Referenční příručka k operacím správy ověřování Azure Active Directory

Tato část referenční příručky k operacím Azure AD popisuje kontroly a akce, které byste měli provést při zabezpečení a správě přihlašovacích údajů, definování prostředí ověřování, delegování přiřazení, měření využití a definování zásad přístupu na základě stavu podnikového zabezpečení.

Poznámka

Tato doporučení jsou aktuální k datu publikování, ale můžou se v průběhu času měnit. Organizace by měly průběžně vyhodnocovat své postupy identit, protože produkty a služby Microsoftu se v průběhu času vyvíjejí.

Klíčové provozní procesy

Přiřazení vlastníků k klíčovým úkolům

Správa Azure Active Directory vyžaduje průběžné provádění klíčových provozních úkolů a procesů, které nemusí být součástí projektu uvedení. Stále je důležité nastavit tyto úlohy pro optimalizaci prostředí. Mezi klíčové úkoly a jejich doporučené vlastníky patří:

Úkol Vlastník
Správa životního cyklu konfigurace jednotného přihlašování (SSO) v Azure AD Provozní tým IAM
Návrh zásad podmíněného přístupu pro aplikace Azure AD Tým architektury InfoSec
Archivace aktivit přihlašování v systému SIEM Provozní tým InfoSec
Archivace rizikových událostí v systému SIEM Provozní tým InfoSec
Třídění a zkoumání sestav zabezpečení Provozní tým InfoSec
Třídění a zkoumání rizikových událostí Provozní tým InfoSec
Třídění a zkoumání uživatelů označených příznakem rizika a sestav ohrožení zabezpečení ze služby Azure AD Identity Protection Provozní tým InfoSec

Poznámka

Azure AD Identity Protection vyžaduje Azure AD Premium P2 licenci. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí Azure AD Free a Azure AD Premium edicí.

Při kontrole seznamu můžete zjistit, že budete muset buď přiřadit vlastníka k úkolům, u které chybí vlastník, nebo upravit vlastnictví úkolů s vlastníky, kteří nejsou v souladu s výše uvedenými doporučeními.

Správa přihlašovacích údajů

Zásady hesel

Zabezpečená správa hesel je jednou z nejdůležitějších částí správy identit a přístupu a často největšího cíle útoků. Azure AD podporuje několik funkcí, které můžou pomoct zabránit úspěšnému útoku.

V následující tabulce najdete doporučené řešení pro zmírnění problému, který je potřeba vyřešit:

Problém Doporučení
Žádný mechanismus ochrany před slabými hesly Povolení samoobslužného resetování hesla Azure AD (SSPR) a ochrany heslem
Žádný mechanismus pro detekci nevracených hesel Povolení synchronizace hodnot hash hesel (PHS) pro získání přehledů
Použití služby AD FS a nejde přejít na spravované ověřování Povolení inteligentního uzamčení extranetu služby AD FS nebo inteligentního uzamčení Azure AD
Zásady hesel používají pravidla založená na složitosti, jako je délka, více znakových sad nebo vypršení platnosti. Zvažte přednost doporučeným postupům Microsoftu a změňte přístup ke správě hesel a nasaďte ochranu hesel Azure AD.
Uživatelé nejsou zaregistrovaní k používání vícefaktorového ověřování (MFA) Zaregistrujte všechny bezpečnostní informace uživatele , aby je bylo možné použít jako mechanismus k ověření identity uživatele spolu s heslem.
Na základě rizika uživatele neexistuje žádné odvolání hesel. Nasazení zásad rizik uživatelů služby Azure AD Identity Protection pro vynucení změn hesel při úniku přihlašovacích údajů pomocí SSPR
Neexistuje žádný mechanismus inteligentního uzamčení pro ochranu škodlivého ověřování před chybnými aktéry pocházejícími z identifikovaných IP adres. Nasazení cloudového ověřování se synchronizací hodnot hash hesel nebo předávacím ověřováním (PTA)

Povolení samoobslužného resetování hesla a ochrany heslem

Uživatelé, kteří potřebují změnit nebo resetovat svá hesla, je jedním z největších zdrojů objemu a nákladů na volání helpdesku. Kromě nákladů je změna hesla jako nástroje pro zmírnění rizika uživatelů zásadním krokem při vylepšování stavu zabezpečení vaší organizace.

Minimálně doporučujeme nasadit samoobslužné resetování hesla Azure AD (SSPR) a místní ochranu heslem , abyste dosáhli těchto kroků:

  • Deflect helpdesk hovory.
  • Nahraďte používání dočasných hesel.
  • Nahraďte stávající samoobslužné řešení pro správu hesel, které závisí na místním řešení.
  • Eliminujte slabá hesla ve vaší organizaci.

Poznámka

Pro organizace s předplatným Azure AD Premium P2 se doporučuje nasadit samoobslužné resetování hesla a použít ho jako součást zásad rizik uživatelů identity Protection.

Silná správa přihlašovacích údajů

Hesla sama o sobě nejsou dostatečná, aby zabránila špatným hercům v získání přístupu k vašemu prostředí. Minimálně musí být pro vícefaktorové ověřování (MFA) povolený každý uživatel s privilegovaným účtem. V ideálním případě byste měli povolit kombinovanou registraci a vyžadovat, aby se všichni uživatelé zaregistrovali pro vícefaktorové ověřování a samoobslužné resetování hesla pomocí kombinovaného prostředí registrace. Nakonec doporučujeme přijmout strategii, která zajistí odolnost , aby se snížilo riziko uzamčení z důvodu nepředvídatelných okolností.

Combined user experience flow

Odolnost ověřování proti výpadkům místního prostředí

Kroměvýhodchm funkcím Azure AD (PHS) a Azure AD MFA umožňuje uživatelům přistupovat k aplikacím SaaS a Microsoft 365 i přes místní výpadky kvůli kybernetickým útokům, jako je NotPetya. PhS je také možné povolit ve spojení s federací. Povolení služby PHS umožňuje náhradní ověřování, pokud federační služby nejsou k dispozici.

Pokud vaše místní organizace nemá strategii odolnosti proti výpadku nebo má strategii odolnosti, která není integrovaná se službou Azure AD, měli byste nasadit službu Azure AD PHS a definovat plán zotavení po havárii, který zahrnuje PHS. Povolením služby Azure AD PHS umožníte uživatelům ověřovat se ve službě Azure AD, pokud vaše místní Active Directory nebudou k dispozici.

password hash sync flow

Pokud chcete lépe porozumět možnostem ověřování, přečtěte si téma Volba správné metody ověřování pro řešení hybridní identity Azure Active Directory.

Programové použití přihlašovacích údajů

Skripty Azure AD využívající PowerShell nebo aplikace využívající Microsoft Graph API vyžadují zabezpečené ověřování. Špatná správa přihlašovacích údajů při provádění těchto skriptů a nástrojů zvyšuje riziko krádeže přihlašovacích údajů. Pokud používáte skripty nebo aplikace, které spoléhají na pevně zakódovaná hesla nebo výzvy k zadání hesla, měli byste nejprve zkontrolovat hesla v konfiguračních souborech nebo zdrojovém kódu, pak tyto závislosti nahraďte a kdykoli je to možné, použijte spravované identity Azure, Integrated-Windows ověřování nebo certifikáty . U aplikací, u kterých předchozí řešení nejsou možná, zvažte použití Azure Key Vault.

Pokud zjistíte, že existují instanční objekty s přihlašovacími údaji hesla a nejste si jisti, jak jsou tyto přihlašovací údaje hesla zabezpečené skripty nebo aplikacemi, obraťte se na vlastníka aplikace, aby lépe porozuměla vzorům použití.

Microsoft také doporučuje kontaktovat vlastníky aplikací, aby pochopili vzory použití, pokud existují instanční objekty s přihlašovacími údaji hesla.

Prostředí ověřování

Místní ověřování

Federované ověřování s integrovaným ověřováním Windows (IWA) nebo bezproblémovým ověřováním spravovaným jednotným Sign-On (SSO) se synchronizací hodnot hash hesel nebo předávacím ověřováním je nejlepší uživatelské prostředí v podnikové síti s dohledem na místní řadiče domény. Minimalizuje únavu přihlašovacích údajů a snižuje riziko útoků phishing uživatelů. Pokud už používáte cloudové ověřování s PHS nebo PTA, ale uživatelé stále potřebují zadat heslo při ověřování v místním prostředí, měli byste okamžitě nasadit bezproblémové jednotné přihlašování. Pokud jste v současné době federovali s plány, které nakonec migrují na cloudové ověřování, měli byste v rámci projektu migrace implementovat bezproblémové jednotné přihlašování.

Zásady přístupu důvěryhodnosti zařízení

Podobně jako uživatel ve vaší organizaci je zařízení základní identitou, kterou chcete chránit. Identitu zařízení můžete použít k ochraně vašich prostředků kdykoli a z libovolného umístění. Ověřování zařízení a účtování pro jeho typ důvěryhodnosti zlepšuje stav zabezpečení a použitelnost:

  • Vyhněte se třecímu prostředí, například s vícefaktorovým ověřováním, pokud je zařízení důvěryhodné.
  • Blokování přístupu z nedůvěryhodných zařízení
  • Pro Windows 10 zařízení bez problémů připojte jednotné přihlašování k místním prostředkům.

Tento cíl můžete provést přenesením identit zařízení a jejich správou v Azure AD pomocí jedné z následujících metod:

  • Organizace můžou používat Microsoft Intune ke správě zařízení a vynucování zásad dodržování předpisů, ověření stavu zařízení a nastavení zásad podmíněného přístupu na základě toho, jestli zařízení vyhovuje předpisům. Microsoft Intune může spravovat zařízení s iOSem, stolní počítače Mac (prostřednictvím integrace JAMF), Windows desktopy (nativně pomocí mobilních Správa zařízení pro Windows 10 a spolusprávu pomocí Microsoft Endpoint Configuration Manager) a mobilní zařízení s Androidem.
  • Hybridní připojení Azure AD poskytuje správu pomocí zásad skupiny nebo Microsoft Endpoint Configuration Manager v prostředí pomocí počítačů připojených k doméně služby Active Directory. Organizace můžou nasadit spravované prostředí prostřednictvím PHS nebo PTA s bezproblémovým jednotným přihlašováním. Přenesení zařízení do Azure AD maximalizuje produktivitu uživatelů prostřednictvím jednotného přihlašování napříč cloudovými a místními prostředky a zároveň umožňuje zabezpečit přístup k vašim cloudovým a místním prostředkům pomocí podmíněného přístupu .

Pokud máte zařízení připojená k doméně Windows, která nejsou zaregistrovaná v cloudu nebo zařízení připojená k doméně, Windows zařízení zaregistrovaná v cloudu, ale bez zásad podmíněného přístupu, měli byste zaregistrovat neregistrovaná zařízení a v jiném případě použít připojení hybrid Azure AD jako ovládací prvek v zásadách podmíněného přístupu.

A screenshot of grant in conditional access policy requiring hybrid device

Pokud spravujete zařízení pomocí MDM nebo Microsoft Intune, ale nepoužíváte ovládací prvky zařízení v zásadách podmíněného přístupu, doporučujeme, abyste zařízení v těchto zásadách označili jako vyhovující.

A screenshot of grant in conditional access policy requiring device compliance

Windows Hello pro firmy

V Windows 10 nahradí Windows Hello pro firmy hesla silným dvojúrovňovým ověřováním na počítačích. Windows Hello pro firmy umožňuje uživatelům efektivnější vícefaktorové ověřování a snižuje vaši závislost na heslech. Pokud jste nezačali zavádět Windows 10 zařízení nebo je nasadili jenom částečně, doporučujeme upgradovat na Windows 10 a povolit Windows Hello pro firmy na všech zařízeních.

Pokud chcete získat další informace o ověřování bez hesla, podívejte se na článek Svět bez hesel s Azure Active Directory.

Ověřování a přiřazení aplikací

Jednotné přihlašování pro aplikace

Zajištění standardizovaného mechanismu jednotného přihlašování pro celý podnik je zásadní pro zajištění nejlepšího uživatelského prostředí, snížení rizika, možnosti hlášení a zásad správného řízení. Pokud používáte aplikace, které podporují jednotné přihlašování se službou Azure AD, ale jsou aktuálně nakonfigurované tak, aby používaly místní účty, měli byste tyto aplikace překonfigurovat tak, aby používaly jednotné přihlašování se službou Azure AD. Podobně pokud používáte nějaké aplikace, které podporují jednotné přihlašování se službou Azure AD, ale používají jiného zprostředkovatele identity, měli byste tyto aplikace znovu nakonfigurovat tak, aby používaly jednotné přihlašování i se službou Azure AD. Pro aplikace, které nepodporují federační protokoly, ale podporují ověřování na základě formulářů, doporučujeme aplikaci nakonfigurovat tak, aby používala trezor hesel se službou Azure AD proxy aplikací.

AppProxy Password-based Sign-on

Poznámka

Pokud nemáte mechanismus pro zjišťování nespravovaných aplikací ve vaší organizaci, doporučujeme implementovat proces zjišťování pomocí řešení CASB (Cloud Access Security Broker Solution), jako je například Microsoft Defender for Cloud Apps.

Pokud máte galerii aplikací Azure AD a používáte aplikace, které podporují jednotné přihlašování se službou Azure AD, doporučujeme aplikaci v galerii aplikací vypisovat.

Migrace aplikací AD FS do Azure AD

Migrace aplikací ze služby AD FS do Azure AD umožňuje další možnosti zabezpečení, konzistentnější možnosti správy a lepší možnosti spolupráce. Pokud máte aplikace nakonfigurované ve službě AD FS, které podporují jednotné přihlašování s Azure AD, měli byste tyto aplikace překonfigurovat tak, aby používaly jednotné přihlašování s Azure AD. Pokud máte aplikace nakonfigurované ve službě AD FS s neobvyklými konfiguracemi nepodporovanými službou Azure AD, měli byste se obrátit na vlastníky aplikací a zjistit, jestli je zvláštní konfigurace absolutním požadavkem aplikace. Pokud to nepotřebujete, měli byste aplikaci překonfigurovat tak, aby používala jednotné přihlašování s Azure AD.

Azure AD as the primary identity provider

Poznámka

Azure AD Připojení Health pro ADFS je možné použít ke shromažďování podrobností o konfiguraci jednotlivých aplikací, které je možné migrovat do Azure AD.

Přiřazení uživatelů k aplikacím

Přiřazení uživatelů k aplikacím je nejlépe namapované pomocí skupin, protože umožňují větší flexibilitu a schopnost spravovat ve velkém měřítku. Výhody používání skupin zahrnují členství v dynamických skupinách založené na atributech a delegování vlastníkům aplikací. Proto pokud už používáte a spravujete skupiny, doporučujeme provést následující akce ke zlepšení správy ve velkém měřítku:

  • Delegujte správu skupin a zásady správného řízení vlastníkům aplikací.
  • Povolte samoobslužný přístup k aplikaci.
  • Definujte dynamické skupiny, pokud atributy uživatelů můžou konzistentně určit přístup k aplikacím.
  • Implementujte ověření identity do skupin používaných pro přístup k aplikacím pomocí kontrol přístupu Azure AD.

Na druhou stranu pokud zjistíte, že aplikace, které mají přiřazení jednotlivým uživatelům, nezapomeňte implementovat zásady správného řízení pro tyto aplikace.

Zásady přístupu

Pojmenovaná umístění

S pojmenovanými umístěními ve službě Azure AD můžete označit důvěryhodné rozsahy IP adres ve vaší organizaci. Azure AD používá pojmenovaná umístění ke:

  • Zabránění falešně pozitivním rizikům v rizikových událostech Přihlášení z důvěryhodného síťového umístění snižuje riziko přihlášení uživatele.
  • Nakonfigurujte podmíněný přístup založený na poloze.

Named location

V závislosti na prioritě pomocí následující tabulky najdete doporučené řešení, které nejlépe vyhovuje potřebám vaší organizace:

Priorita Scénář Doporučení
1 Pokud používáte PHS nebo PTA a pojmenovaná umístění nebyla definována Definování pojmenovaných umístění pro zlepšení detekce rizikových událostí
2 Pokud jste federovaná a nepoužíváte deklaraci identity "insideCorporateNetwork" a pojmenovaná umístění nebyla definována. Definování pojmenovaných umístění pro zlepšení detekce rizikových událostí
3 Pokud v zásadách podmíněného přístupu nepoužíváte pojmenovaná umístění a v zásadách podmíněného přístupu neexistuje žádné riziko ani řízení zařízení Konfigurace zásad podmíněného přístupu pro zahrnutí pojmenovaných umístění
4 Pokud jste federovaná a používáte deklaraci identity "insideCorporateNetwork" a pojmenovaná umístění nebyla definována. Definování pojmenovaných umístění pro zlepšení detekce rizikových událostí
5 Pokud používáte důvěryhodné IP adresy s vícefaktorovým ověřováním místo pojmenovaných umístění a označíte je jako důvěryhodné. Definujte pojmenovaná umístění a označte je jako důvěryhodné, aby se zlepšilo zjišťování rizikových událostí.

Zásady přístupu na základě rizik

Azure AD může vypočítat riziko pro každé přihlášení a každého uživatele. Použití rizika jako kritéria v zásadách přístupu může poskytovat lepší uživatelské prostředí, například méně výzev k ověřování a lepší zabezpečení, například pouze vyzvat uživatele, pokud jsou potřeba, a automatizovat odpověď a nápravu.

Sign-in risk policy

Pokud už vlastníte Azure AD Premium P2 licence, které podporují používání rizik v zásadách přístupu, ale nepoužívají se, důrazně doporučujeme přidat riziko do stavu zabezpečení.

Zásady přístupu k klientským aplikacím

Microsoft Intune správa aplikací (MAM) poskytuje možnost odesílat ovládací prvky ochrany dat, jako je šifrování úložiště, PIN kód, vyčištění vzdáleného úložiště atd. pro kompatibilní klientské mobilní aplikace, jako je Outlook Mobile. Kromě toho je možné vytvořit zásady podmíněného přístupu, které omezují přístup ke cloudovým službám, jako je Exchange Online ze schválených nebo kompatibilních aplikací.

Pokud vaši zaměstnanci instalují aplikace podporující MAM, jako jsou Office mobilní aplikace pro přístup k firemním prostředkům, jako jsou Exchange Online nebo SharePoint Online, a podporujete také byOD (přineste si vlastní zařízení), doporučujeme nasadit zásady MAM aplikací pro správu konfigurace aplikace v osobních zařízeních bez registrace MDM a pak aktualizovat podmíněný přístup. zásady, které povolí přístup jenom klientům podporujícím MAM.

Conditional Access Grant control

Pokud zaměstnanci nainstalují aplikace podporující MAM pro podnikové prostředky a přístup jsou omezené na spravovaná zařízení Intune, měli byste zvážit nasazení zásad MAM pro správu konfigurace aplikace pro osobní zařízení a aktualizaci zásad podmíněného přístupu tak, aby povolovaly přístup jenom klientům podporujícím MAM.

Implementace podmíněného přístupu

Podmíněný přístup je základním nástrojem pro zlepšení stavu zabezpečení vaší organizace. Proto je důležité postupovat podle těchto osvědčených postupů:

  • Ujistěte se, že všechny aplikace SaaS mají alespoň jednu zásadu použitou.
  • Vyhněte se kombinování filtru Všechny aplikace s ovládacím prvku blokování , abyste se vyhnuli riziku uzamčení.
  • Nepoužívejte uživatele jako filtr a neúmyslně přidávat hosty.
  • Migrace všech starších zásad do Azure Portal
  • Zachycení všech kritérií pro uživatele, zařízení a aplikace
  • Použití zásad podmíněného přístupu k implementaci vícefaktorového ověřování místo použití vícefaktorového ověřování pro jednotlivé uživatele
  • Máte malou sadu základních zásad, které se můžou vztahovat na více aplikací.
  • Definujte prázdné skupiny výjimek a přidejte je do zásad, aby měly strategii výjimek.
  • Plánování účtů s prolomením bez ovládacích prvků MFA
  • Zajištění konzistentního prostředí napříč klientskými aplikacemi Microsoft 365, například Teams, OneDrive, Outlook atd.) implementací stejné sady ovládacích prvků pro služby, jako jsou Exchange Online a SharePoint Online
  • Přiřazení k zásadám by mělo být implementováno prostřednictvím skupin, nikoli jednotlivců.
  • Pravidelně kontrolujte skupiny výjimek používané v zásadách, abyste omezili dobu, po které uživatelé nejsou v stavu zabezpečení. Pokud vlastníte Azure AD P2, můžete k automatizaci procesu použít kontroly přístupu.

Plocha přístupového prostoru

Starší verze ověřování

Silné přihlašovací údaje, jako je MFA, nemohou chránit aplikace pomocí starších ověřovacích protokolů, což z něj dělá upřednostňovaný vektor útoku škodlivými aktéry. Uzamčení starší verze ověřování je zásadní pro zlepšení stavu zabezpečení přístupu.

Starší verze ověřování je termín, který odkazuje na ověřovací protokoly používané aplikacemi, jako jsou:

  • Starší Office klienti, kteří nepoužívají moderní ověřování (například klient Office 2010)
  • Klienti, kteří používají poštovní protokoly, jako je IMAP/SMTP/POP

Útočníci důrazně dávají přednost těmto protokolům – ve skutečnosti téměř 100 % útoků password spray používá starší ověřovací protokoly! Hackeři používají starší ověřovací protokoly, protože nepodporují interaktivní přihlašování, které je potřeba pro další výzvy zabezpečení, jako je vícefaktorové ověřování a ověřování zařízení.

Pokud se ve vašem prostředí běžně používá starší verze ověřování, měli byste naplánovat migraci starších klientů na klienty, kteří podporují moderní ověřování co nejdříve. Pokud ve stejném tokenu už někteří uživatelé používají moderní ověřování, ale jiní uživatelé, kteří stále používají starší ověřování, měli byste k uzamčení starších klientů ověřování provést následující kroky:

  1. Pomocí sestav aktivit přihlašování identifikujte uživatele, kteří stále používají starší ověřování a nápravu plánu:

    a. Upgradujte na moderní klienty podporující ověřování pro ovlivněné uživatele.

    b. Naplánujte časový rámec pro přímé uzamčení podle následujícího postupu.

    c. Určete, které starší verze aplikací mají pevnou závislost na starší verzi ověřování. Viz krok 3 níže.

  2. Zakažte starší protokoly ve zdroji (například Exchange Poštovní schránka) pro uživatele, kteří nepoužívají starší ověřování, aby se zabránilo většímu vystavení.

  3. U zbývajících účtů (ideálně nelidských identit, jako jsou účty služeb), použijte podmíněný přístup k omezení starších protokolů po ověření.

Při neoprávněném útoku na udělení souhlasu útočník vytvoří aplikaci zaregistrovanou v Azure AD, která požádá o přístup k datům, jako jsou kontaktní informace, e-maily nebo dokumenty. Uživatelé můžou udělit souhlas se škodlivými aplikacemi prostřednictvím útoků phishing při přistání na škodlivých webech.

Níže najdete seznam aplikací s oprávněními, která můžete chtít zkontrolovat pro cloudové služby Microsoftu:

  • Aplikace s aplikací nebo delegovaným *. Oprávnění readWrite
  • Aplikace s delegovanými oprávněními můžou číst, posílat nebo spravovat e-maily jménem uživatele.
  • Aplikace, kterým jsou udělena následující oprávnění:
Prostředek Oprávnění
Exchange Online EAS. AccessAsUser.All
EWS. AccessAsUser.All
Mail.Read
Microsoft Graph API Mail.Read
Mail.Read.Shared
Mail.ReadWrite
  • Aplikace udělily úplnou zosobnění přihlášeného uživatele. Příklad:
Prostředek Oprávnění
Microsoft Graph API Directory.AccessAsUser.All
Azure REST API user_impersonation

Abyste se vyhnuli tomuto scénáři, měli byste se podívat na zjištění a nápravu neoprávněných udělení souhlasu v Office 365, abyste identifikovali a opravili všechny aplikace s neoprávněnými granty nebo aplikacemi, které mají více grantů, než je potřeba. Dále úplně odeberte samoobslužné služby a vytvořte postupy zásad správného řízení. Nakonec naplánujte pravidelné kontroly oprávnění aplikace a odeberte je, když nejsou potřeba.

Nastavení uživatele a skupiny

Níže jsou uvedena uživatelská a skupinová nastavení, která se dají uzamknout, pokud neexistuje explicitní obchodní potřeba:

Uživatelská nastavení

  • Externí uživatelé – externí spolupráce může probíhat přirozeně v podniku se službami, jako jsou Teams, Power BI, SharePoint Online a Azure Information Protection. Pokud máte explicitní omezení pro řízení externí spolupráce iniciované uživatelem, doporučujeme povolit externí uživatele pomocí správy nároků Azure AD nebo řízené operace, jako je například prostřednictvím helpdesku. Pokud nechcete povolit ekologickou externí spolupráci pro služby, můžete členům úplně zablokovat pozvání externích uživatelů. Případně můžete v pozvánkách externích uživatelů povolit nebo blokovat konkrétní domény .
  • Registrace aplikací – pokud jsou povoleny Registrace aplikací, můžou koncoví uživatelé připojit aplikace sami a udělit jim přístup ke svým datům. Typickým příkladem registrace aplikací je povolení Outlook modulů plug-in nebo hlasových asistentů, jako jsou Alexa a Siri, číst e-maily a kalendář nebo posílat e-maily svým jménem. Pokud se zákazník rozhodne registraci aplikace vypnout, musí být týmy InfoSec a IAM zapojené do správy výjimek (registrace aplikací, které jsou potřeba na základě obchodních požadavků), stejně jako by potřeboval zaregistrovat aplikace s účtem správce a s největší pravděpodobností vyžadují návrh procesu pro zprovoznění procesu.
  • Portál pro správu – organizace můžou v Azure Portal uzamknout okno Azure AD, aby nesprávci nemohli získat přístup ke správě Azure AD v Azure Portal a zmást. Pokud chcete omezit přístup, přejděte na uživatelské nastavení na portálu pro správu Azure AD:

Administration portal restricted access

Poznámka

Nesprávci mají stále přístup k rozhraním pro správu Azure AD prostřednictvím příkazového řádku a dalších programových rozhraní.

Nastavení skupiny

Self-Service správa skupin / Uživatelé mohou vytvářet skupiny zabezpečení / Microsoft 365 skupiny. Pokud neexistuje žádná aktuální samoobslužná iniciativa pro skupiny v cloudu, zákazníci se můžou rozhodnout tuto funkci vypnout, dokud nebudou připravení tuto funkci použít.

Provoz z neočekávaných umístění

Útočníci pocházejí z různých částí světa. Toto riziko můžete spravovat pomocí zásad podmíněného přístupu s umístěním jako podmínkou. Podmínka umístění zásady podmíněného přístupu umožňuje blokovat přístup k umístěním, ze kterých neexistuje obchodní důvod k přihlášení.

Create a new named location

Pokud je k dispozici, použijte řešení pro správu událostí a informací o zabezpečení (SIEM) k analýze a vyhledání vzorů přístupu napříč oblastmi. Pokud nepoužíváte produkt SIEM nebo neingestuje ověřovací informace z Azure AD, doporučujeme použít Azure Monitor k identifikaci vzorů přístupu napříč oblastmi.

Využití přístupu

Archivované a integrované protokoly Azure AD s plány reakce na incidenty

Přístup k přihlašovací aktivitě, auditům a rizikovým událostem pro Azure AD je zásadní pro řešení potíží, analýzu využití a forenzní šetření. Azure AD poskytuje přístup k těmto zdrojům prostřednictvím rozhraní REST API, která mají omezenou dobu uchovávání. Systém SIEM (Security Information and Event Management) nebo ekvivalentní archivní technologie je klíčem k dlouhodobému ukládání auditů a podpory. Pokud chcete povolit dlouhodobé úložiště protokolů Azure AD, musíte je buď přidat do stávajícího řešení SIEM, nebo použít Azure Monitor. Archivujte protokoly, které je možné použít jako součást plánů reakcí na incidenty a vyšetřování.

Souhrn

Pro zabezpečenou infrastrukturu identit existuje 12 aspektů. Tento seznam vám pomůže dále zabezpečit a spravovat přihlašovací údaje, definovat prostředí ověřování, delegovat přiřazení, měření využití a definovat zásady přístupu na základě stavu zabezpečení podniku.

  • Přiřaďte vlastníky k klíčovým úkolům.
  • Implementujte řešení pro detekci slabých nebo nevrácených hesel, zlepšení správy a ochrany hesel a dalšího zabezpečení přístupu uživatelů k prostředkům.
  • Správa identity zařízení pro ochranu vašich prostředků kdykoli a z libovolného umístění.
  • Implementujte ověřování bez hesla.
  • Poskytuje standardizovaný mechanismus jednotného přihlašování v celé organizaci.
  • Migrujte aplikace ze služby AD FS do Azure AD, abyste umožnili lepší zabezpečení a konzistentnější možnosti správy.
  • Přiřaďte uživatele k aplikacím pomocí skupin, abyste umožnili větší flexibilitu a možnosti správy ve velkém měřítku.
  • Nakonfigurujte zásady přístupu na základě rizik.
  • Uzamkněte starší ověřovací protokoly.
  • Detekujte a opravte neoprávněné udělení souhlasu.
  • Uzamknout nastavení uživatele a skupiny
  • Povolte dlouhodobé úložiště protokolů Azure AD pro řešení potíží, analýzu využití a forenzní šetření.

Další kroky

Začínáme s provozními kontrolami a akcemi zásad správného řízení identit.