Správa vynucení vícefaktorového ověřování (MFA) u vašich předplatných

Pokud k ověřování uživatelů používáte jenom hesla, ponecháte vektor útoku otevřený. Uživatelé často používají slabá hesla nebo je opakovaně používají pro více služeb. S povoleným vícefaktorovým ověřováním jsou vaše účty bezpečnější a uživatelé se můžou stále ověřovat téměř u jakékoli aplikace s jednotným přihlašováním (SSO).

Pro uživatele Azure Active Directory (AD) můžete povolit vícefaktorové ověřování na základě licencí, které vaše organizace vlastní. Tato stránka obsahuje podrobnosti pro každý z nich v kontextu programu Microsoft Defender for Cloud.

Vícefaktorové ověřování a Microsoft Defender pro cloud

Defender for Cloud umístí vysokou hodnotu do vícefaktorového ověřování. Bezpečnostní kontrola, která přispívá nejvíce k vašemu zabezpečenému skóre, je Povolit vícefaktorové ověřování.

Doporučení v ovládacím prvku Povolit vícefaktorové ověřování zajišťují, že splňujete doporučené postupy pro uživatele vašich předplatných:

  • Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními vlastníka k vašemu předplatnému.
  • Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA

Existují tři způsoby povolení vícefaktorového ověřování a dodržování těchto dvou doporučení v Defenderu pro cloud: výchozí nastavení zabezpečení, přiřazení jednotlivých uživatelů, zásady podmíněného přístupu (CA). Každá z těchto možností je vysvětlená níže.

Bezplatná možnost – výchozí hodnoty zabezpečení

Pokud používáte bezplatnou edici Azure AD, použijte výchozí nastavení zabezpečení k povolení vícefaktorového ověřování ve vašem tenantovi.

MFA pro zákazníky Microsoftu 365 Business, E3 nebo E5

Zákazníci s Microsoftem 365 můžou používat přiřazení jednotlivých uživatelů. V tomto scénáři je Azure AD vícefaktorové ověřování pro všechny uživatele povolené nebo zakázané pro všechny události přihlášení. Není možné povolit vícefaktorové ověřování pro podmnožinu uživatelů nebo v určitých scénářích a správa je prostřednictvím portálu Office 365.

Vícefaktorové ověřování pro zákazníky Azure AD Premium

Pokud chcete zlepšit uživatelské prostředí, upgradujte na Azure AD Premium P1 nebo P2 pro možnosti zásad podmíněného přístupu (CA). Ke konfiguraci zásad certifikační autority budete potřebovat oprávnění tenanta Azure Active Directory (AD).

Zásady certifikační autority musí:

  • vynucení vícefaktorového ověřování
  • zahrnout ID aplikace Microsoft Azure Management (797f4846-ba00-4fd7-ba43-dac1f8f63013) nebo všechny aplikace
  • nevyloučí ID aplikace Microsoft Azure Management.

Azure AD Premium P1 zákazníci můžou pomocí certifikační autority Azure AD vyzvat uživatele k vícefaktorovému ověřování během určitých scénářů nebo událostí tak, aby vyhovovaly vašim obchodním požadavkům. Další licence, které zahrnují tuto funkci: Enterprise Mobility + Security E3, Microsoft 365 F1 a Microsoft 365 E3.

Azure AD Premium P2 poskytuje nejsilnější funkce zabezpečení a vylepšené uživatelské prostředí. Tato licence přidává podmíněný přístup založený na riziku k funkcím Azure AD Premium P1. Certifikační autorita založená na riziku se přizpůsobí vzorům uživatelů a minimalizuje výzvy k vícefaktorovému ověřování. Další licence, které zahrnují tuto funkci: Enterprise Mobility + Security E5 nebo Microsoft 365 E5.

Další informace najdete v dokumentaci k podmíněnému přístupu Azure.

Identifikace účtů bez vícefaktorového ověřování (MFA)

Seznam uživatelských účtů bez povoleného vícefaktorového ověřování můžete zobrazit na stránce s podrobnostmi doporučení pro cloud v Defenderu nebo pomocí azure Resource Graph.

Zobrazení účtů bez povoleného vícefaktorového ověřování v Azure Portal

Na stránce s podrobnostmi doporučení vyberte předplatné ze seznamu prostředků, které není v pořádku , nebo vyberte Provést akci a zobrazí se seznam.

Zobrazení účtů bez povoleného vícefaktorového ověřování pomocí Azure Resource Graph

Pokud chcete zjistit, které účty nemají povolené vícefaktorové ověřování, použijte následující dotaz azure Resource Graph. Dotaz vrátí všechny prostředky, které nejsou v pořádku – účty – doporučení "Vícefaktorové ověřování by mělo být povolené u účtů s oprávněními vlastníka k vašemu předplatnému".

  1. Otevřete Průzkumníka azure Resource Graph.

    Spuštění stránky doporučení Azure Resource Graph Exploreru**

  2. Zadejte následující dotaz a vyberte Spustit dotaz.

    securityresources
     | where type == "microsoft.security/assessments"
     | where properties.displayName == "MFA should be enabled on accounts with owner permissions on subscriptions"
     | where properties.status.code == "Unhealthy"
    
  3. Vlastnost additionalData odhalí seznam ID objektů účtu pro účty, které nemají vynucené vícefaktorové ověřování.

    Poznámka

    Účty se místo názvů účtů zobrazují jako ID objektů, aby se chránily soukromí držitelů účtu.

Tip

Alternativně můžete použít posouzení metod rozhraní REST API defenderu pro cloud – Get.

Nejčastější dotazy – Vícefaktorové ověřování v Defenderu pro cloud

K vynucení vícefaktorového ověřování už používáme zásady certifikační autority. Proč stále získáme doporučení Defenderu pro cloud?

Pokud chcete zjistit, proč se doporučení stále generují, ověřte v zásadách certifikační autority MFA následující možnosti konfigurace:

  • Účty jste zahrnuli v části Uživatelé zásad certifikační autority MFA (nebo některé ze skupin v části Skupiny ).
  • ID aplikace Azure Management (797f4846-ba00-4fd7-ba43-dac1f8f63013) nebo všechny aplikace jsou zahrnuté v části Aplikace v zásadách certifikační autority MFA.
  • ID aplikace Azure Management není vyloučené v části Aplikace zásad podmíněného ověřování MFA.

K vynucení vícefaktorového ověřování používáme nástroj MFA třetích stran. Proč stále získáme doporučení Defenderu pro cloud?

Doporučení MFA v Programu Defender for Cloud nepodporují nástroje MFA třetích stran (například DUO).

Pokud doporučení nejsou pro vaši organizaci relevantní, zvažte jejich označení jako "zmírněné", jak je popsáno v tématu Vyloučení prostředků a doporučení z vašeho zabezpečeného skóre. Doporučení můžete také zakázat.

Proč Defender for Cloud zobrazuje uživatelské účty bez oprávnění k předplatnému jako "vyžadování vícefaktorového ověřování"?

Doporučení MFA v programu Defender for Cloud odkazují na role Azure RBAC a role správců předplatného Azure Classic . Ověřte, že žádný z účtů nemá některou z těchto rolí.

Vynucujeme vícefaktorové ověřování pomocí PIM. Proč se účty PIM zobrazují jako nedodržující předpisy?

Doporučení MFA v programu Defender for Cloud v současné době nepodporují účty PIM. Můžete tyto účty přidat do zásad podmíněného přístupu do části Uživatelé nebo Skupiny.

Můžu některé účty vyloučit nebo zamítnout?

Možnost vyloučit některé účty, které nepoužívají vícefaktorové ověřování, se v současné době nepodporuje. Existují plány pro přidání této funkce a informace se dají zobrazit na naší stránce Důležité nadcházející změny .

Existují nějaká omezení ochrany identit a přístupu v Defenderu pro cloud?

Pro ochranu identit a přístupu v Programu Defender pro cloud platí určitá omezení:

  • Doporučení k identitám nejsou dostupná pro předplatná s více než 6 000 účty. V těchto případech budou tyto typy předplatných uvedené na kartě Nepoužitelné.
  • Doporučení k identitám nejsou k dispozici pro agenty pro správu partnera CSP (Cloud Solution Provider).
  • Doporučení identit neidentifikují účty spravované pomocí systému PIM (Privileged Identity Management). Pokud používáte nástroj PIM, může se zobrazit nepřesné výsledky v ovládacím prvku Správa přístupu a oprávnění .

Další kroky

Další informace o doporučeních, která platí pro jiné typy prostředků Azure, najdete v následujícím článku: