Konfigurace výstrah zabezpečení pro role Microsoft Entra ve službě Privileged Identity Management
Privileged Identity Management (PIM) generuje výstrahy, když ve vaší organizaci v Microsoft Entra ID existuje podezřelá nebo nebezpečná aktivita. Když se aktivuje upozornění, zobrazí se na řídicím panelu Privileged Identity Management. Výběrem výstrahy zobrazíte sestavu se seznamem uživatelů nebo rolí, které výstrahu aktivovaly.
Poznámka:
Jedna událost v Privileged Identity Management může generovat e-mailová oznámení více příjemcům – přiřaďte je, schvalovatelé nebo správci. Maximální počet oznámení odeslaných za jednu událost je 1 000. Pokud počet příjemců překročí 1 000 – obdrží e-mailové oznámení jenom prvních 1 000 příjemců. Nezabráníte tomu, aby jiní přiřazení, správci ani schvalovatelé používali svá oprávnění v Microsoft Entra ID a Privileged Identity Management.
Požadavky na licenci
Použití Privileged Identity Management vyžaduje licence. Další informace o licencování naleznete v tématu Základy licencování zásad správného řízení pro Id Microsoftu .
Výstrahy zabezpečení
Tato část obsahuje seznam všech výstrah zabezpečení pro role Microsoft Entra spolu s opravy a jak zabránit. Závažnost má následující význam:
- Vysoká: Vyžaduje okamžitou akci z důvodu porušení zásad.
- Střední: Nevyžaduje okamžitou akci, ale signalizuje potenciální porušení zásad.
- Nízká: Nevyžaduje okamžitou akci, ale navrhuje vhodnější změnu zásad.
Poznámka:
Pouze následující role mohou číst výstrahy zabezpečení PIM pro role Microsoft Entra: globální správce, privilegovaný správce, globální čtenář, správce zabezpečení a čtenář zabezpečení.
Správci nepoužívají své privilegované role
Závažnost: Nízká
Popis | |
---|---|
Proč se zobrazí toto upozornění? | Uživatelé, kteří mají přiřazené privilegované role, nepotřebují zvýšit pravděpodobnost útoku. Útočníkům je také jednodušší zůstat bez povšimnutí v účtech, které se aktivně nepoužívají. |
Jak opravit? | Zkontrolujte uživatele v seznamu a odeberte je z privilegovaných rolí, které nepotřebují. |
Prevence | Privilegované role přiřaďte jenom uživatelům, kteří mají obchodní odůvodnění. Naplánujte pravidelné kontroly přístupu, abyste ověřili, že uživatelé stále potřebují přístup. |
Akce zmírnění rizik na portálu | Odebere účet z jeho privilegované role. |
Trigger | Aktivuje se, pokud uživatel překročí zadaný počet dní bez aktivace role. |
Počet dnů | Toto nastavení určuje maximální počet dní od 0 do 100, kdy uživatel může přejít bez aktivace role. |
Role nevyžadují vícefaktorové ověřování pro aktivaci
Závažnost: Nízká
Popis | |
---|---|
Proč se zobrazí toto upozornění? | Bez vícefaktorového ověřování můžou ohrožení uživatelé aktivovat privilegované role. |
Jak opravit? | Projděte si seznam rolí a pro každou roli potřebujete vícefaktorové ověřování . |
Prevence | Vyžaduje vícefaktorové ověřování pro každou roli. |
Akce zmírnění rizik na portálu | Vyžaduje vícefaktorové ověřování pro aktivaci privilegované role. |
Organizace nemá zásady správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.
Závažnost: Nízká
Popis | |
---|---|
Proč se zobrazí toto upozornění? | Aktuální organizace Microsoft Entra nemá zásady správného řízení MICROSOFT Entra ID P2 ani Microsoft Entra ID. |
Jak opravit? | Přečtěte si informace o edicích Microsoft Entra. Upgradujte na zásady správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID. |
Potenciální zastaralé účty v privilegované roli
Závažnost: Střední
Popis | |
---|---|
Proč se zobrazí toto upozornění? | Tato výstraha se už neaktivuje na základě data poslední změny hesla pro účet. Toto upozornění platí pro účty v privilegované roli, které se během posledních n dnů nepřihlásily, kde n je mnoho dní, které je možné konfigurovat mezi 1 až 365 dny. Tyto účty můžou být služba nebo sdílené účty, které se neudržují a jsou zranitelné vůči útočníkům. |
Jak opravit? | Zkontrolujte účty v seznamu. Pokud už nepotřebují přístup, odeberte je ze svých privilegovaných rolí. |
Prevence | Ujistěte se, že sdílené účty rotují silná hesla, když se změní uživatelé, kteří heslo znají. Pravidelně kontrolujte účty s privilegovanými rolemi pomocí kontrol přístupu a odeberte přiřazení rolí, které už nepotřebujete. |
Akce zmírnění rizik na portálu | Odebere účet z jeho privilegované role. |
Osvědčené postupy | Sdílené účty, účty služeb a tísňového přístupu, které se ověřují pomocí hesla a jsou přiřazené k vysoce privilegovaným rolím pro správu, jako je globální správce nebo správce zabezpečení, by se měla v následujících případech obměňovat hesla:
|
Role se přiřazují mimo Privileged Identity Management.
Závažnost: Vysoká
Popis | |
---|---|
Proč se zobrazí toto upozornění? | Přiřazení privilegovaných rolí provedených mimo Privileged Identity Management nejsou správně monitorovaná a můžou znamenat aktivní útok. |
Jak opravit? | Zkontrolujte uživatele v seznamu a odeberte je z privilegovaných rolí přiřazených mimo Privileged Identity Management. Výstrahu i doprovodné e-mailové oznámení můžete také povolit nebo zakázat v nastavení upozornění. |
Prevence | Prozkoumejte, kde mají uživatelé přiřazené privilegované role mimo Privileged Identity Management, a zakažte budoucí přiřazení. |
Akce zmírnění rizik na portálu | Odebere uživatele ze své privilegované role. |
Poznámka:
PIM odesílá e-mailová oznámení pro roli přiřazenou mimo výstrahu PIM, když je výstraha povolená z nastavení upozornění pro role Microsoft Entra v PIM, odesílají se e-maily správcům privilegovaných rolí, správcům zabezpečení a globálním správcům, kteří povolili Privileged Identity Management. U prostředků Azure v PIM se e-maily odesílají vlastníkům a správcům uživatelských přístupů.
Existuje příliš mnoho globálních správců.
Závažnost: Nízká
Popis | |
---|---|
Proč se zobrazí toto upozornění? | Globální správce je nejvyšší privilegovaná role. Pokud dojde k ohrožení zabezpečení globálního správce, útočník získá přístup ke všem svým oprávněním, což ohrožuje celý systém. |
Jak opravit? | Zkontrolujte uživatele v seznamu a odeberte všechny uživatele, kteří nepotřebují roli globálního správce. Místo toho těmto uživatelům přiřaďte nižší privilegované role. |
Prevence | Přiřaďte uživatelům nejnižší privilegovanou roli, kterou potřebují. |
Akce zmírnění rizik na portálu | Odebere účet z jeho privilegované role. |
Trigger | Aktivuje se, pokud jsou splněna dvě různá kritéria, a můžete nakonfigurovat obě. Nejprve musíte dosáhnout určité prahové hodnoty přiřazení rolí globálního správce. Za druhé, určité procento vašeho celkového přiřazení rolí musí být globální správci. Pokud splňujete jenom jedno z těchto měření, upozornění se nezobrazí. |
Minimální počet globálních správců | Toto nastavení určuje počet přiřazení rolí globálního správce od 2 do 100, které považujete za příliš málo pro vaši organizaci Microsoft Entra. |
Procento globálních správců | Toto nastavení určuje minimální procento správců, kteří jsou globálními správci, od 0 % do 100 %, pod kterými nechcete, aby vaše organizace Microsoft Entra propadla. |
Role se aktivují příliš často.
Závažnost: Nízká
Popis | |
---|---|
Proč se zobrazí toto upozornění? | Více aktivací stejné privilegované role stejného uživatele je znaménkem útoku. |
Jak opravit? | Zkontrolujte uživatele v seznamu a ujistěte se, že doba trvání aktivace pro jejich privilegovanou roli je dostatečně dlouhá, aby mohli provádět své úkoly. |
Prevence | Ujistěte se, že doba trvání aktivace pro privilegované role je dostatečně dlouhá, aby uživatelé mohli provádět své úlohy. Vyžadovat vícefaktorové ověřování pro privilegované role, které mají účty sdílené více správci. |
Akce zmírnění rizik na portálu | – |
Trigger | Aktivuje se, pokud uživatel v zadaném období několikrát aktivuje stejnou privilegovanou roli. Můžete nakonfigurovat časové období i počet aktivací. |
Časový rámec prodloužení aktivace | Toto nastavení určuje dny, hodiny, minuty a druhé časové období, které chcete použít ke sledování podezřelých obnovení. |
Počet prodloužení aktivace | Toto nastavení určuje počet aktivací od 2 do 100, kdy chcete být upozorněni v časovém rámci, který jste zvolili. Toto nastavení můžete změnit přesunutím posuvníku nebo zadáním čísla do textového pole. |
Přizpůsobení nastavení výstrah zabezpečení
Při konfiguraci výstrah zabezpečení pro role Microsoft Entra ve službě Privileged Identity Management postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
Přejděte do části Nastavení upozornění>na role Privileged Identity Management služby Microsoft Entra v>zásadách>správného řízení>identit. Informace o tom, jak přidat dlaždici Privileged Identity Management na řídicí panel, najdete v tématu Začínáme používat Privileged Identity Management.
Přizpůsobte si nastavení pro různá upozornění tak, aby fungovala s vaším prostředím a cíli zabezpečení.