Mit jelent a feltételes hozzáférés?

  • Cikk

A modern biztonsági szegély túlnyúlik a szervezet hálózati szegélyén, és magában foglalja a felhasználói és az eszközidentitást is. A szervezetek mostantól identitásalapú jeleket használnak hozzáférés-vezérlési döntéseik részeként. A Microsoft Entra Feltételes hozzáférés jeleket hoz össze, döntéseket hoz, és szervezeti szabályzatokat kényszerít ki. A feltételes hozzáférés a Microsoft Teljes felügyelet szabályzatmotorja, amely figyelembe veszi a különböző forrásokból származó jeleket a szabályzattal kapcsolatos döntések végrehajtásakor.

A feltételes hozzáférési jelek fogalmát és a szervezeti szabályzat kikényszerítésére vonatkozó döntést bemutató ábra.

A feltételes hozzáférési szabályzatok a legegyszerűbbek az if-then utasítások; ha egy felhasználó hozzá szeretne férni egy erőforráshoz, akkor végre kell hajtania egy műveletet. Például: Ha egy felhasználó olyan alkalmazást vagy szolgáltatást szeretne elérni, mint a Microsoft 365, akkor többtényezős hitelesítést kell végrehajtania a hozzáférés eléréséhez.

Rendszergazda istratorok két elsődleges céllal szembesülnek:

  • A felhasználók hatékony munkájának támogatása bárhol és bármikor
  • A szervezet eszközeinek védelme

A feltételes hozzáférési szabályzatokkal szükség esetén a megfelelő hozzáférési vezérlőket alkalmazhatja a szervezet biztonsága érdekében.

Fontos

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Gyakori jelek

A feltételes hozzáférés figyelembe veszi a különböző forrásokból származó jeleket a hozzáférési döntések meghozatalakor.

Diagram a feltételes hozzáférésről, mint a különböző forrásokból származó jeleket összesítő Teljes felügyelet házirendmotorról.

Ezek a jelek a következők:

  • Felhasználó- vagy csoporttagság
    • A szabályzatok meghatározott felhasználókra és csoportokra irányulhatnak, így a rendszergazdák részletesen szabályozhatják a hozzáférést.
  • IP-cím helyének adatai
    • A szervezetek megbízható IP-címtartományokat hozhatnak létre, amelyek felhasználhatók a házirend-döntések meghozatalakor.
    • Rendszergazda istratorok teljes ország/régió IP-tartományt adhatnak meg a forgalom letiltásához vagy engedélyezéséhez.
  • Eszköz
    • A feltételes hozzáférési szabályzatok kikényszerítésekor az adott platformon vagy adott állapotban megjelölt eszközökkel rendelkező felhasználók használhatók.
    • Az eszközök szűrőinek használatával szabályzatokat célozhat meg bizonyos eszközökre, például emelt szintű hozzáférési munkaállomásokra.
  • Alkalmazás
    • Az adott alkalmazásokat elérni próbáló felhasználók különböző feltételes hozzáférési szabályzatokat aktiválhatnak.
  • Valós idejű és számított kockázatészlelés
    • A Microsoft Entra ID-védelem jelintegrációja lehetővé teszi a feltételes hozzáférési szabályzatok számára a kockázatos felhasználók azonosítását és elhárítását, valamint a bejelentkezési viselkedést.
  • Felhőhöz készült Microsoft Defender-alkalmazások
    • Lehetővé teszi a felhasználói alkalmazások hozzáférésének és munkameneteinek valós idejű monitorozását és ellenőrzését. Ez az integráció növeli a felhőkörnyezeten belüli hozzáférés és tevékenységek láthatóságát és ellenőrzését.

Gyakori döntések

  • Hozzáférés letiltása
    • A legszigorúbb döntés
  • Hozzáférés biztosítása
    • A kevésbé korlátozó döntéshez az alábbi lehetőségek közül legalább egy szükséges:
      • Többtényezős hitelesítés megkövetelése
      • Hitelesítés erősségének megkövetelése
      • Eszköz megfelelőként való megjelölésének megkövetelése
      • Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése
      • Jóváhagyott ügyfélalkalmazás megkövetelése
      • Alkalmazásvédelmi szabályzat megkövetelése
      • Jelszómódosítás megkövetelése
      • Használati feltételek megkövetelése

Gyakran alkalmazott szabályzatok

Számos szervezet rendelkezik olyan gyakori hozzáférési problémákkal, amelyekben a feltételes hozzáférési szabályzatok segíthetnek, például:

  • Többtényezős hitelesítés megkövetelése rendszergazdai szerepkörrel rendelkező felhasználók számára
  • Többtényezős hitelesítés megkövetelése az Azure felügyeleti feladataihoz
  • Az örökölt hitelesítési protokollokat használó bejelentkezési kísérletek tiltása
  • Megbízható helyek megkövetelése a biztonsági adatok regisztrálásához
  • Adott helyekről történő hozzáférés tiltása vagy engedélyezése
  • Kockázatos bejelentkezési viselkedések letiltása
  • Vállalat által felügyelt eszköz megkövetelése adott alkalmazásokhoz

Rendszergazda istratorok létrehozhatnak szabályzatokat az alapoktól, vagy sablonszabályzatból indulhatnak ki a portálon vagy a Microsoft Graph API használatával.

Rendszergazdai felület

Rendszergazda istratorok a A feltételes hozzáférési Rendszergazda istrator szerepkör kezelheti a szabályzatokat.

A feltételes hozzáférés a Microsoft Entra Felügyeleti központban, a Feltételes hozzáférés védelme>területen található.

Képernyőkép a feltételes hozzáférés áttekintési oldaláról.

  • Az Áttekintés oldal a szabályzatállapot, a felhasználók, az eszközök és az alkalmazások, valamint az általános és biztonsági riasztások összegzését tartalmazza javaslatokkal.
  • A Lefedettség lap az alkalmazások összefoglalóját tartalmazza az elmúlt hét nap feltételes hozzáférési szabályzatának lefedettségével és anélkül.
  • A Figyelés lapon a rendszergazdák megtekinthetik a bejelentkezések gráfját, amely szűrhető a szabályzatlefedettség esetleges hiányosságainak megtekintéséhez.

A Szabályzatok lapon a feltételes hozzáférési szabályzatokat a rendszergazdák szűrhetik olyan elemek alapján, mint az aktor, a célerőforrás, a feltétel, az alkalmazott vezérlőelem, az állapot vagy a dátum. Ez a szűrési lehetőség lehetővé teszi, hogy a rendszergazdák gyorsan megtalálják a konfigurációjuk alapján meghatározott szabályzatokat.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

Ha Microsoft 365 Business prémium szintű licenccel rendelkező ügyfelei vannak, akkor szintén elérheti a feltételes hozzáférés szolgáltatásait.

A kockázatalapú szabályzatok hozzáférést igényelnek a Microsoft Entra ID-védelem, amelyhez P2-licencek szükségesek.

A feltételes hozzáférési szabályzatokat használó egyéb termékek és funkciók megfelelő licencelést igényelnek ezekhez a termékekhez és szolgáltatásokhoz.

Ha a feltételes hozzáféréshez szükséges licencek lejárnak, a szabályzatok nem lesznek automatikusan letiltva vagy törölve. Ez lehetővé teszi az ügyfelek számára, hogy anélkül migrálhassanak a feltételes hozzáférési szabályzatokból, hogy hirtelen megváltozik a biztonsági helyzetük. A fennmaradó szabályzatok megtekinthetők és törölhetők, de már nem frissíthetők.

A biztonsági alapértékek segítenek megvédeni az identitással kapcsolatos támadásokat, és minden ügyfél számára elérhetők.

Teljes felügyelet

Ez a funkció segít a szervezeteknek abban, hogy identitásaikat a Teljes felügyelet architektúra három vezérelveihez igazíthassák:

  • Explicit ellenőrzés
  • Minimális jogosultság használata
  • A szabálysértés feltételezése

Ha többet szeretne megtudni a Teljes felügyelet és a szervezetnek az irányelvekkel való igazításának egyéb módjairól, tekintse meg a Teljes felügyelet Útmutató központot.

Következő lépések