Kockázatalapú hozzáférési szabályzatok

Hozzáférés-vezérlési szabályzatok alkalmazhatók a szervezetek védelmére, ha egy bejelentkezés vagy felhasználó veszélyben van. Ezeket a szabályzatokat kockázatalapú szabályzatoknak nevezzük.

A Microsoft Entra Feltételes hozzáférés két kockázati feltételt kínál: a bejelentkezési kockázatot és a felhasználói kockázatot. A szervezetek ezen két kockázati feltétel konfigurálásával és egy hozzáférés-vezérlési módszer kiválasztásával kockázatalapú feltételes hozzáférési szabályzatokat hozhatnak létre. Minden bejelentkezés során Microsoft Entra ID-védelem elküldi az észlelt kockázati szinteket a feltételes hozzáférésnek, és a kockázatalapú szabályzatok érvényesek, ha a szabályzat feltételei teljesülnek.

Diagram that shows a conceptual risk-based Conditional Access policy.

Ha például a szervezetek olyan bejelentkezési kockázati szabályzattal rendelkeznek, amely többtényezős hitelesítést igényel, ha a bejelentkezési kockázati szint közepes vagy magas, akkor a felhasználóknak többtényezős hitelesítést kell végezniük, ha a bejelentkezési kockázatuk közepes vagy magas.

Diagram that shows a conceptual risk-based Conditional Access policy with self-remediation.

Az előző példa egy kockázatalapú szabályzat egyik fő előnyét is szemlélteti: az automatikus kockázatkezelést. Ha egy felhasználó sikeresen végrehajtja a szükséges hozzáférés-vezérlést, például egy biztonságos jelszómódosítást, a rendszer elhárítja a kockázatukat. A bejelentkezési munkamenet és a felhasználói fiók nincs veszélyben, és a rendszergazda nem hajt végre műveletet.

Ha lehetővé teszi a felhasználók számára, hogy önállóan szervizeljék ezt a folyamatot, jelentősen csökkentik a kockázatelemzési és szervizelési terheket a rendszergazdák számára, miközben védik a szervezeteket a biztonsági kockázatoktól. A kockázatkezelésről további információt a cikkben, a kockázatok szervizelését és a felhasználók letiltásának feloldását ismertető cikkben talál.

Bejelentkezési kockázatalapú feltételes hozzáférési szabályzat

Minden bejelentkezés során az ID Protection több száz jelet elemez valós időben, és kiszámít egy bejelentkezési kockázati szintet, amely annak a valószínűségét jelzi, hogy az adott hitelesítési kérelem nincs engedélyezve. Ezt a kockázati szintet ezután a rendszer elküldi a feltételes hozzáférésnek, ahol a szervezet konfigurált szabályzatainak kiértékelése történik. Rendszergazda istratorok a bejelentkezési kockázaton alapuló feltételes hozzáférési szabályzatokat konfigurálhatják, hogy a bejelentkezési kockázat alapján kényszeríthessék a hozzáférés-vezérlést, beleértve a következő követelményeket:

  • Hozzáférés letiltása
  • Hozzáférés engedélyezése
  • Többtényezős hitelesítés megkövetelése

Ha kockázatokat észlel egy bejelentkezéskor, a felhasználók elvégezhetik a szükséges hozzáférés-vezérlést, például többtényezős hitelesítést az önműködő szervizeléshez és a kockázatos bejelentkezési esemény bezárásához, hogy megelőzzék a rendszergazdák szükségtelen zaját.

Screenshot of a sign-in risk-based Conditional Access policy.

Feljegyzés

A bejelentkezési kockázati szabályzat aktiválása előtt a felhasználóknak korábban regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésére.

Felhasználói kockázatalapú feltételes hozzáférési szabályzat

Az ID Protection elemzi a felhasználói fiókokra vonatkozó jeleket, és kiszámítja a kockázati pontszámot a felhasználó sérülésének valószínűsége alapján. Ha egy felhasználó kockázatos bejelentkezési viselkedéssel rendelkezik, vagy a hitelesítő adatai kiszivárognak, az ID Protection ezeket a jeleket használja a felhasználói kockázati szint kiszámításához. Rendszergazda istratorok felhasználói kockázatalapú feltételes hozzáférési szabályzatokat konfigurálhatnak a felhasználói kockázat alapján történő hozzáférés-vezérlés kikényszerítéséhez, beleértve a következő követelményeket:

  • Hozzáférés letiltása
  • Engedélyezze a hozzáférést, de biztonságos jelszómódosítást igényel.

A jelszó biztonságos módosítása elhárítja a felhasználói kockázatot, és bezárja a kockázatos felhasználói eseményt, hogy megakadályozza a rendszergazdák szükségtelen zaját.

Id Protection-kockázati szabályzatok migrálása feltételes hozzáférésre

Ha az örökölt felhasználói kockázati szabályzat vagy bejelentkezési kockázati szabályzat engedélyezve van az ID Protectionben (korábbi nevén Identity Protection), meghívjuk, hogy migrálja őket a feltételes hozzáférésbe.

Figyelmeztetés

A Microsoft Entra ID-védelem-ben konfigurált örökölt kockázati szabályzatok 2026. október 1-jén megszűnnek.

A kockázati szabályzatok feltételes hozzáférésben való konfigurálása a következő előnyöket nyújtja:

  • Hozzáférési szabályzatok kezelése egy helyen.
  • Csak jelentéskészítési mód és Graph API-támogatás.
  • Minden alkalommal érvényesítse a bejelentkezési gyakoriságot, hogy minden alkalommal újrahitelesítést igényeljen.
  • Részletes hozzáférés-vezérlés a kockázati feltételek és más feltételek, például a hely egyesítésével.
  • Fokozott biztonság több kockázatalapú szabályzattal, amelyek különböző felhasználói csoportokat vagy kockázati szinteket céloznak meg.
  • Továbbfejlesztett diagnosztikai élmény részletezi, hogy melyik kockázatalapú szabályzatot alkalmazzák a bejelentkezési naplókban.
  • A biztonsági mentési hitelesítési rendszer támogatja.

Microsoft Entra többtényezős hitelesítési regisztrációs szabályzat

Az ID Protection segíthet a szervezeteknek a Microsoft Entra többtényezős hitelesítésének bevezetésében egy bejelentkezéskor regisztrációt igénylő szabályzat használatával. A szabályzat engedélyezésével biztosíthatja, hogy a szervezet új felhasználói regisztráljanak az MFA-ra az első napon. A többtényezős hitelesítés a kockázati események önműveleti módszereinek egyike az ID Protectionben. Az önműködő szervizelés lehetővé teszi, hogy a felhasználók önállóan léphessenek fel a segélyhívások mennyiségének csökkentése érdekében.

A Microsoft Entra többtényezős hitelesítésről további információt a Microsoft Entra többtényezős hitelesítés működése című cikkben talál.

Következő lépések