Konfigurace a povolení zásad rizik

Jak jsme se dozvěděli v předchozím článku o zásadách přístupu na základě rizik, existují dva typy zásad rizik v podmíněném přístupu Azure Active Directory (Azure AD), které můžete nastavit tak, aby automatizovaly reakci na rizika a umožňovaly uživatelům samoobslužné nápravy při zjištění rizika:

  • Zásady rizik přihlašování
  • Zásady rizik uživatelů

Snímek obrazovky se zásadami podmíněného přístupu zobrazující riziko jako podmínky

Volba přijatelných úrovní rizika

Organizace musí rozhodnout o úrovni rizika, kterou chtějí vyžadovat řízení přístupu při vyrovnávání uživatelského prostředí a stavu zabezpečení.

Volba použití řízení přístupu na vysoké úrovni rizika snižuje počet aktivací zásady a minimalizuje dopad na uživatele. V zásadách se ale vyloučí rizika s nízkými a středními riziky, která útočníkovi nemusí bránit v zneužití ohrožené identity. Výběr nízké úrovně rizika, která vyžaduje řízení přístupu, zavádí více přerušení uživatelů.

Nakonfigurovaná důvěryhodná síťová umístění používá služba Identity Protection v některých detekcích rizik k omezení falešně pozitivních výsledků.

Náprava rizik

Organizace se můžou rozhodnout blokovat přístup, když se zjistí riziko. Blokování někdy znemožní legitimním uživatelům dělat, co potřebují. Lepším řešením je umožnit samoobslužné nápravy pomocí Azure AD vícefaktorového ověřování (MFA) a zabezpečené samoobslužné resetování hesla (SSPR).

Upozornění

Uživatelé se musí zaregistrovat do Azure AD vícefaktorového ověřování a samoobslužného resetování hesla, než budou čelit situaci vyžadující nápravu. Uživatelé, kteří nejsou zaregistrovaní, jsou blokovaní a vyžadují zásah správce.

Změna hesla (vím heslo a chci ho změnit na něco nového) mimo rizikový tok nápravy zásad uživatele nesplňuje požadavek na bezpečné resetování hesla.

Doporučení Microsoftu

Microsoft doporučuje následující konfigurace zásad rizik pro ochranu vaší organizace:

  • Zásady rizik uživatelů
    • Vyžadovat bezpečné resetování hesla, pokud je úroveň rizika uživatele vysoká. Azure AD vícefaktorové ověřování je nutné, aby uživatel mohl vytvořit nové heslo s využitím samoobslužného resetování hesla, aby mohl napravit své riziko.
  • Zásady rizik přihlašování
    • Vyžadovat Azure AD vícefaktorové ověřování, pokud je úroveň rizika přihlášení střední nebo vysoká, což uživatelům umožňuje prokázat, že je to oni pomocí jedné z jejich registrovaných metod ověřování a opraví riziko přihlášení.

Vyžadování řízení přístupu, pokud je úroveň rizika nízká, způsobí více přerušení uživatelů. Volba blokovat přístup místo toho, aby povolovala možnosti samoobslužné nápravy, jako je zabezpečené resetování hesla a vícefaktorové ověřování, ovlivní vaše uživatele a správce. Při konfiguraci zásad zvažte tyto volby.

Vyloučení

Zásady umožňují vyloučit uživatele, jako jsou vaše účty pro nouzový přístup nebo účty správce s break-glass. Organizace můžou potřebovat vyloučit jiné účty z konkrétních zásad na základě způsobu, jakým se účty používají. Vyloučení by se měla pravidelně kontrolovat, abyste zjistili, jestli jsou stále použitelné.

Povolení zásad

Organizace se můžou rozhodnout nasadit zásady založené na rizikech v podmíněném přístupu pomocí kroků uvedených níže nebo pomocí šablon podmíněného přístupu (Preview).

Než organizace povolí zásady nápravy, mohou chtít prozkoumat a napravit všechna aktivní rizika.

Zásady rizik uživatelů v podmíněném přístupu

  1. Přihlaste se k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
  2. Přejděte kpodmíněnému přístupu zabezpečení Azure Active Directory>>.
  3. Vyberte Nové zásady.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  5. V části Přiřazení vyberte Uživatele nebo identity úloh.
    1. V části Zahrnout vyberte Všechny uživatele.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů vaší organizace.
    3. Vyberte Hotovo.
  6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny cloudové aplikace.
  7. V případěrizika uživatelepodmínek> nastavte možnost Konfigurovat na hodnotu Ano.
    1. V části Konfigurovat úrovně rizika uživatele potřebné k vynucení zásad vyberte Vysoká. (Tyto pokyny jsou založené na doporučeních Microsoftu a můžou se lišit pro každou organizaci).
    2. Vyberte Hotovo.
  8. V části Řízení> přístupuudělte.
    1. Vyberte Udělit přístup, Vyžadovat změnu hesla.
    2. Vyberte Vybrat.
  9. V části Relace.
    1. Vyberte frekvenci přihlášení.
    2. Ujistěte se, že je vybrána vždy .
    3. Vyberte Vybrat.
  10. Potvrďte nastavení a nastavte Povolit zásadujen pro sestavy.
  11. Výběrem možnosti Vytvořit vytvořte zásadu.

Po potvrzení nastavení pomocí režimu jen pro sestavy může správce přepnout přepínač Povolit zásaduz nabídky Pouze sestava na Zapnuto.

Zásady rizik přihlašování v podmíněném přístupu

  1. Přihlaste se k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
  2. Přejděte kpodmíněnému přístupu zabezpečení Azure Active Directory>>.
  3. Vyberte Nové zásady.
  4. Pojmenujte zásadu. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
  5. V části Přiřazení vyberte Uživatele nebo identity úloh.
    1. V části Zahrnout vyberte Všechny uživatele.
    2. V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo prolomení účtů vaší organizace.
    3. Vyberte Hotovo.
  6. V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny cloudové aplikace.
  7. V rámcirizika přihlášeník podmínkám> nastavte možnost Konfigurovat na ano. V části Vyberte úroveň rizika přihlášení, na které se tato zásada vztahuje. (Tyto pokyny jsou založené na doporučeních Microsoftu a můžou se lišit pro každou organizaci).
    1. Vyberte Vysoká a Střední.
    2. Vyberte Hotovo.
  8. V části Řízení> přístupuudělte.
    1. Vyberte Udělit přístup, Vyžadovat vícefaktorové ověřování.
    2. Vyberte Vybrat.
  9. V části Relace.
    1. Vyberte frekvenci přihlášení.
    2. Ujistěte se, že je vybrána vždy .
    3. Vyberte Vybrat.
  10. Potvrďte nastavení a nastavte Povolit zásadujen pro sestavy.
  11. Výběrem možnosti Vytvořit vytvořte zásadu.

Po potvrzení nastavení pomocí režimu jen pro sestavy může správce přepnout přepínač Povolit zásaduz nabídky Pouze sestava na Zapnuto.

Migrace zásad rizik ze služby Identity Protection na podmíněný přístup

I když služba Identity Protection poskytuje dvě zásady rizik s omezenými podmínkami, důrazně doporučujeme nastavit zásady založené na rizikech v podmíněném přístupu pro následující výhody:

  • Rozšířená diagnostická data
  • Integrace režimu jen pro sestavy
  • podpora Graph API
  • Použití dalších atributů podmíněného přístupu, jako je frekvence přihlašování v zásadách

Pokud už máte ve službě Identity Protection povolené zásady rizik, důrazně doporučujeme je migrovat na podmíněný přístup:

Snímky obrazovky znázorňující migraci zásad rizik přihlašování do podmíněného přístupu

Migrace na podmíněný přístup

  1. Vytvořte ekvivalentnízásadu založenou na rizikech uživatelů a zásadu založenou na přihlášení v režimu podmíněného přístupu v režimu jen pro sestavy. Zásady můžete vytvořit pomocí výše uvedených kroků nebo pomocí šablon podmíněného přístupu na základě doporučení a požadavků vaší organizace od Microsoftu.
    1. Ujistěte se, že nové zásady rizika podmíněného přístupu fungují podle očekávání tím, že je otestujete v režimu jen pro sestavy.
  2. Povolte nové zásady rizika podmíněného přístupu. Před vypnutím zásad rizik identity můžete mít obě zásady spuštěné vedle sebe, abyste potvrdili, že nové zásady fungují podle očekávání.
    1. Přejděte zpět dopodmíněného přístupuzabezpečení>Azure Active Directory>.
    2. Tuto novou zásadu vyberte a upravte ji.
    3. Pokud chcete zásadu povolit, nastavte na Zapnuto .
  3. Zakažte staré zásady rizik ve službě Identity Protection.
    1. Přejděte do služby Azure Active Directory>Identity Protection> – Vyberte riziko uživatele nebo zásady rizika přihlášení .
    2. Nastavení zásad vynucení na vypnuto
  4. V případě potřeby vytvořte další zásady rizik v podmíněném přístupu.

Další kroky