Ensure Multi-factor Authentication is Required to access Microsoft Admin Portals
Miért fontos ez
Az olyan felügyeleti portálok, mint a Microsoft 365 Admin Center, az Azure Portal és az Exchange Admin Center, kiemelt célpontok a támadók számára. Ha egyetlen adminisztrátori fiókot csupán jelszóval kompromittálnak, a támadó teljes ellenőrzést szerezhet a teljes Microsoft 365 környezet felett, megváltoztathatja a biztonsági beállításokat, hozzáférhet érzékeny adatokhoz, és széles körű fennakadásokat okozhat. A többtényezős hitelesítés megkövetelése ezeken a portálokon drasztikusan csökkenti annak kockázatát, hogy a hitelesítő adatok ellopását jogosulatlan adminisztratív műveletek végrehajtására használják fel.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy van-e olyan Conditional Access szabályzat konfigurálva, amely többtényezős hitelesítést ír elő minden, a Microsoft Admin Portals-hoz hozzáférő felhasználó számára. Ez az ellenőrzés az Aether365 irányítópultján a Microsoft Entra ID ellenőrzések között a entraid-1106 bejegyzés alatt jelenik meg.
Javítás menete
Kövesse az alábbi lépéseket egy olyan Conditional Access szabályzat létrehozásához vagy frissítéséhez, amely MFA-t ír elő az adminisztrációs portálokhoz.
- Jelentkezzen be az Azure Portalba Conditional Access Administrator, Security Administrator vagy Global Administrator jogosultsággal.
- Navigáljon a Microsoft Entra ID-hoz, majd válassza a "Security" (Biztonság), ezt követően a "Conditional Access" lehetőséget.
- Kattintson a "+ New policy" (Új szabályzat) gombra, vagy válasszon ki egy meglévő szabályzatot a szerkesztéshez.
- A "Assignments" (Hozzárendelések) alatt kattintson a "Users and groups" (Felhasználók és csoportok) elemre. Válassza az "All users" (Összes felhasználó) lehetőséget a szabályzat mindenki számára történő alkalmazásához. Opcionálisan hozzáadhat konkrét felhasználókat vagy csoportokat a "Kizárás" listához, ha szükséges, de ezeket a kivételeket gondosan dokumentálja.
- A "Cloud apps or actions" (Felhőalkalmazások vagy műveletek) alatt válassza a "Select apps" (Alkalmazások kiválasztása) lehetőséget. Keressen rá és válassza ki a "Microsoft Admin Portals" (vagy a környezetének megfelelő alkalmazásazonosítót) lehetőséget. Szükség esetén további adminisztrációs portálokat is felvehet, például az Azure Portal vagy az Exchange Admin Center.
- A "Conditions" (Feltételek) alatt konfigurálja a kívánt feltételeket, például a helyet vagy az eszköz állapotát, de legalább biztosítsa, hogy a szabályzat minden hozzáférési kísérletre vonatkozzon.
- A "Access controls" (Hozzáférés-vezérlés) alatt válassza a "Grant" (Engedélyezés) lehetőséget. Jelölje be a "Require multi-factor authentication" (Többtényezős hitelesítés megkövetelése) jelölőnégyzetet. Győződjön meg róla, hogy a "Require all selected controls" (Az összes kiválasztott vezérlő megkövetelése) van kiválasztva.
- Először állítsa a "Enable policy" (Szabályzat engedélyezése) beállítást "Report-only" (Csak jelentés) módra a teszteléshez. Tekintse át a bejelentkezési naplókat és a "What If" eszközt a várt viselkedés megerősítéséhez. Ha nem merülnek fel problémák, módosítsa a szabályzatot "On" (Bekapcsolva) állapotra.
- Rendszeresen figyelje a kizárt felhasználói fiókokat, és végezzen hozzáférési felülvizsgálatokat annak biztosítására, hogy a kivételek továbbra is indokoltak legyenek.
Megfelelőség
- CIS Microsoft Azure Foundations 3.0.0 2.2.9 (Microsoft Entra ID)
- Microsoft Azure Security Benchmark: IM-7 Az erőforrásokhoz való hozzáférés korlátozása feltételek alapján
Kapcsolódó források
- Conditional Access szabályzat adminisztrátori MFA-hoz
- Vészhelyzeti hozzáférési fiókok kezelése
- Conditional Access hibaelhárítása a What If eszközzel
- Conditional Access telepítésének tervezése
- Microsoft Azure Security Benchmark IM-7