Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato část referenční příručky k operacím Microsoft Entra popisuje kontroly a akce, které byste měli provést při optimalizaci obecných operací s ID Microsoft Entra.
Poznámka:
Tato doporučení jsou aktuální k datu publikování, ale můžou se v průběhu času měnit. Organizace by měly průběžně vyhodnocovat své provozní postupy, protože se v průběhu času vyvíjejí produkty a služby Microsoftu.
Klíčové provozní procesy
Přiřazení vlastníků k klíčovým úkolům
Správa ID Microsoft Entra vyžaduje průběžné provádění klíčových provozních úkolů a procesů, které nemusí být součástí projektu uvedení. Je stále důležité nastavit tyto úlohy tak, aby optimalizovaly vaše prostředí. Mezi klíčové úkoly a jejich doporučené vlastníky patří:
| Úkol | Vlastník |
|---|---|
| Vylepšení skóre zabezpečení identity | Provozní tým InfoSec |
| Údržba serverů Microsoft Entra Connect | Provozní tým IAM |
| Pravidelné provádění a vyhodnocování sestav IdFixu | Provozní tým IAM |
| Prioritizace upozornění služby Microsoft Entra Connect Health pro synchronizaci a službu AD FS | Provozní tým IAM |
| Pokud nepoužíváte Microsoft Entra Connect Health, zákazník má ekvivalentní proces a nástroje pro monitorování vlastní infrastruktury. | Provozní tým IAM |
| Pokud službu AD FS nepoužíváte, zákazník má ekvivalentní proces a nástroje pro monitorování vlastní infrastruktury. | Provozní tým IAM |
| Monitorování hybridních logů: Konektory privátní sítě Microsoft Entra | Provozní tým IAM |
| Monitorování hybridních logů: Agenti průchozího ověřování | Provozní tým IAM |
| Monitorování hybridních záznamů: Služba zpětného zápisu hesel | Provozní tým IAM |
| Monitorování hybridních protokolů: Místní brána ochrany heslem | Provozní tým IAM |
| Monitorování hybridních protokolů: Rozšíření NPS s vícefaktorovým ověřováním Microsoft Entra (pokud je k dispozici) | Provozní tým IAM |
Při kontrole seznamu možná budete muset buď přiřadit vlastníka k úkolům, u kterých chybí vlastník, nebo upravit vlastnictví úkolů, jejichž vlastníci nejsou v souladu s výše uvedenými doporučeními.
Doporučené čtení pro vlastníky
Hybridní správa
Poslední verze místních komponent
Nejnovější aktualizace zabezpečení, vylepšení výkonu a funkce, které by mohly zjednodušit prostředí, poskytuje zákazníkům nejnovější up-tokalendářních verzí místních komponent. Většina komponent má nastavení automatického upgradu, které automatizuje proces upgradu.
Mezi tyto komponenty patří:
- Microsoft Entra Connect
- Konektory privátní sítě Microsoft Entra
- Agenti předávacího ověřování Microsoft Entra
- Agenti služby Microsoft Entra Connect Health
Pokud není stanoven, měli byste definovat proces aktualizace těchto součástí a kdykoli je to možné, spolehnout se na funkci automatické aktualizace. Pokud najdete komponenty, které jsou po šesti nebo více měsících, měli byste upgradovat co nejdříve.
Doporučené čtení o hybridní správě
- Microsoft Entra Connect: Automatický upgrade
- Pochopit konektory soukromé sítě Microsoft Entra | Automatické aktualizace
Standardní hodnoty upozornění služby Microsoft Entra Connect Health
Organizace by měly nasadit Microsoft Entra Connect Health pro monitorování a sestavování zpráv Microsoft Entra Connect a AD FS. Microsoft Entra Connect a AD FS jsou důležité komponenty, které můžou přerušit správu životního cyklu a ověřování, a proto vést k výpadkům. Microsoft Entra Connect Health pomáhá monitorovat a získávat přehledy o vaší místní infrastruktuře identit, čímž zajišťuje spolehlivost vašeho prostředí.
Při monitorování stavu prostředí je nutné okamžitě řešit všechny výstrahy s vysokou závažností následované upozorněními s nižší závažností.
Doporučené čtení služby Microsoft Entra Connect Health
Protokoly místních agentů
Některé služby správy identit a přístupu vyžadují místní agenty k povolení hybridních scénářů. Mezi příklady patří resetování hesla, předávací ověřování (PTA), proxy aplikace Microsoft Entra a rozšíření NPS pro vícefaktorové ověřování Microsoft Entra. Je klíčové, aby tým provozu stanovil výchozí stav a monitoroval zdraví těchto komponent archivací a analýzou protokolů agentů komponent pomocí řešení, jako je System Center Operations Manager nebo SIEM. Stejně důležité je, aby váš provozní tým Infosec nebo helpdesk pochopili, jak řešit potíže se vzory chyb.
Doporučení pro čtení protokolů místních agentů
- Řešení potíží s proxy aplikací
- Řešení potíží s samoobslužným resetováním hesla
- Pochopte konektory privátní sítě Microsoft Entra
- Microsoft Entra Connect: Řešení potíží s předávacím ověřováním
- Řešení chybových kódů pro rozšíření NPS s vícefaktorovým ověřováním Microsoft Entra
Správa místních agentů
Přijetí osvědčených postupů může pomoct optimálnímu provozu místních agentů. Zvažte následující osvědčené postupy:
- Pro zajištění bezproblémového vyrovnávání zatížení a vysoké dostupnosti se doporučuje několik privátních síťových konektorů Microsoft Entra pro každou skupinu konektorů, a to tak, že se při přístupu k proxy aplikacím zabrání kritickým bodům selhání. Pokud v současnosti máte ve skupině konektorů pouze jeden konektor, který zpracovává aplikace v produkčním prostředí, měli byste nasadit alespoň dva konektory pro redundanci.
- Vytvoření a použití skupiny privátních síťových konektorů pro účely ladění může být užitečné pro scénáře řešení potíží a při onboardingu nových místních aplikací. Doporučujeme také nainstalovat síťové nástroje, jako je Message Analyzer a Fiddler, na stroje konektorů.
- Pro zajištění bezproblémového vyrovnávání zatížení a vysoké dostupnosti se doporučuje použití více prostředníků pro ověřování, aby se během toku ověřování předešlo jednomu bodu selhání. Nezapomeňte nasadit alespoň dva předávací ověřovací agenty pro redundanci.
Doporučené čtení pro správu agentů pro místní nasazení
- Pochopte konektory privátní sítě Microsoft Entra
- Ověřování předáním údajů Microsoft Entra – rychlý průvodce
Správa ve velkém měřítku
Skóre zabezpečení identity
Bezpečnostní skóre identity poskytuje kvantifikovatelnou míru stavu zabezpečení vaší organizace. Je klíčové neustále kontrolovat a řešit zjištěná zjištění a snažit se mít nejvyšší možné skóre. Toto skóre vám umožní:
- Objektivně změřit stav zabezpečení vaší identity
- Plánování vylepšení zabezpečení identit
- Kontrola úspěšnosti vylepšení
Pokud vaše organizace momentálně nemá žádný program pro monitorování změn ve skóre zabezpečení identity, doporučujeme implementovat plán a přiřadit vlastníky k monitorování a řízení akcí zlepšování. Organizace by měly co nejdříve napravit akce zlepšování s dopadem na skóre vyšší než 30.
Oznámení
Microsoft posílá správcům e-mailovou komunikaci, aby informoval různé změny ve službě, aktualizace konfigurace, které jsou potřeba, a chyby, které vyžadují zásah správce. Je důležité, aby zákazníci nastavili e-mailové adresy oznámení tak, aby se oznámení odesílala správným členům týmu, kteří můžou potvrdit a reagovat na všechna oznámení. Do Centra zpráv doporučujeme přidat více příjemců a požádat o odeslání oznámení (včetně oznámení služby Microsoft Entra Connect Health) do distribučního seznamu nebo sdílené poštovní schránky. Pokud máte jenom jeden účet globálního správce s e-mailovou adresou, nezapomeňte nakonfigurovat aspoň dva e-mailové účty.
Existují dvě adresy "From", které používá Microsoft Entra ID: o365mc@email2.microsoft.com, která odesílá oznámení Centra zpráv; a azure-noreply@microsoft.com, která odesílá oznámení týkající se:
- Revize přístupů Microsoft Entra
- Microsoft Entra Connect Health
- Ochrana Microsoft Entra ID
- Správa privilegovaných identit Microsoft Entra
- Oznámení o certifikátu s vypršenou platností podnikových aplikací
- Oznámení služby zajišťování podnikových aplikací
Informace o typu odesílaných oznámení a jejich kontrole najdete v následující tabulce:
| Zdroj oznámení | Co se odesílá | Kde zkontrolovat |
|---|---|---|
| Technický kontakt | Chyby synchronizace | Azure Portal – panel vlastností |
| Centrum zpráv | Oznámení o incidentech a snížení výkonu služeb identit a back-endových služeb Microsoftu 365 | Portál Office |
| Týdenní přehled ochrany identity | Přehled ochrany identity | Okno Microsoft Entra ID Protection |
| Zdraví služby Microsoft Entra Connect | Oznámení o upozorněních | Azure Portal – okno Microsoft Entra Connect Health |
| Oznámení podnikových aplikací | Oznámení o vypršení platnosti certifikátů a chybách zřizování | Azure portal – Enterprise Application blade (každá aplikace má vlastní nastavení e-mailové adresy) |
Doporučená oznámení ke čtení
Provozní plocha
Uzamčení služby AD FS
Organizace, které konfigurují aplikace tak, aby se ověřily přímo v Microsoft Entra ID, mají výhodu inteligentního uzamčení Microsoft Entra. Pokud používáte službu AD FS ve Windows Serveru 2012 R2, implementujte ochranu uzamčení extranetu služby AD FS. Pokud používáte službu AD FS ve Windows Serveru 2016 nebo novějším, implementujte inteligentní uzamčení extranetu. Minimálně doporučujeme povolit uzamčení extranetu tak, aby obsahovalo riziko útoků hrubou silou proti místní službě Active Directory. Pokud ale máte službu AD FS ve Windows 2016 nebo vyšší, měli byste také povolit inteligentní uzamčení extranetu, které vám pomůže zmírnit útoky password spray .
Pokud se služba AD FS používá jenom pro federaci Microsoft Entra, existují některé koncové body, které je možné vypnout, aby se minimalizovala oblast útoku. Pokud se například služba AD FS používá jenom pro ID Microsoft Entra, měli byste zakázat jiné koncové body WS-Trust než koncové body povolené pro uživatelské_jméno awindowstransport.
Přístup ke strojům s místními komponentami pro identifikaci
Organizace by měly uzamknout přístup k počítačům s místními hybridními komponentami stejným způsobem jako místní doména. Operátor zálohování nebo správce Hyper-V by se například neměl přihlašovat k serveru Microsoft Entra Connect a měnit pravidla.
Model vrstvy správy služby Active Directory byl navržen tak, aby chránil systémy identit pomocí sady zón vyrovnávací paměti mezi úplnou kontrolou prostředí (vrstva 0) a vysoce rizikovými prostředky pracovních stanic, které útočníci často narušují.
Model vrstev se skládá ze tří úrovní a zahrnuje pouze účty pro správu, nikoli standardní uživatelské účty.
- Vrstva 0 – přímá kontrola podnikových identit v prostředí Vrstva 0 zahrnuje účty, skupiny a další prostředky, které mají přímou nebo nepřímou správu nad doménovou strukturou, doménami nebo řadiči domény služby Active Directory a všemi prostředky v ní. Citlivost zabezpečení všech prostředků vrstvy 0 je ekvivalentní, protože všechny jsou vzájemně efektivně pod kontrolou.
- Vrstva 1 – řízení podnikových serverů a aplikací Prostředky vrstvy 1 zahrnují serverové operační systémy, cloudové služby a podnikové aplikace. Účty správců vrstvy 1 mají kontrolu nad velkým množstvím obchodních hodnot hostovaných na těchto prostředcích. Běžnou ukázkovou rolí jsou správci serverů, kteří tyto operační systémy udržují s možností ovlivnit všechny podnikové služby.
- Vrstva 2 – řízení uživatelských pracovních stanic a zařízení Účty správců vrstvy 2 mají kontrolu nad velkým množstvím obchodních hodnot hostovaných na uživatelských pracovních stanicích a zařízeních. Mezi příklady patří správci technické podpory a podpory počítačů, protože můžou ovlivnit integritu téměř všech uživatelských dat.
Zamkněte přístup k místním komponentám identit, jako je Microsoft Entra Connect, AD FS a služby SQL stejným způsobem jako u řadičů domény.
Shrnutí
Zabezpečená infrastruktura identit má sedm aspektů. Tento seznam vám pomůže najít akce, které byste měli provést k optimalizaci operací pro Microsoft Entra ID.
- Přiřaďte vlastníky k klíčovým úkolům.
- Automatizujte proces upgradu místních hybridních komponent.
- Nasaďte Microsoft Entra Connect Health pro monitorování a vytváření a hlášení o Microsoft Entra Connect a AD FS.
- Monitorujte stav místních hybridních komponent archivací a analýzou protokolů agenta komponent pomocí nástroje System Center Operations Manager nebo řešení SIEM.
- Implementujte vylepšení zabezpečení měřením stavu zabezpečení pomocí skóre zabezpečení identity.
- Uzamkněte službu AD FS.
- Uzamkněte přístup k počítačům pomocí komponent identity na místě.
Další kroky
Podrobnosti o implementaci všech funkcí, které jste nenasadili, najdete v plánech nasazení Microsoft Entra .