkeznie.

Alapértelmezés szerint a Microsoft Entra bérlőt létrehozó felhasználó automatikusan a globális rendszergazdai szerepkörhöz van rendelve.

A biztonsági alapértékek engedélyezése:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább feltételes hozzáférési adminisztrátorként.
  2. Keresse meg az Identitás>Áttekintés>Tulajdonságok-t.
  3. Válassza a Biztonsági alapértelmezések kezelése lehetőséget.
  4. Állítsa be az alapértelmezett biztonsági beállításokat engedélyezett értékre.
  5. Válassza a Mentés lehetőséget.

Képernyőkép a Microsoft Entra Felügyeleti központról a biztonsági alapértelmezett beállítások engedélyezésére vonatkozó kapcsolóval

Aktív tokensek visszavonása

A biztonsági alapértékek engedélyezésének részeként a rendszergazdáknak vissza kell vonniuk az összes meglévő tokenet, hogy minden felhasználó regisztráljon a többtényezős hitelesítéshez. Ez a visszavonási esemény arra kényszeríti a korábban hitelesített felhasználókat, hogy hitelesítsék és regisztrálják a többtényezős hitelesítést. Ez a feladat a Revoke-AzureADUserAllRefreshToken PowerShell-parancsmaggal hajtható végre.

Kényszerített biztonsági szabályzatok

Minden felhasználónak regisztrálnia kell a Microsoft Entra többtényezős hitelesítésére

Feljegyzés

2024. július 29-től az új és meglévő bérlők esetében megszűnt a 14 napos türelmi időszak, amelyet a felhasználók az MFA-ra való regisztrációra kaphattak. Ezt a módosítást azért tesszük, hogy a 14 napos időszak alatt csökkentsük a fiókok feltörésének kockázatát, mivel az MFA az identitásalapú támadások több mint 99,2%-át blokkolhatja.

Amikor a felhasználók bejelentkeznek, és a rendszer többtényezős hitelesítést kér, megjelenik egy képernyő, amelyen egy szám szerepel a Microsoft Authenticator alkalmazásban. Ez az intézkedés segít megelőzni, hogy a felhasználók MFA-fáradtsággal kapcsolatos támadásoknak áldozatul essenek.

Képernyőkép a Bejelentkezési kérelem jóváhagyása ablakról egy beírandó számmal.

Többtényezős hitelesítés megkövetelése a rendszergazdáktól

A rendszergazdák nagyobb hozzáféréssel rendelkeznek a környezethez. Mivel ezeknek a kiemelt jogosultságú fiókoknak a hatalma van, különös gondossággal kell kezelnie őket. A kiemelt fiókok védelmének javítására az egyik gyakori módszer, ha a bejelentkezéshez erősebb fiókhitelesítésre van szükség, például többtényezős hitelesítésre.

Tipp.

Javaslatok a rendszergazdáknak:

  • Győződjön meg arról, hogy minden rendszergazda bejelentkezik a biztonsági beállítások engedélyezése után, hogy regisztrálhassanak a hitelesítési módszerekre.
  • Külön fiókokkal rendelkezik az adminisztrációs és a standard hatékonysági feladatokhoz, így jelentősen csökkentheti a rendszergazdák MFA-kéréseinek számát.

A regisztráció befejezése után a következő rendszergazdai szerepkörökre lesz szükség a többtényezős hitelesítés minden bejelentkezéskor:

  • Globális rendszergazda
  • alkalmazás-rendszergazda
  • Hitelesítési rendszergazda
  • Számlázási rendszergazda
  • Felhőalkalmazás-rendszergazda
  • Feltételes hozzáférésű rendszergazda
  • Exchange-rendszergazda
  • Ügyfélszolgálati rendszergazda
  • Jelszóadminisztrátor
  • Kiemelt hitelesítési rendszergazda
  • Kiemelt szerepkörű rendszergazda
  • Biztonsági rendszergazda
  • SharePoint-rendszergazda
  • Felhasználói rendszergazda
  • Hitelesítési szabályzatot felügyelő rendszergazda
  • Identitásirányítási rendszergazda

Szükség esetén többtényezős hitelesítés megkövetelése a felhasználóknak

Általában úgy gondoljuk, hogy a rendszergazdai fiókok az egyetlen olyan fiók, amely további hitelesítési rétegeket igényel. A rendszergazdák széles körű hozzáféréssel rendelkeznek a bizalmas információkhoz, és módosíthatják az előfizetésre vonatkozó beállításokat. A támadók azonban gyakran célba érik a végfelhasználókat.

Miután ezek a támadók hozzáférést kapnak, hozzáférést kérhetnek az eredeti fióktulajdonos kiemelt adataihoz. Akár a teljes könyvtárat is letölthetik, hogy adathalász támadást hajtsanak végre az egész szervezeten.

Az összes felhasználó védelmét javító egyik gyakori módszer a fiókhitelesítés erősebb formája, például a többtényezős hitelesítés megkövetelése mindenki számára. Miután a felhasználók befejezték a regisztrációt, a rendszer szükség esetén egy másik hitelesítést fog kérni. A Microsoft többtényezős hitelesítést kér a felhasználótól olyan tényezők alapján, mint a hely, az eszköz, a szerepkör és a feladat. Ez a funkció az összes regisztrált alkalmazást védi, beleértve az SaaS-alkalmazásokat is.

Feljegyzés

B2B közvetlen kapcsolatú felhasználók esetén az erőforrásbérlőben engedélyezett biztonsági alapértelmezett beállítások többtényezős hitelesítési követelményeinek meg kell felelni, beleértve a többtényezős hitelesítés regisztrációját a közvetlen kapcsolat felhasználója által az otthoni bérlőjében.

Régi hitelesítési protokollok letiltása

Annak érdekében, hogy a felhasználók könnyen hozzáférhessenek a felhőalkalmazásokhoz, támogatjuk a különböző hitelesítési protokollokat, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés olyan kifejezés, amely a következő által küldött hitelesítési kérésre hivatkozik:

  • Modern hitelesítést nem használó ügyfelek (például Office 2010-ügyfél)
  • Minden olyan ügyfél, amely régebbi levelezési protokollokat használ, például IMAP, SMTP vagy POP3

Ma a legtöbb kompromittáló bejelentkezési kísérlet örökölt hitelesítésből származik. Az örökölt hitelesítés nem támogatja a többtényezős hitelesítést. Még ha engedélyezve is van egy többtényezős hitelesítési szabályzat a címtárban, a támadók egy régebbi protokoll használatával hitelesíthetik magukat, és megkerülhetik a többtényezős hitelesítést.

Miután engedélyezte a biztonsági alapértelmezett beállításokat a bérlőben, a rendszer letiltja a régebbi protokoll által küldött összes hitelesítési kérést. A biztonsági alapértelmezések letiltják az Exchange Active Sync alapszintű hitelesítését.

Figyelmeztetés

A biztonsági alapértékek engedélyezése előtt győződjön meg arról, hogy a rendszergazdák nem használnak régebbi hitelesítési protokollokat. További információ: Az örökölt hitelesítéstől való eltávolodás.

Kiemelt tevékenységek, például az Azure Portalhoz való hozzáférés védelme

A szervezetek az Azure Resource Manager API-val felügyelt különböző Azure-szolgáltatásokat használnak, többek között a következőket:

  • Azure Portal
  • Microsoft Entra felügyeleti központ
  • Azure PowerShell
  • Azure CLI

Az Azure Resource Manager használata a szolgáltatások kezeléséhez magas jogosultsági szintű művelet. Az Azure Resource Manager módosíthatja a bérlői szintű konfigurációkat, például a szolgáltatásbeállításokat és az előfizetés számlázását. Az egytényezős hitelesítés sebezhető a különböző támadások, például az adathalászat és a jelszópermet ellen.

Fontos ellenőrizni azon felhasználók identitását, akik hozzá szeretnének férni az Azure Resource Managerhez, és frissítenék a konfigurációkat. A hozzáférés engedélyezése előtt további hitelesítést igényelve ellenőrizheti az identitásukat.

Miután engedélyezte a bérlő biztonsági alapértelmezett beállításait, a következő szolgáltatásokat elérő összes felhasználónak többtényezős hitelesítést kell végrehajtania:

  • Azure Portal
  • Microsoft Entra felügyeleti központ
  • Azure PowerShell
  • Azure CLI

Ez a szabályzat minden olyan felhasználóra vonatkozik, aki hozzáfér az Azure Resource Manager-szolgáltatásokhoz, függetlenül attól, hogy rendszergazda vagy felhasználó. Ez a szabályzat olyan Azure Resource Manager API-kra vonatkozik, mint az előfizetés, a virtuális gépek, a tárfiókok stb. elérése. Ez a szabályzat nem tartalmazza a Microsoft Entra-azonosítót vagy a Microsoft Graphot.

Megjegyzés

A 2017 előtti Exchange Online-bérlőknél alapértelmezetten le van tiltva a modern hitelesítés. Annak érdekében, hogy elkerülhesse a bejelentkezési ciklus lehetőségét a bérlőkön keresztül történő hitelesítéskor, engedélyeznie kell a modern hitelesítést.

Feljegyzés

A Microsoft Entra Connect/Microsoft Entra Cloud Sync szinkronizálási fiókjai (vagy a "Címtár-szinkronizálási fiókok" szerepkörhöz rendelt biztonsági tagok) nem tartoznak az alapértelmezett biztonsági beállításokba, és a rendszer nem kéri a többtényezős hitelesítés regisztrálását vagy végrehajtását. A szervezetek nem használhatják ezt a fiókot más célokra.

Telepítési szempontok

A felhasználók előkészítése

Fontos, hogy tájékoztassa a felhasználókat a közelgő változásokról, a regisztrációs követelményekről és a szükséges felhasználói műveletekről. Kommunikációs sablonokat és felhasználói dokumentációt biztosítunk, hogy felkészítsük a felhasználókat az új felületre, és segítsük a sikeres bevezetést. Irányítsa a felhasználókat a https://myprofile.microsoft.com oldalra, ahol a Biztonsági információk hivatkozásra kattintva regisztrálhatnak.

Hitelesítési módszerek

A biztonsági alapértékek szerint a felhasználóknak regisztrálniuk kell és használniuk kell a többtényezős hitelesítést a Microsoft Authenticator alkalmazás értesítéseinek használatával. Előfordulhat, hogy a felhasználók a Microsoft Authenticator alkalmazás ellenőrzőkódjait használják, de csak az értesítési lehetőséggel regisztrálhatnak. A felhasználók bármely harmadik féltől származó alkalmazást használhatnak az OATH TOTP használatával kódok létrehozásához.

Figyelmeztetés

Ha biztonsági alapértékeket használ, ne tiltsa le a szervezet eljárásait. A módszerek letiltása azt eredményezheti, hogy kizárja magát a bérleményéből. Engedélyezze az összes felhasználók számára elérhető módszertant az MFA szolgáltatásbeállítások portálján.

B2B-felhasználók

A címtárhoz hozzáférő B2B-vendégfelhasználók és közvetlen B2B-felhasználók ugyanúgy lesznek kezelve, mint a szervezet felhasználói.

Letiltott MFA-állapot

Ha a szervezet korábban használta a felhasználónkénti alapon működő többtényezős hitelesítést, ne aggódjon, ha a többtényezős hitelesítés állapotoldalán nem szerepelnek a felhasználók Engedélyezett vagy Kikényszerített állapotban. A letiltott állapot az alapértelmezett biztonsági beállításokat vagy feltételes hozzáférésen alapuló többtényezős hitelesítést használó felhasználók számára megfelelő állapot.

A biztonsági alapértelmezett beállítások letiltása

Azoknak a szervezeteknek, amelyek a biztonsági alapértelmezett beállításokat helyettesítő feltételes hozzáférési házirendek bevezetését választják, le kell tiltaniuk a biztonsági alapértelmezett beállításokat.

A címtár biztonsági alapértelmezésének letiltása:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább feltételes hozzáférési adminisztrátorként.
  2. Keresse meg az Identitás>Áttekintés>Tulajdonságok-t.
  3. Válassza a Biztonsági alapértelmezések kezelése lehetőséget.
  4. Állítsa a Biztonsági alapértelmezett értéket Kikapcsolva állapotra (nem ajánlott).
  5. Válassza a Mentés lehetőséget.

Váltás az alapértelmezett biztonsági beállításokról a feltételes hozzáférésre

Bár a biztonsági alapértékek jó alapkonfigurációk a biztonsági helyzet elindításához, nem teszik lehetővé a számos szervezet által igényelt testreszabást. A feltételes hozzáférési szabályzatok teljes körű testreszabást biztosítanak, amelyet az összetettebb szervezetek igényelnek.

Alapértelmezett biztonsági szabályok Feltételes hozzáférés
Szükséges licencek Egyik sem Legalább Microsoft Entra ID P1
Testreszabás Nincs testreszabás (be- vagy kikapcsolva) Teljesen testre szabható
Lehetővé tette: Microsoft vagy rendszergazda Rendszergazda
Bonyolultság Egyszerű használat A követelményeknek megfelelően teljesen testre szabható

Ajánlott lépések a biztonsági beállításokról való áttéréskor

Azok a szervezetek, amelyek tesztelni szeretnék a feltételes hozzáférés funkcióit, regisztrálhatnak egy ingyenes próbaverzióra az első lépésekhez.

Miután a rendszergazdák letiltják a biztonsági alapértékeket, a szervezeteknek azonnal engedélyezniük kell a feltételes hozzáférési szabályzatokat a szervezetük védelméhez. Ezeknek a szabályzatoknak legalább azokat a szabályzatokat kell tartalmazniuk a feltételes hozzáférési sablonok biztonságos alapok kategóriájában. Microsoft Entra ID Protection-t tartalmazó Microsoft Entra ID P2-licencekkel rendelkező szervezetek kiterjeszthetik ezen a listát a felhasználói és bejelentkezési kockázati alapú szabályzatokkal, hogy tovább erősítsék a helyzetüket.

A Microsoft azt javasolja, hogy a szervezetek két kizárólag felhőalapú segélyhívási fiókkal rendelkezzenek, amelyekhez véglegesen hozzárendelték a globális rendszergazdai szerepkört. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A fiókok vészhelyzeti vagy "vészkimeneti" forgatókönyvekre korlátozódnak, ahol a normál fiókok nem használhatók, vagy az összes többi rendszergazda véletlenül ki van zárva. Ezeket a fiókokat a vészhelyzeti hozzáférési fiók ajánlásait követve kell létrehozni.

Következő lépések