Microsoft által felügyelt szabályzatok
Amint azt a Microsoft Digitális Védelmi Jelentés 2023 októberében említette.
... a digitális békét fenyegető fenyegetések csökkentették a technológia iránti bizalmat, és hangsúlyozták, hogy minden szinten szükség van a jobb kibervédelemre...
... a Microsoftnál több mint 10 000 biztonsági szakértőnk naponta több mint 65 billió jelet elemez... a kiberbiztonság legbefolyásosabb elemzéseinek egyikét. Együtt építhetjük ki a kiberrezilienst innovatív fellépéssel és kollektív védelemmel.
Ennek a munkának a részeként elérhetővé tesszük a Microsoft által felügyelt szabályzatokat a Microsoft Entra-bérlőkben világszerte. Ezek az egyszerűsített feltételes hozzáférési szabályzatok többtényezős hitelesítést igényelnek, amely egy friss tanulmány szerint több mint 99%-kal csökkentheti a biztonsági kockázatokat.
Hogyan működnek?
A legalább Feltételes hozzáférés rendszergazda szerepkörrel rendelkező rendszergazdák a Microsoft Entra felügyeleti központban találják meg ezeket a házirendeket, a Védelem>Feltételes hozzáférés>Házirendek alatt.
Módosíthatja egy szabályzat állapotát, valamint azt, hogy a szabályzat milyen identitásokat zárjon ki. Javasoljuk, hogy a törés- vagy vészhozzáférési fiókokat ne vonja be a felügyelt szabályzatokba, csakúgy, mint más feltételes hozzáférési szabályzatok esetében. Fontolja meg a szabályzatok duplikálását, ha több módosítást kell végrehajtania, mint amennyit a Microsoft által felügyelt szabályzatok megengednek.
A Microsoft nem kevesebb, mint 90 nappal azután engedélyezi ezeket a házirendeket, hogy a bérlőben bevezették őket, ha csak jelentésre állapotban maradnak. Ezeket a szabályzatokat hamarabb bekapcsolhatja, vagy választhatja ki a házirend állapotát úgy, hogy Ki. Az ügyfeleket a szabályzatok engedélyezése előtt 28 nappal e-mailben és üzenetközponti bejegyzésben értesítjük.
Feljegyzés
Bizonyos esetekben a szabályzatok 90 napnál gyorsabban engedélyezhetők. Ha ez a módosítás a bérlőre vonatkozik:
- Megemlítjük az e-mailekben és a Microsoft által felügyelt szabályzatokról kapott Microsoft 365 üzenetközpont-bejegyzésekben.
- Ezt a Microsoft Entra felügyeleti központban található szabályzat részletei között említjük meg.
Szabályzatok
Ezek a Microsoft által felügyelt szabályzatok lehetővé teszik a rendszergazdák számára, hogy egyszerű módosításokat végezzenek, például kizárják a felhasználókat, vagy be- vagy kikapcsolják őket a csak jelentéskészítési módból. A szervezetek nem nevezhetik át és nem törölhetik a Microsoft által felügyelt szabályzatokat. Mivel a rendszergazdák jobban ismerik a feltételes hozzáférési szabályzatot, úgy dönthetnek, hogy duplikálják a szabályzatot, hogy egyéni verziókat készítsenek.
A fenyegetések időbeli alakulásával a Microsoft a jövőben módosíthatja ezeket a szabályzatokat, hogy kihasználhassa az új funkciókat, funkciókat, vagy javítsa a funkciójukat.
- Régi hitelesítési folyamat letiltása
- Eszközkód-folyamat blokkolása
- Többtényezős hitelesítés a Microsoft Felügyeleti portálokhoz hozzáférő rendszergazdák számára
- Többtényezős hitelesítés azoknak a felhasználóknak, akik felhasználókénti többtényezős hitelesítést alkalmaznak
- többtényezős hitelesítés és újrahitelesítés kockázatos bejelentkezésekhez
Régi hitelesítési folyamat letiltása
Ez a szabályzat letiltja a bejelentkezési kísérleteket örökölt hitelesítési és örökölt hitelesítési protokollok használatával. Ezek a hitelesítések olyan régebbi ügyfelektől származhatnak, mint az Office 2010, vagy olyan protokollokat használó ügyfelektől, mint az IMAP, az SMTP vagy a POP3.
A Microsoft elemzése alapján a jelszóspray-támadások több mint 99 százaléka használja ezeket az örökölt hitelesítési protokollokat. Ezek a támadások leállnának, ha az alapszintű hitelesítés le van tiltva vagy le lett tiltva.
Eszközkód-folyamat letiltása
Ez a szabályzat blokkolja az eszközkód-folyamatot, ahol a felhasználó hitelesítést kezdeményez az egyik eszközön, egy másikon fejeződik be, és a jogkivonatot visszaküldi az eredeti eszközre. Az ilyen típusú hitelesítés gyakori, amikor a felhasználók nem tudják megadni a hitelesítő adataikat, például intelligens tévéket, Microsoft Teams Room-eszközöket, IoT-eszközöket vagy nyomtatókat.
Az eszközkód-folyamatot ritkán használják az ügyfelek, de a támadók gyakran használják. A Microsoft által felügyelt házirend engedélyezése a szervezet számára segít eltávolítani ezt a támadási vektort.
Többtényezős hitelesítés a Microsoft Felügyeleti portálokhoz hozzáférő rendszergazdák számára
Ez a szabályzat a 14 rendszergazdai szerepkörre vonatkozik, amelyeket kiemelten jogosultnak tekintünk, és akik hozzáférnek a Microsoft Felügyeleti portálokhoz, valamint többtényezős hitelesítést igényelnek.
Ez a szabályzat olyan Microsoft Entra-azonosítójú P1- és P2-bérlőket céloz meg, ahol a biztonsági beállítások nincsenek engedélyezve.
Tipp
A Microsoft által felügyelt, többtényezős hitelesítést igénylő szabályzatok eltérnek a 2024-ben bejelentett kötelező Többtényezős hitelesítésnek az Azure-bejelentkezésekhez bevezetésétől, amely 2024 októberében kezdte meg a fokozatos bevezetést. További információ: Kötelező többtényezős hitelesítés tervezése az Azure-ban és más felügyeleti portálokon.
Többtényezős hitelesítés felhasználónkénti többtényezős hitelesítést használó felhasználók számára
Ez a szabályzat a felhasználónkénti MFA-ra vonatkozik, amely a Microsoft által már nem javasolt konfiguráció. A feltételes hozzáférés számos további funkcióval jobb rendszergazdai élményt nyújt. Ha az összes többtényezős hitelesítési házirendet összevonja a feltételes hozzáférésben, akkor célzottabb lehet a többtényezős hitelesítés megkövetelése, a végfelhasználói súrlódás csökkentése a biztonsági helyzet fenntartása mellett.
Ez a szabályzat a következő célokra irányul:
- Microsoft Entra ID P1 és P2 licenccel rendelkező felhasználókkal rendelkező szervezetek
- Olyan szervezetek, amelyeknél a biztonsági alapértelmezett beállítások nincsenek engedélyezve
- Az 500-nál kevesebb felhasználónkénti MFA-val rendelkező vagy kényszerített felhasználókkal rendelkező szervezetek
Ha ezt a szabályzatot több felhasználóra szeretné alkalmazni, duplikálja azt, és módosítsa a hozzárendeléseket.
Tipp.
A Microsoft által kezelt felhasználónkénti többtényezős hitelesítési házirend módosítása a fenti Szerkesztés ceruzával sikertelen frissítési hibát eredményezhet. A probléma megoldásához válassza a Házirend Kizárt identitások szakaszában a Szerkesztés lehetőséget.
Többtényezős hitelesítés és újrahitelesítés kockázatos bejelentkezésekhez
Ez a szabályzat az összes felhasználóra kiterjed, és többtényezős hitelesítést és újrahitelesítést igényel a magas kockázatú bejelentkezések észlelésekor. Ebben az esetben a magas kockázat azt jelenti, hogy a bejelentkezett felhasználó nem a szokásos módon jelentkezik be. Ezek a magas kockázatú bejelentkezések közé tartozhatnak a rendkívül rendellenes utazások, a jelszóspray-támadások vagy a token-visszajátszási támadások. További információ: Mik azok a kockázatészlelések.
Ez a szabályzat olyan Microsoft Entra-azonosítójú P2-bérlőket céloz meg, ahol a biztonsági alapértelmezett beállítások nincsenek engedélyezve. A szabályzat kétféleképpen vonatkozik a felhasználókra, attól függően, hogy több P2 licenccel rendelkezik-e, mint a felhasználók, vagy ha több felhasználója van, mint a P2-licenceknek. A vendégfelhasználók nem szerepelnek a szabályzatban.
- Ha minden aktív felhasználó rendelkezik MFA-kkal, és a P2-licencek egyenlők vagy meghaladják az összes aktív felhasználót, a szabályzat minden felhasználóravonatkozik.
- Minden felhasználó tartalmazhat szolgáltatásfiókokat vagy személyzeti fiókokat, így érdemes lehet kizárni őket.
- Ha néhány aktív felhasználó nem rendelkezik MFA-vel, vagy ha nincs elegendő P2-licenc az összes MFA-regisztrált felhasználó számára, akkor létrehozzuk és hozzárendeljük a szabályzatot a "Feltételes hozzáférés: Kockázatos bejelentkezési többtényezős hitelesítés" nevű biztonsági csoporthoz, amely megfelel az elérhető P2-licenceknek.
- A szabályzat csak az adott biztonsági csoportra vonatkozik, így a szabályzat hatókörét a csoport módosításával végezheti el.
- A csoport feltöltéséhez olyan felhasználókat választunk ki, akik képesek teljesíteni az MFA-követelményeket, előnyben részesítve a közvetlenül hozzárendelt P2-licenccel rendelkező felhasználókat.
- Ez a beállítás biztosítja, hogy a szabályzat ne tiltsa le a jogszerű felhasználókat, és hogy a P2-licencek maximális értékét kapja.
Ha meg szeretné akadályozni, hogy a támadók átvehessenek fiókokat, a Microsoft nem engedélyezi a kockázatos felhasználók számára a többtényezős hitelesítésre való regisztrációt.
Biztonsági alapbeállítási házirendek
Az alábbi szabályzatok érhetők el a biztonsági beállításokról való frissítéskor.
- Régi hitelesítési folyamat letiltása
- Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
- Többtényezős hitelesítés megkövetelése rendszergazdák számára
- Többtényezős hitelesítés megkövetelése minden felhasználó számára
Régi hitelesítési folyamat letiltása
Ez a szabályzat megakadályozza, hogy az örökölt hitelesítési protokollok hozzáférjenek az alkalmazásokhoz. Az örökölt hitelesítés az alábbiak által küldött hitelesítési kérésre utal:
- Modern hitelesítést nem használó ügyfelek (például Office 2010-ügyfél)
- Minden olyan ügyfél, amely régebbi levelezési protokollokat használ, például IMAP, SMTP vagy POP3
- Minden olyan bejelentkezési kísérlet, amely örökölt hitelesítést használ.
A legtöbb megfigyelt kompromittáló bejelentkezési kísérlet örökölt hitelesítésből származik. Mivel az örökölt hitelesítés nem támogatja a többtényezős hitelesítést, a támadók egy régebbi protokoll használatával megkerülhetik a többtényezős hitelesítési követelményeket.
Többtényezős hitelesítés megkövetelése az Azure-felügyelethez
Ez a szabályzat az összes felhasználóra vonatkozik, amikor az Azure Resource Manager API-val felügyelt különböző Azure-szolgáltatásokat próbálnak elérni, beleértve a következőket:
- Azure Portal
- Microsoft Entra felügyeleti központ
- Azure PowerShell
- Azure CLI
Ezen erőforrások bármelyikének elérésekor a felhasználónak többtényezős hitelesítést kell végrehajtania, mielőtt hozzáférést kapna.
Többtényezős hitelesítés megkövetelése rendszergazdák számára
Ez a szabályzat minden olyan felhasználóra vonatkozik, akinek van egy kiemelten jogosultságos rendszergazdai szerepköre.
- Globális rendszergazda
- alkalmazás-rendszergazda
- Hitelesítési rendszergazda
- Számlázási rendszergazda
- Felhőalkalmazás-rendszergazda
- Feltételes hozzáférésű rendszergazda
- Exchange-rendszergazda
- Ügyfélszolgálati rendszergazda
- Jelszóadminisztrátor
- Kiemelt hitelesítési rendszergazda
- Kiemelt szerepkörű rendszergazda
- Biztonsági rendszergazda
- SharePoint-rendszergazda
- Felhasználói rendszergazda
Ezeknek a kiemelt jogosultságú fiókoknak a teljesítménye miatt többtényezős hitelesítést kell használniuk, amikor bármilyen alkalmazásba bejelentkeznek.
Többtényezős hitelesítés megkövetelése minden felhasználó számára
Ez a szabályzat a szervezet összes felhasználóját lefedi, és megköveteli, hogy többtényezős hitelesítést használjanak bejelentkezéskor. A munkamenet a legtöbb esetben megmarad az eszközön, és a felhasználóknak nem kell többtényezős hitelesítést végezniük, amikor egy másik alkalmazással kommunikálnak.
Figyelés és felülvizsgálat
A felügyelt házirend és a bejelentkezési naplók a két hely, ahol láthatja, hogy ezek a szabályzatok milyen hatással vannak a szervezetére.
Tekintse meg a házirend bejelentkezésekre gyakorolt hatását bemutató szakaszt a felügyelt szabályzatban, hogy összefoglalót kapjon a házirend környezetére gyakorolt hatásáról.
Elemezze a Microsoft Entra bejelentkezési naplókat a szabályzatok valós bejelentkezési tevékenységekre gyakorolt hatásának részletes információinak megtekintéséhez.
- Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
- Tallózással keresse meg az Identitás>Figyelés és egészség>bejelentkezési naplók.
- Használja az alábbi szűrők némelyikét vagy mindegyikét:
- Amikor egy adott eseményt kíván megvizsgálni, használja a korrelációs azonosítót.
- Feltételes hozzáférés a szabályzathibák és a sikeresség megtekintéséhez.
- A felhasználónevet az adott felhasználókhoz kapcsolódó adatok megtekintéséhez.
- A kérdéses időszakra vonatkozó dátum.
- Válasszon ki egy adott bejelentkezési eseményt, majd válassza Feltételes hozzáféréslehetőséget.
- A további vizsgálathoz kattintson a(z) szabályzat nevére, hogy részletesen megnézhesse a szabályzatok konfigurációját.
- A többi lapon megtekintheti a ügyfélfelhasználót és az eszközadatokat, amelyeket a feltételes hozzáférési szabályzat értékeléséhez használtak.
Gyakori kérdések
Mi a feltételes hozzáférés?
A feltételes hozzáférés egy Microsoft Entra-funkció, amely lehetővé teszi a szervezetek számára, hogy biztonsági követelményeket érvényesíthessenek az erőforrások elérésekor. A feltételes hozzáférést gyakran használják többtényezős hitelesítés, eszközkonfiguráció vagy hálózati hely követelményeinek kikényszerítésére.
Ezek a szabályzatok logikus ha-akkor állításokként képzelhetők el.
Ha a hozzárendelések (felhasználók, erőforrások és feltételek) teljesülnek, alkalmazza a hozzáférési vezérlőket (engedélyezés és/vagy munkamenet) a szabályzatban. Ha Ön rendszergazda, aki hozzá szeretne férni a Microsoft egyik felügyeleti portáljához, akkor többtényezős hitelesítést kell végrehajtania annak igazolásához, hogy valóban Ön az.
Mi a teendő, ha további módosításokat szeretnék végrehajtani?
A rendszergazdák dönthetnek úgy, hogy további módosításokat hajtanak végre ezen szabályzatokban a Házirendlista nézet Duplikálás gombjának duplikálásával. Ez az új szabályzat ugyanúgy konfigurálható, mint bármely más feltételes hozzáférési szabályzat a Microsoft által javasolt pozíciótól kezdve. Ügyeljen arra, hogy ne csökkentse véletlenül a biztonsági helyzetét ezekkel a módosításokkal.
Milyen rendszergazdai szerepkörökre vonatkoznak ezek a szabályzatok?
- Globális rendszergazda
- alkalmazás-rendszergazda
- Hitelesítési rendszergazda
- Számlázási rendszergazda
- Felhőalkalmazás-rendszergazda
- Feltételes hozzáférésű rendszergazda
- Exchange-rendszergazda
- Ügyfélszolgálati rendszergazda
- Jelszóadminisztrátor
- Kiemelt hitelesítési rendszergazda
- Kiemelt szerepkörű rendszergazda
- Biztonsági rendszergazda
- SharePoint-rendszergazda
- Felhasználói rendszergazda
Mi történik, ha más megoldást használok a többtényezős hitelesítéshez?
A többtényezős hitelesítés külső hitelesítési módszerekkel fejeződött be, megfelel a Microsoft által felügyelt szabályzatok MFA-követelményeinek.
Ha a többtényezős hitelesítés egy összevont identitásszolgáltatón (IdP) keresztül fejeződik be, az a konfigurációtól függően megfelelhet a Microsoft Entra ID MFA követelményeinek. További információért lásd: A Microsoft Entra ID többtényezős hitelesítési (MFA) vezérlők teljesítése MFA-jogcímekkel egy összevont identitásszolgáltatótól.
Mi a teendő, ha Certificate-Based hitelesítést használok?
A Certificate-Based-hitelesítés (CBA) konfigurációjától függően egy- vagy többtényezős hitelesítésként is működhet .
- Ha a szervezet CBA-ja egytényezősként van konfigurálva, a felhasználóknak egy második hitelesítési módszert kell használniuk az MFA teljesítéséhez. További információ az MFA és az egytényezős CBA hitelesítési módszereinek engedélyezett kombinációiról: MFA és az egytényezős tanúsítványalapú hitelesítés.
- Ha a szervezet többtényezősként konfigurálta a CBA-t, a felhasználók elvégezhetik az MFA-t a CBA hitelesítési módszerükkel.
Mi történik, ha egyéni vezérlőket használok?
egyéni vezérlők nem felelnek meg a többtényezős hitelesítés igénylési követelményeinek. Ha a szervezet egyéni vezérlőket használ, külső hitelesítési módszerekre kell áttelepítenie, az egyéni vezérlők cseréje. A külső hitelesítésszolgáltatónak támogatnia kell a külső hitelesítési módszereket, és meg kell adnia az integrációhoz szükséges konfigurációs útmutatást.