Konfigurace a povolení zásad rizik

Jak jsme se dozvěděli v předchozím článku Věnovaném zásadám přístupu na základě rizik, existují dva typy zásad rizik v Azure Active Directory (Azure AD), které můžete nastavit tak, aby automatizovaly reakci na rizika a umožňovaly uživatelům samoobslužnou nápravu při zjištění rizika:

  • Zásady rizik přihlašování
  • Zásady rizik uživatelů

Snímek obrazovky se zásadami podmíněného přístupu zobrazující riziko jako podmínky

Volba přijatelných úrovní rizika

Organizace musí rozhodnout o úrovni rizika, kterou chtějí vyžadovat řízení přístupu při vyrovnávání uživatelského prostředí a stavu zabezpečení.

Když zvolíte použití řízení přístupu na vysoké úrovni rizika, snížíte počet aktivací zásad a minimalizujete dopad na uživatele. Ze zásad se však vyloučí rizika s nízkými a středními riziky, což nemusí útočníkovi bránit ve zneužití ohrožené identity. Když vyberete úroveň nízkého rizika pro vyžadování řízení přístupu, bude uživatele rušit víc.

Nakonfigurovaná důvěryhodná síťová umístění používá služba Identity Protection v některých detekcích rizik k omezení falešně pozitivních výsledků.

Náprava rizik

Organizace se můžou rozhodnout blokovat přístup, když se zjistí riziko. Blokování někdy brání legitimním uživatelům v tom, aby dělali to, co potřebují. Lepším řešením je umožnit samoobslužnou nápravu pomocí vícefaktorového ověřování (MFA) Azure AD a zabezpečeného samoobslužného resetování hesla (SSPR).

Upozornění

Před situací vyžadující nápravu se uživatelé musí zaregistrovat k Azure AD MFA a SSPR. Uživatelé, kteří nejsou zaregistrovaní, jsou zablokovaní a vyžadují zásah správce.

Změna hesla (znám svoje heslo a chci ho změnit na něco nového) mimo tok nápravy rizikových uživatelských zásad nesplňuje požadavek na bezpečné resetování hesla.

Doporučení Microsoftu

Microsoft doporučuje následující konfigurace zásad rizik pro ochranu vaší organizace:

  • Zásady rizik uživatelů
    • Vyžadujte bezpečné resetování hesla, pokud je úroveň rizika uživatele vysoká. Azure AD vícefaktorové ověřování se vyžaduje, aby si uživatel mohl vytvořit nové heslo pomocí SSPR, aby mohl napravit riziko.
  • Zásady rizik přihlašování
    • Vyžadovat Azure AD vícefaktorového ověřování, pokud je úroveň rizika přihlášení střední nebo vysoká, což uživatelům umožňuje prokázat, že se jedná o ně, pomocí jedné ze svých registrovaných metod ověřování a napravit tak riziko přihlášení.

Vyžadování řízení přístupu v případech, kdy je úroveň rizika nízká, způsobí další přerušení uživatele. Výběr blokování přístupu místo povolení možností samoobslužné nápravy, jako je zabezpečené resetování hesla a vícefaktorové ověřování, ovlivní uživatele a správce. Při konfiguraci zásad zvažte tyto volby.

Vyloučení

Zásady umožňují vyloučit uživatele, jako jsou vaše účty pro nouzový přístup nebo účty správce. Organizace mohou potřebovat vyloučit jiné účty z konkrétních zásad na základě způsobu, jakým se účty používají. Vyloučení by se měla pravidelně kontrolovat, abyste zjistili, jestli jsou stále použitelná.

Povolení zásad

Organizace se můžou rozhodnout nasadit zásady založené na rizicích v podmíněném přístupu pomocí níže uvedených kroků nebo pomocí šablon podmíněného přístupu (Preview).

Než organizace povolí zásady nápravy, mohou chtít prozkoumat a napravit všechna aktivní rizika.

Zásady rizik uživatelů v podmíněném přístupu

  1. Přihlaste se k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
  2. Přejděte naPodmíněný přístupzabezpečení>Služby Azure Active Directory>.
  3. Vyberte Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty tísňového volání nebo účty tísňového volání vaší organizace.
    3. Vyberte Hotovo.
  6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny cloudové aplikace.
  7. V části Podmínky>Rizika uživatele nastavte Konfigurovat na Ano.
    1. V části Konfigurace úrovní uživatelských rizik potřebných k vynucení zásad vyberte Vysoká. (Tyto pokyny vycházejí z doporučení Microsoftu a pro každou organizaci se můžou lišit.)
    2. Vyberte Hotovo.
  8. V části Řízení> přístupuUdělit.
    1. Vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování a Vyžadovat změnu hesla.
    2. Vyberte Vybrat.
  9. V části Relace.
    1. Vyberte Četnost přihlašování.
    2. Ujistěte se, že je vybraná možnost Pokaždé .
    3. Vyberte Vybrat.
  10. Potvrďte nastavení a nastavte Povolit zásadu na Pouze sestavy.
  11. Pokud chcete zásadu povolit, vyberte Vytvořit .

Po potvrzení nastavení v režimu jen sestavy může správce přepnout přepínač Povolit zásady z možnosti Jen sestavy na Zapnuto.

Zásady rizik přihlašování v podmíněném přístupu

  1. Přihlaste se k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
  2. Přejděte naPodmíněný přístupzabezpečení>Služby Azure Active Directory>.
  3. Vyberte Nová zásada.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  5. V části Přiřazení vyberte Uživatelé nebo identity úloh.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty tísňového volání nebo účty tísňového volání vaší organizace.
    3. Vyberte Hotovo.
  6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny cloudové aplikace.
  7. V části Podmínky>Riziko přihlášení nastavte Konfigurovat na Ano. V části Vyberte úroveň rizika přihlášení, na které se budou tyto zásady vztahovat. (Tyto pokyny vycházejí z doporučení Microsoftu a pro každou organizaci se můžou lišit.)
    1. Vyberte Vysoká a Střední.
    2. Vyberte Hotovo.
  8. V části Řízení> přístupuUdělit.
    1. Vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování.
    2. Vyberte Vybrat.
  9. V části Relace.
    1. Vyberte Četnost přihlašování.
    2. Ujistěte se, že je vybraná možnost Pokaždé .
    3. Vyberte Vybrat.
  10. Potvrďte nastavení a nastavte Povolit zásadu na Pouze sestavy.
  11. Pokud chcete zásadu povolit, vyberte Vytvořit .

Po potvrzení nastavení v režimu jen sestavy může správce přepnout přepínač Povolit zásady z možnosti Jen sestavy na Zapnuto.

Migrace zásad rizik z Identity Protection na podmíněný přístup

I když Služba Identity Protection poskytuje také dvě zásady rizik s omezenými podmínkami, důrazně doporučujeme nastavit zásady založené na rizicích v podmíněném přístupu pro následující výhody:

  • Rozšířená diagnostická data
  • Integrace režimu pouze sestavy
  • podpora Graph API
  • Použití dalších atributů podmíněného přístupu, jako je frekvence přihlašování, v zásadách

Pokud už máte ve službě Identity Protection povolené zásady rizik, důrazně doporučujeme, abyste je migrovali na podmíněný přístup:

Snímky obrazovky znázorňující migraci zásad rizik přihlašování na podmíněný přístup

Migrace na podmíněný přístup

  1. V podmíněném přístupu v režimu jen sestav vytvořte ekvivalentní zásadu založenou na uživatelských rizicích a na základě rizik přihlašování. Zásady můžete vytvořit pomocí výše uvedených kroků nebo pomocí šablon podmíněného přístupu na základě doporučení Microsoftu a požadavků vaší organizace.
    1. Zajistěte, aby nové zásady rizik podmíněného přístupu fungovaly podle očekávání, a to tím, že je otestujete v režimu pouze sestav.
  2. Povolte nové zásady rizik podmíněného přístupu. Před vypnutím zásad rizik služby Identity Protection můžete zvolit souběžné spouštění obou zásad, abyste ověřili, že nové zásady fungují podle očekávání.
    1. Přejděte zpět do částiPodmíněný přístupzabezpečení>Služby Azure Active Directory>.
    2. Vyberte tuto novou zásadu, pokud ji chcete upravit.
    3. Pokud chcete zásadu povolit, nastavte povolit zásadu na Zapnuto .
  3. Zakažte staré zásady rizik ve službě Identity Protection.
    1. Přejděte na Azure Active Directory>Identity Protection> – Vyberte zásady rizika uživatele nebo Rizika přihlášení .
    2. Nastavte Vynutit zásady na Vypnuto.
  4. V případě potřeby vytvořte v podmíněném přístupu další zásady rizik.

Další kroky