Megosztás a következőn keresztül:

Hozzáférési felülvizsgálatok használata a feltételes hozzáférési szabályzatokból kizárt felhasználók kezeléséhez

  • Cikk

Egy ideális világban minden felhasználó a hozzáférési szabályzatokat követve biztosíthatja a szervezet erőforrásaihoz való hozzáférést. Vannak azonban olyan üzleti esetek, amelyek kivételeket követelnek meg. Ez a cikk néhány példát mutat be azokra a helyzetekre, amikor szükség lehet kizárásokra. Ön, mint informatikai rendszergazda, kezelheti ezt a feladatot, elkerülheti a házirend kivételek felügyeletét, és a Microsoft Entra hozzáférési felülvizsgálatok segítségével bizonyíthatja az ellenőrök számára, hogy ezeket a kivételeket rendszeresen felülvizsgálják.

Feljegyzés

A Microsoft Entra hozzáférési felülvizsgálatainak használatához érvényes Microsoft Entra ID P2 vagy Microsoft Entra ID Governance, Nagyvállalati mobilitás + Biztonsági E5 fizetős vagy próbaverziós licenc szükséges. További információ: Microsoft Entra-kiadások.

Miért zárná ki a felhasználókat a szabályzatokból?

Tegyük fel, hogy rendszergazdaként úgy dönt, hogy a Microsoft Entra Feltételes hozzáféréssel többtényezős hitelesítést (MFA) igényel, és a hitelesítési kérelmeket bizonyos hálózatokra vagy eszközökre korlátozza. Az üzembe helyezés tervezése során rájön, hogy nem minden felhasználó felel meg ezeknek a követelményeknek. Lehetnek például olyan felhasználók, akik távoli irodákból dolgoznak, nem pedig a belső hálózat részeként. A nem támogatott eszközökkel csatlakozó felhasználókat is el kell fogadnia, miközben az eszközök cseréjére vár. Röviden: a vállalatnak szüksége van ezekre a felhasználókra, hogy jelentkezzenek be, és elvégezzék a feladatukat, így kizárhatja őket a feltételes hozzáférési szabályzatokból.

Egy másik példaként előfordulhat, hogy a feltételes hozzáférésben elnevezett helyeket használ olyan országok és régiók halmazának megadásához, amelyekből nem szeretné engedélyezni a felhasználók számára, hogy hozzáférjenek a bérlőjükhöz.

Sajnos előfordulhat, hogy egyes felhasználóknak továbbra is van okuk bejelentkezni ezekből a blokkolt országokból/régiókból. Előfordulhat például, hogy a felhasználók munka céljából utaznak, és hozzá kell férni a vállalati erőforrásokhoz. Ebben az esetben a feltételes hozzáférési szabályzat, amely letiltja ezeket az országokat/régiókat, egy felhőbiztonsági csoportot használhat a szabályzat kizárt felhasználói számára. Azok a felhasználók, akiknek utazás közben hozzáférésre van szükségük, hozzáadhatják magukat a csoporthoz a Microsoft Entra önkiszolgáló csoportkezelésével.

Egy másik példa lehet, hogy a feltételes hozzáférési szabályzat blokkolja az örökölt hitelesítést a felhasználók többsége számára. Ha azonban vannak olyan felhasználói, akiknek örökölt hitelesítési módszerekkel kell hozzáférniük bizonyos erőforrásokhoz, kizárhatja ezeket a felhasználókat az örökölt hitelesítési módszereket letiltó szabályzatból.

Feljegyzés

A Microsoft határozottan javasolja, hogy tiltsa le az örökölt protokollok használatát a bérlőben a biztonsági helyzet javítása érdekében.

Miért kihívást jelentenek a kizárások?

A Microsoft Entra ID-ban a feltételes hozzáférési szabályzatok hatóköre több felhasználóra is kiterjedhet. A kizárásokat a Microsoft Entra szerepkörök, egyéni felhasználók vagy vendégek kiválasztásával is konfigurálhatja. Ne feledje, hogy a kizárások konfigurálásakor a szabályzat szándéka nem kényszeríthető ki kizárt felhasználókra. Ha a kizárások felhasználók listájával vagy régebbi helyszíni biztonsági csoportokkal vannak konfigurálva, akkor korlátozottan tudja áttekinteni a kizárásokat. Ennek eredménye:

  • Előfordulhat, hogy a felhasználók nem tudják, hogy ki vannak zárva.

  • A felhasználók csatlakozhatnak a biztonsági csoporthoz a szabályzat megkerüléséhez.

  • A kizárt felhasználók korábban is jogosultak lettek volna a kizárásra, de már nem jogosultak rá.

Amikor először konfigurál egy kizárást, gyakran megjelenik a szabályzatot megkerülő felhasználók listája. Idővel egyre több felhasználó lesz hozzáadva a kizáráshoz, és a lista növekszik. Egy bizonyos ponton át kell tekintenie a listát, és ellenőriznie kell, hogy ezek a felhasználók továbbra is jogosultak-e a kizárásra. A kizárási lista kezelése technikai szempontból viszonylag egyszerű lehet, de ki hozza meg az üzleti döntéseket, és hogyan győződjön meg arról, hogy minden auditozható? Ha azonban egy Microsoft Entra-csoporttal konfigurálja a kizárást, a hozzáférési felülvizsgálatokat kompenzáló vezérlőként használhatja a láthatóság fokozása és a kizárt felhasználók számának csökkentése érdekében.

Kizárási csoport létrehozása feltételes hozzáférési szabályzatban

Az alábbi lépéseket követve hozzon létre egy új Microsoft Entra-csoportot és egy olyan feltételes hozzáférési szabályzatot, amely nem vonatkozik az adott csoportra.

Kizárási csoport létrehozása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.

  2. Tallózással keresse meg az Identitás>Csoportok>Összes csoport elemet.

  3. Válassza az Új csoportot.

  4. A Csoporttípus listában válassza a Biztonság lehetőséget. Adjon meg egy nevet és leírást.

  5. Győződjön meg arról, hogy a tagság típusát Hozzárendelt értékre állítja.

  6. Jelölje ki a kizárási csoporthoz tartozó felhasználókat, majd válassza a Létrehozás lehetőséget.

Új csoportpanel a Microsoft Entra ID-ban

A csoportot kizáró feltételes hozzáférési szabályzat létrehozása

Most létrehozhat egy feltételes hozzáférési szabályzatot, amely ezt a kizárási csoportot használja.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.

  2. Keresse meg a Védelem>feltételes hozzáférés-t.

  3. Válassza az Új szabályzat létrehozása lehetőséget.

  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. A Hozzárendelések csoportban válassza a Felhasználók és csoportok lehetőséget.

  6. A Belefoglalás lapon válassza a Minden felhasználó lehetőséget.

  7. A Kizárás csoportban válassza a Felhasználók és csoportok lehetőséget, és válassza ki a létrehozott kizárási csoportot.

    Feljegyzés

    Ajánlott bevált gyakorlatként javasoljuk, hogy a tesztelés során legalább egy rendszergazdai fiókot zárjon ki a szabályzatból, hogy elkerülje a bérlőből való kizárást.

  8. Folytassa a feltételes hozzáférési szabályzat beállítását a szervezeti követelmények alapján.

Kizárt felhasználók kijelölése panel a feltételes hozzáférésben

Két példát mutatunk be, ahol hozzáférési felülvizsgálatokkal kezelheti a feltételes hozzáférési szabályzatok kizárásait.

1. példa: Hozzáférés-felülvizsgálat a tiltott országokból/régiókból hozzáférő felhasználók számára

Tegyük fel, hogy van egy feltételes hozzáférési szabályzata, amely letiltja a hozzáférést bizonyos országokból/régiókból. Olyan csoportot tartalmaz, amely nem szerepel a szabályzatban. Az alábbiakban egy ajánlott hozzáférési felülvizsgálatot talál, amelyben a csoport tagjait áttekintjük.

Hozzáférés-felülvizsgálati panel létrehozása például 1

Feljegyzés

A hozzáférési felülvizsgálatok létrehozásához legalább az identitásszabályozási rendszergazda vagy a felhasználói rendszergazda szerepkör szükséges. A hozzáférési felülvizsgálatok létrehozásáról részletes útmutatót a következő témakörben talál: Csoportok és alkalmazások hozzáférési felülvizsgálatának létrehozása.

  1. A felülvizsgálat minden héten megtörténik.

  2. A felülvizsgálat soha nem ér véget annak érdekében, hogy ezt a kizárási csoportot mindig naprakészen tartsa.

  3. A csoport minden tagja a véleményezés hatókörébe tartozik.

  4. Minden felhasználónak önigazolnia kell, hogy továbbra is hozzáférésre van szüksége ezekből a blokkolt országokból/régiókból, ezért továbbra is a csoport tagjának kell lennie.

  5. Ha a felhasználó nem válaszol a felülvizsgálati kérelemre, a rendszer automatikusan eltávolítja őket a csoportból, és már nem fér hozzá a bérlőhöz, miközben ezen országokba/régiókba utazik.

  6. Engedélyezze az e-mail-értesítéseket, hogy tájékoztassa a felhasználókat a hozzáférési felülvizsgálat kezdetéről és befejezéséről.

2. példa: Hozzáférés-felülvizsgálat az örökölt hitelesítéssel hozzáférő felhasználók számára

Tegyük fel, hogy van egy feltételes hozzáférési szabályzata, amely letiltja az örökölt hitelesítést és régebbi ügyfélverziókat használó felhasználók hozzáférését, és tartalmaz egy csoportot, amely nem szerepel a szabályzatban. Az alábbiakban egy ajánlott hozzáférési felülvizsgálatot talál, amelyben a csoport tagjait áttekintjük.

Hozzáférés-felülvizsgálati panel létrehozása a 2. példához

  1. Ennek a felülvizsgálatnak ismétlődő felülvizsgálatnak kell lennie.

  2. A csoport minden résztvevőjét felül kell vizsgálni.

  3. Konfigurálható úgy, hogy az üzleti egység tulajdonosait a kiválasztott véleményezők közé sorolja.

  4. Automatikusan alkalmazza az eredményeket, és távolítsa el a nem jóváhagyott felhasználókat az örökölt hitelesítési módszerek használatának folytatásához.

  5. Hasznos lehet a javaslatok engedélyezése, hogy a nagy csoportok véleményezői könnyen meghozhassák döntéseiket.

  6. Engedélyezze az e-mail-értesítéseket, hogy a felhasználók értesítést kaphassanak a hozzáférési felülvizsgálat kezdetéről és befejezéséről.

Fontos

Ha sok kizárási csoport van, és ezért több hozzáférési felülvizsgálatot kell létrehoznia, a Microsoft Graph lehetővé teszi, hogy programozott módon hozza létre és kezelje őket. Első lépésként tekintse meg a hozzáférési felülvizsgálatok API-referenciáit és oktatóanyagát a Microsoft Graph hozzáférési felülvizsgálati API-jának használatával.

Hozzáférés a felülvizsgálati eredményekhez és a naplókhoz

Most, hogy minden a helyén van, a csoport, a feltételes hozzáférési szabályzat és a hozzáférési felülvizsgálatok, ideje monitorozni és nyomon követni ezeknek a felülvizsgálatoknak az eredményeit.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább identitásirányítási rendszergazdaként.

  2. Navigáljon ide: Identitásszabályozás Hozzáférési felülvizsgálatok.

  3. Válassza ki azt az Access-felülvizsgálatot, amelyet azzal a csoporttal használ, amelyhez kizárási szabályzatot hozott létre.

  4. Az Eredmények gombra kattintva megtekintheti, hogy ki maradt a listán, és ki lett eltávolítva.

    Az Access-felülvizsgálatok eredményei azt mutatják, hogy ki lett jóváhagyva

  5. Válassza az Auditnaplók lehetőséget a felülvizsgálat során végrehajtott műveletek megtekintéséhez.

Informatikai rendszergazdaként tudja, hogy a szabályzatok kizárási csoportjainak kezelése néha elkerülhetetlen. Ezeknek a csoportoknak a fenntartása, az üzleti tulajdonos vagy maguk a felhasználók által történő rendszeres ellenőrzése és a módosítások naplózása azonban egyszerűbbé tehető a hozzáférési felülvizsgálatokkal.

Következő lépések