A feltételes hozzáférés üzembe helyezésének megtervezése

A feltételes hozzáférés üzembe helyezésének megtervezése kritikus fontosságú a szervezet alkalmazásokra és erőforrásokra vonatkozó hozzáférési stratégiájának eléréséhez. A feltételes hozzáférési szabályzatok nagyszerű konfigurációs rugalmasságot biztosítanak. Ez a rugalmasság azonban azt is jelenti, hogy körültekintően kell megterveznie, hogy elkerülje a nemkívánatos eredményeket.

A Microsoft Entra Feltételes hozzáférés olyan jeleket kombinál, mint a felhasználó, az eszköz és a hely a döntések automatizálásához és az erőforrások szervezeti hozzáférési szabályzatainak kikényszerítéséhez. Ezek a feltételes hozzáférési szabályzatok segítenek kiegyensúlyozni a biztonságot és a hatékonyságot, szükség esetén kényszerítve a biztonsági vezérlőket, és ha nem, akkor a felhasználó útjában maradnak.

A feltételes hozzáférés a Microsoft Teljes felügyelet biztonsági szabályzatmotorjának alapja.

A magas szintű feltételes hozzáférés áttekintését bemutató ábra.

A Microsoft olyan alapértelmezett biztonsági beállításokat biztosít, amelyek biztosítják az alapszintű biztonságot azokban a bérlőkben, amelyek nem rendelkeznek P1 vagy P2 Microsoft Entra-azonosítóval. A feltételes hozzáféréssel olyan szabályzatokat hozhat létre, amelyek ugyanolyan védelmet nyújtanak, mint a biztonsági alapértékek, de részletesek. A feltételes hozzáférés és a biztonsági alapértelmezések nem kombinálhatók, mivel a feltételes hozzáférési szabályzatok létrehozása megakadályozza a biztonsági alapértelmezett beállítások engedélyezését.

Előfeltételek

Változás közlése

A kommunikáció kritikus fontosságú az új funkciók sikeressége szempontjából. Proaktív módon kell kommunikálnia a felhasználókkal a felhasználói élmény változásairól, a változásokról, valamint arról, hogy hogyan kérhet támogatást, ha problémákat tapasztalnak.

Feltételes hozzáférési szabályzatok komponensei

A feltételes hozzáférési szabályzatok választ adnak arra a kérdésre, hogy ki férhet hozzá az erőforrásokhoz, milyen erőforrásokhoz férhetnek hozzá, és milyen feltételek mellett. A szabályzatok megtervezhetők úgy, hogy hozzáférést biztosítsanak, korlátozzák a hozzáférést munkamenet-vezérlőkkel, vagy blokkolják a hozzáférést. Feltételes hozzáférési szabályzatot az alábbi if-then utasítások definiálásával hozhat létre:

Ha egy feladat teljesül A hozzáférési vezérlők alkalmazása
Ha Ön a Finance felhasználója, és hozzáfér a bérszámfejtési alkalmazáshoz Többtényezős hitelesítés és megfelelő eszköz megkövetelése
Ha nem tagja a Pénzügynek a bérszámfejtési alkalmazáshoz való hozzáféréshez Hozzáférés letiltása
Ha a felhasználói kockázat magas Többtényezős hitelesítés és biztonságos jelszómódosítás megkövetelése

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Tegye fel a megfelelő kérdéseket

Íme néhány gyakori kérdés a hozzárendelésekkel és a hozzáférés-vezérléssel kapcsolatban. Az egyes szabályzatok létrehozása előtt jegyezze fel a rájuk vonatkozó kérdésekre adott válaszokat.

Felhasználók vagy számítási feladatok identitásai

  • Mely felhasználók, csoportok, címtárszerepkörök vagy számítási feladatok identitásai szerepelnek a szabályzatban, vagy ki vannak zárva a szabályzatból?
  • Milyen vészhelyzeti hozzáférési fiókokat vagy csoportokat kell kizárni a szabályzatból?

Felhőalkalmazások vagy műveletek

Ez a szabályzat bármilyen alkalmazásra, felhasználói műveletre vagy hitelesítési környezetre vonatkozik? Ha igen:

  • Milyen alkalmazásokra vagy szolgáltatásokra vonatkozik a szabályzat?
  • Milyen felhasználói műveletekre vonatkozik ez a szabályzat?
  • Milyen hitelesítési környezetekre alkalmazza ezt a szabályzatot?
Alkalmazások szűrése

A szervezeteknek az alkalmazások egyedi megadása helyett az alkalmazások belefoglalására vagy kizárására szolgáló szűrő használata segít a szervezeteknek:

  • Egyszerűen méretezhet és célozhat tetszőleges számú alkalmazást.
  • Egyszerűen kezelheti a hasonló szabályzatkövetelményekkel rendelkező alkalmazásokat.
  • Csökkentse az egyes szabályzatok számát.
  • A szabályzatok szerkesztése során felmerülő hibák csökkentése: Nem kell manuálisan hozzáadni/eltávolítani az alkalmazásokat a szabályzatból. Csak kezelje az attribútumokat.
  • A szabályzat méretkorlátozásainak leküzdése.

Feltételek

  • Mely eszközplatformokat tartalmazza vagy zárja ki a szabályzat?
  • Mik a szervezet ismert hálózati helyei?
    • Milyen helyek szerepelnek a szabályzatban, vagy ki vannak zárva a szabályzatból?
  • Milyen ügyfélalkalmazás-típusokat tartalmaz vagy zár ki a szabályzat?
  • Meg kell céloznia bizonyos eszközattribútumokat?
  • Az Identity Protection használata esetén be szeretné építeni a bejelentkezési vagy felhasználói kockázatot?
Felhasználói és bejelentkezési kockázat

A Microsoft Entra ID P2-licencekkel rendelkező szervezetek esetében a feltételes hozzáférési szabályzataikba belefoglalhatják a felhasználói és bejelentkezési kockázatokat. Ezek a kiegészítések segíthetnek csökkenteni a biztonsági intézkedések súrlódását azáltal, hogy többtényezős hitelesítést vagy biztonságos jelszómódosítást igényelnek, ha a felhasználó vagy a bejelentkezés kockázatosnak minősül.

A kockázatról és a szabályzatban való használatáról további információt a Mi a kockázat? című cikkben talál.

Vezérlők letiltása vagy engedélyezése

Szeretne hozzáférést biztosítani az erőforrásokhoz az alábbiak közül egy vagy több megkövetelésével?

  • Többtényezős hitelesítés
  • Megfelelőként megjelölt eszköz
  • Hibrid Microsoft Entra-eszköz használata
  • Jóváhagyott ügyfélalkalmazás használata
  • Alkalmazásvédelem házirend alkalmazása
  • Jelszó módosítása
  • Elfogadott használati feltételek

A hozzáférés letiltása egy hatékony vezérlő, amelyet csak a megfelelő ismeretek birtokában szabad alkalmazni. A letiltási utasításokat tartalmazó szabályzatok használata nem kívánt mellékhatásokkal járhat. A megfelelő tesztelés és ellenőrzés létfontosságú a nagy léptékű vezérlés engedélyezése előtt. Rendszergazda istratoroknak olyan eszközöket kell használniuk, mint a A feltételes hozzáférés jelentéskészítési módja és a Mi a teendő a feltételes hozzáférésben a módosítások végrehajtásakor.

Munkamenet-vezérlők

Szeretné kikényszeríteni az alábbi hozzáférési vezérlők valamelyikét a felhőalkalmazásokon?

  • Alkalmazás által kikényszerített korlátozások használata
  • Feltételes hozzáférésű alkalmazásvezérlő használata
  • Bejelentkezési gyakoriság kényszerítése
  • Állandó böngésző munkamenetek használata
  • Folyamatos hozzáférés-kiértékelés testreszabása

Szabályzatok kombinálása

Szabályzatok létrehozásakor és hozzárendelésekor figyelembe kell vennie a hozzáférési jogkivonatok működését. A hozzáférési jogkivonatok hozzáférést biztosítanak vagy tiltanak attól függően, hogy a kérést küldő felhasználók engedélyezve lettek-e és hitelesítve lettek-e. Ha a kérelmező bizonyítani tudja, hogy ki az, akinek vallja magát, hozzáférhet a védett erőforrásokhoz vagy funkciókhoz.

A hozzáférési jogkivonatok alapértelmezés szerint ki vannak adva, ha egy feltételes hozzáférési szabályzatfeltétel nem indít el hozzáférés-vezérlést.

Ez a szabályzat nem akadályozza meg, hogy az alkalmazás saját képes legyen letiltani a hozzáférést.

Vegyük például egy egyszerűsített szabályzat példáját, ahol:

Felhasználók: PÉNZÜGYI CSOPORT
Hozzáférés: PAYROLL ALKALMAZÁS
Hozzáférés-vezérlés: Többtényezős hitelesítés

  • Az A felhasználó a PÉNZÜGYI CSOPORTBAN van, többtényezős hitelesítést kell végrehajtania a PAYROLL ALKALMAZÁS eléréséhez.
  • A B felhasználó nem szerepel a PÉNZÜGYI CSOPORTBAN, hozzáférési jogkivonatot ad ki, és többtényezős hitelesítés nélkül is hozzáférhet a PAYROLL ALKALMAZÁShoz.

Annak érdekében, hogy a pénzügyi csoporton kívüli felhasználók ne férhessenek hozzá a bérszámfejtési alkalmazáshoz, létrehozhat egy külön szabályzatot, amely letiltja az összes többi felhasználót, például az alábbi egyszerűsített szabályzatot:

Felhasználók: Az összes felhasználó belefoglalása/PÉNZÜGYI CSOPORT kizárása
Hozzáférés: PAYROLL ALKALMAZÁS
Hozzáférés-vezérlés: Hozzáférés letiltása

Most, amikor a B felhasználó megpróbál hozzáférni a PAYROLL ALKALMAZÁShoz , le van tiltva.

Ajánlások

A feltételes hozzáférés használatában és más ügyfelek támogatásában elsajátított tanulásainkat figyelembe véve íme néhány javaslat a tanulásunk alapján.

Feltételes hozzáférési szabályzatok alkalmazása minden alkalmazásra

Győződjön meg arról, hogy minden alkalmazáshoz legalább egy feltételes hozzáférési szabályzat van alkalmazva. Biztonsági szempontból jobb, ha olyan szabályzatot hoz létre, amely a minden felhőalkalmazást magában foglalja, majd kizárja azokat az alkalmazásokat, amelyekre nem szeretné alkalmazni a szabályzatot. Ez a gyakorlat biztosítja, hogy nem kell frissítenie a feltételes hozzáférési szabályzatokat minden alkalommal, amikor új alkalmazást készít.

Tipp.

Legyen nagyon óvatos a blokkok és az összes alkalmazás egyetlen szabályzatban való használatakor. Ez kizárhatja a rendszergazdákat, és a kizárások nem konfigurálhatók olyan fontos végpontokhoz, mint a Microsoft Graph.

A feltételes hozzáférési szabályzatok számának minimalizálása

Az egyes alkalmazások szabályzatainak létrehozása nem hatékony, és nehéz adminisztrációhoz vezet. A feltételes hozzáférés bérlőnként legfeljebb 195 házirendet biztosít. Ez a 195-ös szabályzatkorlát a feltételes hozzáférési szabályzatokat tartalmazza bármilyen állapotban, beleértve a csak jelentésalapú módban, be- vagy kikapcsolt állapotban.

Javasoljuk, hogy elemezze az alkalmazásokat, és csoportosítsa őket olyan alkalmazásokba, amelyek ugyanazokat az erőforrás-követelményeket támasztják ugyanazon felhasználók számára. Ha például az összes Microsoft 365-alkalmazás vagy az összes HR-alkalmazás ugyanazokkal a követelményekkel rendelkezik ugyanarra a felhasználóra vonatkozóan, hozzon létre egyetlen szabályzatot, és tartalmazza az összes alkalmazást, amelyre vonatkozik.

A feltételes hozzáférési szabályzatok egy JSON-fájlban találhatók, és ez a fájl egy méretkorláthoz van kötve, amelytől nem várható, hogy egyetlen szabályzat tovább nőjön. Ha a szabályzatban a GRAFIKUS GUID-k hosszú listáját használja, előfordulhat, hogy eléri ezt a korlátot. Ha ezeket a korlátokat tapasztalja, javasoljuk az alábbi alternatív megoldásokat:

A csak jelentési mód konfigurálása

Alapértelmezés szerint a sablonból létrehozott házirendek csak jelentésalapú módban jönnek létre. Javasoljuk, hogy a szervezetek teszteljék és monitorozzák a használatot, hogy az egyes szabályzatok bekapcsolása előtt biztosítsák a kívánt eredményt.

Szabályzatok engedélyezése csak jelentés módban. Ha csak jelentés módban ment egy szabályzatot, láthatja a valós idejű bejelentkezésekre gyakorolt hatást a bejelentkezési naplókban. A bejelentkezési naplókban válasszon ki egy eseményt, és lépjen a Csak jelentés lapra az egyes csak jelentésalapú szabályzatok eredményeinek megtekintéséhez.

A feltételes hozzáférési szabályzatok összesítését a Elemzések és a Jelentéskészítés munkafüzetben tekintheti meg. A munkafüzet eléréséhez Azure Monitor-előfizetésre van szüksége, és a bejelentkezési naplókat egy log analytics-munkaterületre kell streamelnie.

Fennakadások tervezése

A váratlan fennakadások miatti kimaradás kockázatának csökkentése érdekében tervezze meg a szervezet rugalmassági stratégiáit .

Elnevezési szabványok beállítása a szabályzatokhoz

Az elnevezési szabvány segít megtalálni a szabályzatokat, és megérteni azok célját anélkül, hogy megnyitná őket az Azure felügyeleti portálon. Javasoljuk, hogy nevezze el a szabályzatot, hogy megjelenjen:

  • Sorszám
  • Azokra a felhőalkalmazásokra, amelyekre vonatkozik
  • A válasz
  • Kire vonatkozik?
  • Amikor az alkalmazásra van szükség

A szabályzatok elnevezési szabványait bemutató ábra.

Példa: A Dynamics CRP-alkalmazást külső hálózatokról elérő marketingfelhasználók MFA-jának megkövetelésére vonatkozó szabályzat a következő lehet:

Mintaelnevezési szabványt bemutató ábra.

Egy leíró név segít áttekinteni a feltételes hozzáférés implementációját. A sorszám akkor hasznos, ha egy beszélgetésben egy szabályzatra kell hivatkoznia. Ha például telefonon beszél egy rendszergazdával, megkérheti őket, hogy nyissák meg a CA01 szabályzatot a probléma megoldásához.

A vészhelyzeti hozzáférés-vezérlés elnevezési szabványai

Az aktív szabályzatokon kívül olyan letiltott szabályzatokat is implementálhat, amelyek másodlagos rugalmas hozzáférés-vezérlésként működnek kimaradás vagy vészhelyzet esetén. A készenléti szabályzatok elnevezési szabványának a következőket kell tartalmaznia:

  • AZ ELEJÉN ENGEDÉLYEZZE VÉSZHELYZETBEN, hogy a név kitűnjön a többi szabályzat közül.
  • A megszakítás nevét kell alkalmazni.
  • Sorrendszám, amely segít a rendszergazdának tudni, hogy mely sorrendi szabályzatokat kell engedélyezni.

Példa: A következő név azt jelzi, hogy ez a szabályzat az első a négy házirend közül, amelyek engedélyezve vannak, ha MFA-fennakadás van:

  • EM01 – Engedélyezés vészhelyzetben: MFA-fennakadás [1/4] – Exchange SharePoint: A Microsoft Entra hibrid csatlakozásának megkövetelése a VIP-felhasználók számára.

Tiltsa le azokat az országokat/régiókat, amelyekből soha nem vár bejelentkezést

A Microsoft Entra ID lehetővé teszi nevesített helyek létrehozását. Hozza létre az engedélyezett országok/régiók listáját, majd hozzon létre egy hálózati blokkszabályzatot, amely kizárja ezeket az "engedélyezett országokat/régiókat". Ez a beállítás kisebb többletterhelést okoz a kisebb földrajzi helyeken lévő ügyfelek számára. Mindenképpen mentesítse a vészhelyzeti hozzáférési fiókokat ebből a szabályzatból.

Feltételes hozzáférési szabályzatok üzembe helyezése

Ha elkészült, fázisokban helyezze üzembe a feltételes hozzáférési szabályzatokat.

Feltételes hozzáférési szabályzatok létrehozása

Első lépésként tekintse meg a Feltételes hozzáférési szabályzatsablonokat és a Microsoft 365-szervezetek általános biztonsági szabályzatait . Ezek a sablonok kényelmesen használhatók a Microsoft-javaslatok üzembe helyezéséhez. Győződjön meg arról, hogy kizárja a segélyhívási hozzáférési fiókokat.

A szabályzat hatásának kiértékelése

Javasoljuk, hogy a következő eszközökkel értékelje ki a szabályzatok hatását a módosítások előtt és után is. A szimulált futtatás jó képet ad arról, hogy a feltételes hozzáférési szabályzat milyen hatással van, és nem helyettesíti a tényleges tesztfuttatást egy megfelelően konfigurált fejlesztői környezetben.

Szabályzatok tesztelése

Győződjön meg arról, hogy teszteli egy szabályzat kizárási feltételeit. Kizárhat például egy felhasználót vagy csoportot egy MFA-t igénylő szabályzatból. Ellenőrizze, hogy a kizárt felhasználók MFA-t kérnek-e, mert az egyéb szabályzatok kombinációja MFA-t igényelhet ezekhez a felhasználókhoz.

Végezze el a teszttervben szereplő összes tesztet tesztfelhasználókkal. Fontos, hogy a teszttervben szerepeljen a várt eredmények és a tényleges eredmények összehasonlítása. Az alábbi táblázat néhány példatesztes esetet vázol fel. Módosítsa a forgatókönyveket és a várt eredményeket a feltételes hozzáférési szabályzatok konfigurálásának megfelelően.

Szabályzat Eset Várt eredmény
Kockázatos bejelentkezések A felhasználó nem jóváhagyott böngészővel jelentkezik be az Alkalmazásba Kiszámítja a kockázati pontszámot annak valószínűsége alapján, hogy a bejelentkezést nem a felhasználó hajtotta végre. A felhasználónak önkiszolgáló szervizelésre van szüksége az MFA használatával
Eszközkezelés A jogosult felhasználó egy engedélyezett eszközről próbál bejelentkezni Hozzáférés biztosítva
Eszközkezelés A jogosult felhasználó jogosulatlan eszközről próbál bejelentkezni Hozzáférés letiltva
Jelszómódosítás kockázatos felhasználók számára A jogosult felhasználó feltört hitelesítő adatokkal próbál bejelentkezni (magas kockázatú bejelentkezés) A rendszer kéri a felhasználót a jelszó módosítására, vagy a hozzáférés a szabályzat alapján le van tiltva

Üzembe helyezés éles környezetben

Miután megerősítette, hogy a csak jelentésalapú mód használata hatással van, a rendszergazda áthelyezheti az Engedélyezési házirend kapcsolót a Csak jelentés módról a Be állásba.

Szabályzatok visszaállítása

Ha vissza kell állítania az újonnan implementált szabályzatokat, használja az alábbi lehetőségek egyikét:

  • Tiltsa le a szabályzatot. A szabályzatok letiltásával biztosítható, hogy az ne legyen érvényes, amikor egy felhasználó megpróbál bejelentkezni. Bármikor visszatérhet, és engedélyezheti a szabályzatot, amikor használni szeretné.

  • Felhasználó vagy csoport kizárása szabályzatból. Ha egy felhasználó nem tud hozzáférni az alkalmazáshoz, dönthet úgy, hogy kizárja a felhasználót a szabályzatból.

    Figyelemfelhívás

    A kizárásokat takarékosan kell használni, csak olyan esetekben, amikor a felhasználó megbízható. A felhasználókat a lehető leghamarabb vissza kell adni a szabályzatba vagy csoportba.

  • Ha egy szabályzat le van tiltva, és már nincs rá szükség, törölje azt.

Feltételes hozzáférési szabályzatok hibaelhárítása

Ha egy felhasználónak problémája van egy feltételes hozzáférési szabályzattal, gyűjtse össze a következő információkat a hibaelhárítás megkönnyítése érdekében.

  • Felhasználó egyszerű neve
  • Felhasználó megjelenítendő neve
  • Operációs rendszer neve
  • Időbélyeg (a hozzávetőleges érték rendben van)
  • Célalkalmazás
  • Ügyfélalkalmazás típusa (böngésző és ügyfél)
  • Korrelációs azonosító (ez az azonosító egyedi a bejelentkezéshez)

Ha a felhasználó További részletek hivatkozást tartalmazó üzenetet kapott, akkor ő is összegyűjtheti ezeknek az információknak a többségét.

Képernyőkép egy példa hibaüzenetéről és további részletekről.

Miután összegyűjtötte az adatokat, tekintse meg a következő erőforrásokat:

  • A feltételes hozzáféréssel kapcsolatos bejelentkezési problémák – A feltételes hozzáféréssel kapcsolatos váratlan bejelentkezési eredmények megismerése hibaüzenetek és a Microsoft Entra bejelentkezési napló használatával.
  • A What-If eszköz használata – Annak megértése, hogy egy szabályzatot miért alkalmaztak vagy nem alkalmaztak egy adott körülmények között egy felhasználóra, vagy hogy egy szabályzat ismert állapotban lenne-e alkalmazva.