Konfigurace výstrah zabezpečení pro role Microsoft Entra ve službě Privileged Identity Management

  • Článek

Privileged Identity Management (PIM) generuje výstrahy, když ve vaší organizaci v Microsoft Entra ID existuje podezřelá nebo nebezpečná aktivita. Když se aktivuje upozornění, zobrazí se na řídicím panelu Privileged Identity Management. Výběrem výstrahy zobrazíte sestavu se seznamem uživatelů nebo rolí, které výstrahu aktivovaly.

Poznámka:

Jedna událost v Privileged Identity Management může generovat e-mailová oznámení více příjemcům – přiřaďte je, schvalovatelé nebo správci. Maximální počet oznámení odeslaných za jednu událost je 1 000. Pokud počet příjemců překročí 1 000 – obdrží e-mailové oznámení jenom prvních 1 000 příjemců. Nezabráníte tomu, aby jiní přiřazení, správci ani schvalovatelé používali svá oprávnění v Microsoft Entra ID a Privileged Identity Management.

Snímek obrazovky znázorňující stránku upozornění se seznamem výstrah a závažností

Požadavky na licenci

Použití Privileged Identity Management vyžaduje licence. Další informace o licencování naleznete v tématu Základy licencování zásad správného řízení pro Id Microsoftu .

Výstrahy zabezpečení

Tato část obsahuje seznam všech výstrah zabezpečení pro role Microsoft Entra spolu s opravy a jak zabránit. Závažnost má následující význam:

  • Vysoká: Vyžaduje okamžitou akci z důvodu porušení zásad.
  • Střední: Nevyžaduje okamžitou akci, ale signalizuje potenciální porušení zásad.
  • Nízká: Nevyžaduje okamžitou akci, ale navrhuje vhodnější změnu zásad.

Poznámka:

Výstrahy zabezpečení PIM pro role Microsoft Entra můžou číst pouze následující role: globální Správa istrator, privilegovaná role Správa istrator, globální čtenář, zabezpečení Správa istrator a čtenář zabezpečení.

Správa istrátory nepoužívají své privilegované role

Závažnost: Nízká

Popis
Proč se zobrazí toto upozornění? Uživatelé, kteří mají přiřazené privilegované role, nepotřebují zvýšit pravděpodobnost útoku. Útočníkům je také jednodušší zůstat bez povšimnutí v účtech, které se aktivně nepoužívají.
Jak opravit? Zkontrolujte uživatele v seznamu a odeberte je z privilegovaných rolí, které nepotřebují.
Prevence Privilegované role přiřaďte jenom uživatelům, kteří mají obchodní odůvodnění.
Naplánujte pravidelné kontroly přístupu, abyste ověřili, že uživatelé stále potřebují přístup.
Akce zmírnění rizik na portálu Odebere účet z jeho privilegované role.
Trigger Aktivuje se, pokud uživatel překročí zadaný počet dní bez aktivace role.
Počet dnů Toto nastavení určuje maximální počet dní od 0 do 100, kdy uživatel může přejít bez aktivace role.

Role nevyžadují vícefaktorové ověřování pro aktivaci

Závažnost: Nízká

Popis
Proč se zobrazí toto upozornění? Bez vícefaktorového ověřování můžou ohrožení uživatelé aktivovat privilegované role.
Jak opravit? Projděte si seznam rolí a pro každou roli potřebujete vícefaktorové ověřování .
Prevence Vyžaduje vícefaktorové ověřování pro každou roli.
Akce zmírnění rizik na portálu Vyžaduje vícefaktorové ověřování pro aktivaci privilegované role.

Organizace nemá zásady správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.

Závažnost: Nízká

Popis
Proč se zobrazí toto upozornění? Aktuální organizace Microsoft Entra nemá zásady správného řízení MICROSOFT Entra ID P2 ani Microsoft Entra ID.
Jak opravit? Přečtěte si informace o edicích Microsoft Entra. Upgradujte na zásady správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.

Potenciální zastaralé účty v privilegované roli

Závažnost: Střední

Popis
Proč se zobrazí toto upozornění? Tato výstraha se už neaktivuje na základě data poslední změny hesla pro účet. Toto upozornění platí pro účty v privilegované roli, které se během posledních n dnů nepřihlásily, kde n je mnoho dní, které je možné konfigurovat mezi 1 až 365 dny. Tyto účty můžou být služba nebo sdílené účty, které se neudržují a jsou zranitelné vůči útočníkům.
Jak opravit? Zkontrolujte účty v seznamu. Pokud už nepotřebují přístup, odeberte je ze svých privilegovaných rolí.
Prevence Ujistěte se, že sdílené účty rotují silná hesla, když se změní uživatelé, kteří heslo znají.
Pravidelně kontrolujte účty s privilegovanými rolemi pomocí kontrol přístupu a odeberte přiřazení rolí, které už nepotřebujete.
Akce zmírnění rizik na portálu Odebere účet z jeho privilegované role.
Osvědčené postupy Sdílené účty, služby a účty pro nouzový přístup, které se ověřují pomocí hesla a jsou přiřazené k vysoce privilegovaným rolím pro správu, jako je globální správce nebo správce zabezpečení, by se měla v následujících případech obměňovat hesla:
  • Po incidentu zabezpečení, který zahrnuje zneužití nebo ohrožení přístupových práv správce
  • Po změně oprávnění libovolného uživatele, aby už nebyl správcem (například po tom, co zaměstnanec, který byl správcem, opustí IT nebo opustí organizaci)
  • V pravidelných intervalech (například čtvrtletním nebo ročním) i v případě, že nedošlo k žádnému známému porušení nebo změně zaměstnanců IT
Vzhledem k tomu, že k přihlašovacím údajům těchto účtů má přístup více lidí, měly by se přihlašovací údaje otočit, aby uživatelé, kteří opustili své role, už nemají přístup k účtům. Další informace o zabezpečení účtů

Role se přiřazují mimo Privileged Identity Management.

Závažnost: Vysoká

Popis
Proč se zobrazí toto upozornění? Přiřazení privilegovaných rolí provedených mimo Privileged Identity Management nejsou správně monitorovaná a můžou znamenat aktivní útok.
Jak opravit? Zkontrolujte uživatele v seznamu a odeberte je z privilegovaných rolí přiřazených mimo Privileged Identity Management. Výstrahu i doprovodné e-mailové oznámení můžete také povolit nebo zakázat v nastavení upozornění.
Prevence Prozkoumejte, kde mají uživatelé přiřazené privilegované role mimo Privileged Identity Management, a zakažte budoucí přiřazení.
Akce zmírnění rizik na portálu Odebere uživatele ze své privilegované role.

Poznámka:

PIM odesílá e-mailová oznámení pro roli přiřazenou mimo výstrahu PIM, když je výstraha povolená z nastavení upozornění pro role Microsoft Entra v PIM, e-maily se odesílají do privilegovaných rolí Správa istrátory, Správa istrátory zabezpečení a globální Správa istrátory, které povolily Privileged Identity Management. U prostředků Azure v PIM se e-maily odesílají vlastníkům a uživatelským přístupům Správa istrátory.

Příliš mnoho globálních správců

Závažnost: Nízká

Popis
Proč se zobrazí toto upozornění? Globální správce je nejvyšší privilegovaná role. Pokud dojde k ohrožení zabezpečení globálního Správa istratoru, získá útočník přístup ke všem svým oprávněním, což riskuje celý systém.
Jak opravit? Zkontrolujte uživatele v seznamu a odeberte všechny, které nepotřebují roli globálního správce.
Místo toho těmto uživatelům přiřaďte nižší privilegované role.
Prevence Přiřaďte uživatelům nejnižší privilegovanou roli, kterou potřebují.
Akce zmírnění rizik na portálu Odebere účet z jeho privilegované role.
Trigger Aktivuje se, pokud jsou splněna dvě různá kritéria, a můžete nakonfigurovat obě. Nejprve musíte dosáhnout určité prahové hodnoty přiřazení rolí globálního správce. Za druhé, určité procento celkového přiřazení rolí musí být globální správci. Pokud splňujete jenom jedno z těchto měření, upozornění se nezobrazí.
Minimální počet globálních Správa istrátorů Toto nastavení určuje počet přiřazení rolí globálních Správa istratorů od 2 do 100, které považujete za příliš málo pro vaši organizaci Microsoft Entra.
Procento globálních Správa istrátorů Toto nastavení určuje minimální procento správců, kteří jsou globálními správci, od 0 % do 100 %, pod kterými nechcete, aby vaše organizace Microsoft Entra propadla.

Role se aktivují příliš často.

Závažnost: Nízká

Popis
Proč se zobrazí toto upozornění? Více aktivací stejné privilegované role stejného uživatele je znaménkem útoku.
Jak opravit? Zkontrolujte uživatele v seznamu a ujistěte se, že doba trvání aktivace pro jejich privilegovanou roli je dostatečně dlouhá, aby mohli provádět své úkoly.
Prevence Ujistěte se, že doba trvání aktivace pro privilegované role je dostatečně dlouhá, aby uživatelé mohli provádět své úlohy.
Vyžadovat vícefaktorové ověřování pro privilegované role, které mají účty sdílené více správci.
Akce zmírnění rizik na portálu
Trigger Aktivuje se, pokud uživatel v zadaném období několikrát aktivuje stejnou privilegovanou roli. Můžete nakonfigurovat časové období i počet aktivací.
Časový rámec prodloužení aktivace Toto nastavení určuje dny, hodiny, minuty a druhé časové období, které chcete použít ke sledování podezřelých obnovení.
Počet prodloužení aktivace Toto nastavení určuje počet aktivací od 2 do 100, kdy chcete být upozorněni v časovém rámci, který jste zvolili. Toto nastavení můžete změnit přesunutím posuvníku nebo zadáním čísla do textového pole.

Přizpůsobení nastavení výstrah zabezpečení

Při konfiguraci výstrah zabezpečení pro role Microsoft Entra ve službě Privileged Identity Management postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte do části Nastavení upozornění>na role Privileged Identity Management služby Microsoft Entra v>zásadách>správného řízení>identit. Informace o tom, jak přidat dlaždici Privileged Identity Management na řídicí panel, najdete v tématu Začínáme používat Privileged Identity Management.

    Snímek obrazovky se stránkou upozornění se zvýrazněným nastavením

  3. Přizpůsobte si nastavení pro různá upozornění tak, aby fungovala s vaším prostředím a cíli zabezpečení.

    Snímek obrazovky se stránkou nastavení upozornění

Další kroky