Výchozí nastavení zabezpečení v Azure AD

Microsoft zpřístupňuje výchozí nastavení zabezpečení všem, protože správa zabezpečení může být obtížná. Útoky související s identitou, jako jsou útoky typu password spray, replay a phishing, jsou v dnešním prostředí běžné. Více než 99,9 % těchto útoků souvisejících s identitou se zastaví pomocí vícefaktorového ověřování (MFA) a blokuje starší ověřování. Cílem je zajistit, aby všechny organizace měly alespoň základní úroveň zabezpečení povolenou bez dalších nákladů.

Výchozí nastavení zabezpečení usnadňuje ochranu vaší organizace před těmito útoky souvisejícími s identitou pomocí předkonfigurovaných nastavení zabezpečení:

Pro koho to je?

  • Organizace, které chtějí zvýšit stav zabezpečení, ale neví, jak nebo kde začít.
  • Organizace používající bezplatnou úroveň licencování Azure Active Directory

Kdo by měl používat podmíněný přístup?

  • Pokud v současné době používáte zásady podmíněného přístupu, výchozí nastavení zabezpečení pro vás pravděpodobně není správné.
  • Pokud jste organizace s licencemi Azure Active Directory Premium, výchozí nastavení zabezpečení pro vás pravděpodobně není správné.
  • Pokud má vaše organizace složité požadavky na zabezpečení, měli byste zvážit podmíněný přístup.

Povolení výchozích nastavení zabezpečení

Pokud byl váš tenant vytvořený 22. října 2019 nebo později, mohou v něm být povolena výchozí nastavení zabezpečení. Aby se ochránili všichni naši uživatelé, nasadí se výchozí nastavení zabezpečení pro všechny nové tenanty při vytváření.

Povolení výchozích nastavení zabezpečení v adresáři:

  1. Přihlaste se k Azure Portal jako správce zabezpečení, správce podmíněného přístupu nebo globální správce.
  2. Přejděte dovlastnostíAzure Active Directory>.
  3. Vyberte Spravovat výchozí nastavení zabezpečení.
  4. Nastavte přepínač Povolit výchozí nastavení zabezpečení na Ano.
  5. Vyberte Uložit.

Snímek obrazovky Azure Portal s přepínačem pro povolení výchozích hodnot zabezpečení

Vynucené zásady zabezpečení

Vyžadovat, aby se všichni uživatelé zaregistrovali k vícefaktorovému ověřování Azure AD

Všichni uživatelé ve vašem tenantovi se musí zaregistrovat pro vícefaktorové ověřování (MFA) ve formě vícefaktorového ověřování Azure AD Multi-Factor Authentication. Uživatelé mají 14 dnů k registraci pro Azure AD Multi-Factor Authentication pomocí aplikace Microsoft Authenticator. Po uplynutí 14 dnů se uživatel nemůže přihlásit, dokud se registrace nedokončí. 14denní období uživatele začíná po prvním úspěšném interaktivním přihlášení po povolení výchozích nastavení zabezpečení.

Vyžadování vícefaktorového ověřování správci

Správci zvýšili přístup k vašemu prostředí. Vzhledem k výkonu těchto vysoce privilegovaných účtů byste s nimi měli zacházet se zvláštní opatrností. Jednou z běžných metod, jak zlepšit ochranu privilegovaných účtů, je vyžadovat silnější formu ověření účtu pro přihlášení. V Azure AD můžete získat silnější ověření účtu vyžadováním vícefaktorového ověřování.

Tip

Doporučujeme mít samostatné účty pro úlohy správy a standardní produktivity, aby se výrazně snížil počet žádostí správců o vícefaktorové ověřování.

Po dokončení registrace s vícefaktorovým ověřováním Azure AD se při každém přihlášení budou vyžadovat následující role správce Azure AD:

  • Globální správce
  • Správce aplikací
  • Správce ověřování
  • Správce fakturace
  • Správce cloudových aplikací
  • Správce podmíněného přístupu
  • Správce Exchange
  • Správce helpdesku
  • Správce hesel
  • Správce privilegovaného ověřování
  • Správce zabezpečení
  • Správce SharePointu
  • Správce uživatelů

Vyžadování vícefaktorového ověřování uživatelů v případě potřeby

Obvykle si myslíme, že účty správců jsou jedinými účty, které potřebují další vrstvy ověřování. Správci mají široký přístup k citlivým informacím a můžou provádět změny nastavení pro celé předplatné. Útočníci ale často cílí na koncové uživatele.

Jakmile tito útočníci získají přístup, můžou požádat o přístup k privilegovaným informacím pro původního držitele účtu. Můžou si dokonce stáhnout celý adresář a udělat útok phishing na celou organizaci.

Jednou z běžných metod, jak zlepšit ochranu pro všechny uživatele, je vyžadovat silnější formu ověření účtu, například vícefaktorové ověřování, pro všechny. Po dokončení registrace se uživatelům zobrazí výzva k zadání dalšího ověřování, kdykoli je to potřeba. Azure AD rozhodne, kdy se uživateli zobrazí výzva k vícefaktorovém ověřování na základě faktorů, jako je umístění, zařízení, role a úloha. Tato funkce chrání všechny aplikace zaregistrované v Azure AD včetně aplikací SaaS.

Poznámka

V případě uživatelů přímého připojení B2B bude potřeba splnit jakýkoli požadavek na vícefaktorové ověřování z výchozích hodnot zabezpečení povolených v tenantovi prostředků, včetně registrace vícefaktorového ověřování uživatelem přímého připojení ve svém domovském tenantovi.

Blokování starších ověřovacích protokolů

Pokud chcete uživatelům umožnit snadný přístup ke cloudovým aplikacím, Azure AD podporuje různé ověřovací protokoly, včetně starší verze ověřování. Starší verze ověřování je termín, který odkazuje na žádost o ověření, kterou provedl:

  • Klienti, kteří nepoužívají moderní ověřování (například klient Office 2010).
  • Každý klient, který používá starší e-mailové protokoly, jako je IMAP, SMTP nebo POP3.

Většina kompromisů při pokusech o přihlášení dnes pochází ze starší verze ověřování. Starší verze ověřování nepodporuje vícefaktorové ověřování. I když máte ve svém adresáři povolené zásady vícefaktorového ověřování, útočník se může ověřit pomocí staršího protokolu a obejít vícefaktorové ověřování.

Po povolení výchozích nastavení zabezpečení ve vašem tenantovi se zablokují všechny požadavky na ověřování provedené starším protokolem. Výchozí nastavení zabezpečení blokuje základní ověřování Exchange Active Sync.

Upozornění

Než povolíte výchozí nastavení zabezpečení, ujistěte se, že správci nepoužívají starší ověřovací protokoly. Další informace najdete v tématu Jak se přesunout od starší verze ověřování.

Ochrana privilegovaných aktivit, jako je přístup k Azure Portal

Organizace používají různé služby Azure spravované prostřednictvím rozhraní API azure Resource Manager, včetně:

  • portál Azure
  • Azure PowerShell
  • Azure CLI

Použití Azure Resource Manager ke správě služeb je vysoce privilegovaná akce. Azure Resource Manager může měnit konfigurace pro celého tenanta, jako jsou nastavení služeb a fakturace předplatného. Jednofaktorové ověřování je zranitelné vůči různým útokům, jako je útok phishing a sprej hesla.

Je důležité ověřit identitu uživatelů, kteří chtějí přistupovat ke službě Azure Resource Manager a aktualizovat konfigurace. Před povolením přístupu ověříte jejich identitu tím, že budete potřebovat více ověřování.

Po povolení výchozích nastavení zabezpečení ve vašem tenantovi musí každý uživatel, který přistupuje k následujícím službám, dokončit vícefaktorové ověřování:

  • portál Azure
  • Azure PowerShell
  • Azure CLI

Tato zásada platí pro všechny uživatele, kteří přistupují ke službám Azure Resource Manager bez ohledu na to, jestli jsou správcem nebo uživatelem.

Poznámka

Tenanti Exchange Online před 2017 mají ve výchozím nastavení moderní ověřování zakázané. Abyste se vyhnuli možnosti přihlášení smyčky při ověřování prostřednictvím těchto tenantů, musíte povolit moderní ověřování.

Poznámka

Synchronizační účet Azure AD Connect je vyloučen z výchozích nastavení zabezpečení a nebude vyzván k registraci nebo provedení vícefaktorového ověřování. Organizace by tento účet neměly používat pro jiné účely.

Aspekty nasazování

Metody ověřování

Uživatelé výchozích hodnot zabezpečení se musí zaregistrovat a používat Azure AD Multi-Factor Authentication pomocí aplikace Microsoft Authenticator pomocí oznámení. Uživatelé můžou používat ověřovací kódy z aplikace Microsoft Authenticator, ale můžou se zaregistrovat jenom pomocí možnosti oznámení.

Od července 2022 bude muset každý, kdo má přiřazenou roli globálního správce, zaregistrovat metodu založenou na telefonu, jako je volání nebo text jako záložní metoda.

Upozornění

Nezakažujte metody pro vaši organizaci, pokud používáte výchozí hodnoty zabezpečení. Zakázání metod může vést k uzamčení vašeho tenanta. Nechte všechny metody dostupné uživatelům na portálu nastavení služby MFA.

Účty správce zálohování

Každá organizace by měla mít nakonfigurované aspoň dva účty správce zálohování. Těmto účtům pro nouzový přístup zavoláme.

Tyto účty se můžou používat ve scénářích, kdy se nedají použít běžné účty správců. Příklad: Osoba s nejnovějším přístupem globálního správce opustila organizaci. Azure AD zabrání odstranění posledního účtu globálního správce, ale nezabrání odstranění nebo zakázání účtu místně. V obou situacích může organizace obnovit účet.

Účty pro nouzový přístup jsou:

  • Přiřazená oprávnění globálního správce v Azure AD
  • Nepoužívá se každý den.
  • Jsou chráněny dlouhým složitým heslem.

Přihlašovací údaje pro tyto účty pro nouzový přístup by měly být uloženy offline v zabezpečeném umístění, například v bezpečném bezpečném umístění. K těmto přihlašovacím údajům by měli mít přístup jenom autorizovaní jednotlivci.

Vytvoření účtu pro nouzový přístup:

  1. Přihlaste se k Azure Portal jako stávající globální správce.
  2. Přejděte nauživateleAzure Active Directory>.
  3. Vyberte Nový uživatel.
  4. Vyberte Vytvořit uživatele.
  5. Zadejte uživatelské jméno účtu.
  6. Zadejte název účtu.
  7. Vytvořte pro účet dlouhé a složité heslo.
  8. V části Role přiřaďte roli globálního správce .
  9. V části Umístění využití vyberte příslušné umístění.
  10. Vyberte Vytvořit.

Vypršení platnosti hesla pro tyto účty můžete zakázat pomocí Azure AD PowerShellu.

Podrobnější informace o Azure AD účtech

Uživatelé B2B

Všichni uživatelé typu host B2B nebo B2B přímo připojují uživatele, kteří přistupují k vašemu adresáři, se považují za stejné jako uživatelé vaší organizace.

Zakázaný stav vícefaktorového ověřování

Pokud je vaše organizace předchozím uživatelem Azure AD multi-Factor Authentication založená na jednotlivých uživatelích, pokud se podíváte na stránku se stavem Multi-Factor Auth, neuvidíte uživatele ve stavu Povoleno nebo Vynuceno. Zakázáno je vhodný stav pro uživatele, kteří používají výchozí nastavení zabezpečení nebo podmíněný přístup na základě Azure AD Multi-Factor Authentication.

Podmíněný přístup

Podmíněný přístup můžete použít ke konfiguraci zásad podobných výchozím nastavením zabezpečení, ale s větší členitostí. Zásady podmíněného přístupu umožňují vybrat jiné metody ověřování a možnost vyloučit uživatele, kteří nejsou ve výchozím nastavení zabezpečení k dispozici. Pokud ve svém prostředí dnes používáte podmíněný přístup, nebudou pro vás k dispozici výchozí nastavení zabezpečení.

Zpráva s upozorněním, že můžete mít výchozí nastavení zabezpečení nebo podmíněný přístup, ne obojí

Pokud chcete povolit podmíněný přístup ke konfiguraci sady zásad, které tvoří vhodný výchozí bod pro ochranu identit:

Zakázání výchozích nastavení zabezpečení

Organizace, které se rozhodnou implementovat zásady podmíněného přístupu, které nahrazují výchozí hodnoty zabezpečení, musí zakázat výchozí nastavení zabezpečení.

Zpráva upozornění zakáže výchozí nastavení zabezpečení pro povolení podmíněného přístupu

Zakázání výchozích nastavení zabezpečení v adresáři:

  1. Přihlaste se k Azure Portal jako správce zabezpečení, správce podmíněného přístupu nebo globální správce.
  2. Přejděte dovlastnostíAzure Active Directory>.
  3. Vyberte Spravovat výchozí nastavení zabezpečení.
  4. Nastavte přepínač Povolit výchozí nastavení zabezpečení na Ne.
  5. Vyberte Uložit.

Další kroky