Osvědčené postupy pro obnovitelnost
Nechtěné odstranění a chybné konfigurace se stane s vaším tenantem. Pokud chcete minimalizovat dopad těchto nezamýšlených událostí, musíte se připravit na jejich výskyt.
Obnovitelnost je přípravné procesy a funkce, které umožňují vrátit služby do předchozího stavu fungování po nezamýšlené změně. Nezamýšlené změny zahrnují obnovitelné nebo pevné odstranění nebo nesprávnou konfiguraci aplikací, skupin, uživatelů, zásad a dalších objektů ve vašem tenantovi Microsoft Entra.
Obnovitelnost pomáhá vaší organizaci být odolnější. Odolnost, i když souvisí, se liší. Odolnost je schopnost vydržet přerušení systémových komponent a zotavit se s minimálním dopadem na vaši firmu, uživatele, zákazníky a provoz. Další informace o tom, jak zajistit, aby vaše systémy byly odolnější, najdete v tématu Vytváření odolnosti vůči správě identit a přístupu pomocí Microsoft Entra ID.
Tento článek popisuje osvědčené postupy při přípravě na odstranění a chybné konfigurace, aby se minimalizovaly nezamýšlené důsledky pro firmu vaší organizace.
Odstranění a chybné konfigurace
Odstranění a chybné konfigurace mají různé dopady na vašeho tenanta.
Deletions
Dopad odstranění závisí na typu objektu.
Uživatele, Skupiny Microsoft 365 a aplikace je možné obnovitelně odstranit. Obnovitelné odstraněné položky se odešlou do koše Microsoft Entra ID. V koši nejsou položky k dispozici pro použití. Zachovají si ale všechny své vlastnosti a je možné je obnovit pomocí volání rozhraní Microsoft Graph API nebo na webu Azure Portal. Položky ve stavu obnovitelného odstranění, které se neobnoví do 30 dnů, se trvale nebo pevně odstraní.
Důležité
Všechny ostatní typy objektů se okamžitě odstraní, když jsou vybrány k odstranění. Když je objekt pevně odstraněný, nedá se obnovit. Musí se znovu vytvořit a překonfigurovat.
Další informace o odstraněních a o tom, jak se z nich zotavit, naleznete v tématu Obnovení z odstranění.
Nesprávné konfigurace
Chybné konfigurace jsou konfigurace prostředků nebo zásad, které se liší od zásad organizace nebo plánů a způsobují nezamýšlené nebo nežádoucí důsledky. Chybná konfigurace nastavení pro celého tenanta nebo zásad podmíněného přístupu může vážně ovlivnit zabezpečení a veřejnou image vaší organizace. Chybné konfigurace můžou:
- Změňte způsob interakce správců, uživatelů tenantů a externích uživatelů s prostředky ve vašem tenantovi.
- Změňte schopnost uživatelů pracovat s ostatními tenanty a externími uživateli, kteří můžou s vaším tenantem pracovat.
- Příčina odepření služby
- Rozdělte závislosti mezi daty, systémy a aplikacemi.
Další informace o chybných konfiguracích a o tom, jak se z nich zotavit, naleznete v tématu Obnovení z chybných konfigurací.
Společná odpovědnost
Obnovitelnost je sdílená odpovědnost mezi Microsoftem jako vaším poskytovatelem cloudových služeb a vaší organizací.
Nástroje a služby, které Microsoft poskytuje, můžete použít k přípravě na odstranění a chybné konfigurace.
Plánování provozní kontinuity a havárie
Obnovení pevně odstraněné nebo chybně nakonfigurované položky je proces náročný na prostředky. Prostředky potřebné plánováním můžete minimalizovat. Zvažte možnost mít konkrétní tým správců, kteří mají na starosti obnovení.
Otestování procesu obnovení
Projděte si proces obnovení pro různé typy objektů a komunikaci, která bude v důsledku toho ven. Nezapomeňte si vyzkoušet testovací objekty, ideálně v testovacím tenantovi.
Testování plánu vám může pomoct určit:
- Platnost a úplnost dokumentace ke stavu objektu.
- Typický čas k vyřešení.
- Vhodná komunikace a jejich cílové skupiny.
- Očekávané úspěchy a potenciální výzvy.
Vytvoření procesu komunikace
Vytvořte proces předdefinované komunikace, aby ostatní věděli o problému a časové ose pro obnovení. Do plánu komunikace obnovení uveďte následující body:
Typy komunikace, které mají jít ven. Zvažte vytvoření předdefinovaných šablon.
Účastníci, kteří mají přijímat komunikaci. Podle potřeby uveďte následující skupiny:
- Ovlivnění vlastníci firmy.
- Provozní správci, kteří budou provádět obnovení
- Obchodní a technické schvalovatele.
- Ovlivnění uživatelé.
Definujte události, které aktivují komunikaci, například:
- Počáteční odstranění
- Posouzení dopadu
- Čas na vyřešení.
- Obnovení.
Dokument známých dobrých stavů
Zdokumentujte stav vašeho tenanta a jeho objektů pravidelně. Pokud dojde k pevnému odstranění nebo chybné konfiguraci, máte plán obnovení. Následující nástroje vám můžou pomoct dokumentovat aktuální stav:
- Rozhraní Microsoft Graph API je možné použít k exportu aktuálního stavu mnoha konfigurací Microsoft Entra.
- Microsoft Entra Exportér je nástroj, který můžete použít k exportu nastavení konfigurace.
- Microsoft 365 Desired State Configuration je modul architektury PowerShell Desired State Configuration. Můžete ho použít k exportu konfigurací pro referenci a použití předchozího stavu mnoha nastavení.
- Rozhraní API podmíněného přístupu se dají použít ke správě zásad podmíněného přístupu jako kódu.
Běžně používané rozhraní Microsoft Graph API
Pomocí rozhraní Microsoft Graph API můžete exportovat aktuální stav mnoha konfigurací Microsoft Entra. Rozhraní API se týkají většiny scénářů, kdy referenční materiály o předchozím stavu nebo schopnost použít tento stav z exportované kopie může být zásadní pro udržení chodu vaší firmy.
Rozhraní Microsoft Graph API jsou vysoce přizpůsobitelná na základě potřeb vaší organizace. Pokud chcete implementovat řešení pro zálohy nebo referenční materiály, musí vývojáři analyzovat kód, který bude dotazovat, ukládat a zobrazovat data. Mnoho implementací používá v rámci této funkce online úložiště kódu.
Užitečná rozhraní API pro obnovení
| Typy zdrojů | Referenční odkazy |
|---|---|
| Uživatelé, skupiny a další objekty adresáře | directoryObject API uživatelské rozhraní API group API aplikační rozhraní API rozhraní API servicePrincipal |
| Role adresáře | rozhraní DIRECTORYRole API Rozhraní API roleManagement |
| Zásady podmíněného přístupu | Rozhraní API zásad podmíněného přístupu |
| Zařízení | rozhraní API pro zařízení |
| Domény | Rozhraní API pro domény |
| Jednotky pro správu | Rozhraní API pro správu |
| Odstraněná* | rozhraní API deletedItems |
*Bezpečně uložte tyto exporty konfigurace s přístupem poskytnutým omezenému počtu správců.
Microsoft Entra Exportér může poskytnout většinu dokumentace, kterou potřebujete:
- Ověřte, že jste implementovali požadovanou konfiguraci.
- Pomocí vývozce zachyťte aktuální konfigurace.
- Projděte si export, seznamte se s nastavením tenanta, který se neexportuje, a ručně je zdokumentujte.
- Uložte výstup do zabezpečeného umístění s omezeným přístupem.
Poznámka:
Nastavení na starším portálu pro vícefaktorové ověřování pro proxy aplikací a nastavení federace nemusí být exportována pomocí nástroje Microsoft Entra Exportér nebo rozhraní Microsoft Graph API. Modul Microsoft 365 Desired State Configuration používá Microsoft Graph a PowerShell k načtení stavu mnoha konfigurací v Microsoft Entra ID. Tyto informace lze použít jako referenční informace nebo pomocí skriptování PowerShellu Desired State Configuration k opětovnému použití známého dobrého stavu.
Použití rozhraní Graph API podmíněného přístupu ke správě zásad, jako je kód. Automatizujte schvalování, která podporují zásady z předprodukčních prostředí, zálohování a obnovení, monitorování změn a plánování před nouzovými situacemi.
Mapování závislostí mezi objekty
Odstranění některých objektů může způsobit efekt ripple z důvodu závislostí. Odstranění skupiny zabezpečení použité pro přiřazení aplikace by například vedlo k tomu, že uživatelé, kteří byli členy této skupiny, nemohli získat přístup k aplikacím, ke kterým byla skupina přiřazena.
Běžné závislosti
| Object type | Potenciální závislosti |
|---|---|
| Objekt aplikace | Instanční objekt (podniková aplikace). Skupiny přiřazené k aplikaci. Zásady podmíněného přístupu ovlivňující aplikaci |
| Instanční objekty | Objekt aplikace. |
| Zásady podmíněného přístupu | Uživatelé přiřazení k zásadě. Skupiny přiřazené k zásadě. Instanční objekt (podniková aplikace) cílená zásadou. |
| Jiné skupiny než Skupiny Microsoft 365 | Uživatelé přiřazení ke skupině. Zásady podmíněného přístupu, ke kterým je skupina přiřazená. Aplikace, ke kterým má skupina přiřazený přístup. |
Monitorování a uchovávání dat
Protokol auditu Microsoft Entra obsahuje informace o všech operacích odstranění a konfigurace provedených ve vašem tenantovi. Tyto protokoly doporučujeme exportovat do nástroje pro správu bezpečnostních informací a událostí, jako je Microsoft Sentinel. Pomocí Microsoft Graphu můžete také auditovat změny a vytvořit vlastní řešení pro monitorování rozdílů v průběhu času. Další informace o hledání odstraněných položek pomocí Microsoft Graphu najdete v tématu Seznam odstraněných položek – Microsoft Graph v1.0.
Protokoly auditu
Protokol auditu vždy zaznamenává událost Delete <object>, když je objekt v tenantovi odebrán z aktivního stavu, buď z aktivního do obnovitelného odstranění, nebo aktivní k pevnému odstranění.
Událost Odstranění pro aplikace, instanční objekty, uživatele a Skupiny Microsoft 365 je obnovitelné odstranění. U jakéhokoli jiného typu objektu se jedná o pevný odstranění.
| Object type | Aktivita v protokolu | Výsledek |
|---|---|---|
| Aplikace | Odstranění aplikace a instančního objektu | Obnovitelné odstranění |
| Aplikace | Aplikace s pevným odstraněním | Pevné odstranění |
| Instanční objekt | Odstranění instančního objektu | Obnovitelné odstranění |
| Instanční objekt | Pevný odstranění instančního objektu | Pevné odstranění |
| Uživatelská | Odstranění uživatele | Obnovitelné odstranění |
| Uživatelská | Uživatel s pevným odstraněním | Pevné odstranění |
| Microsoft 365 Groups | Odstranit skupinu | Obnovitelné odstranění |
| Microsoft 365 Groups | Pevně odstranit skupinu | Pevné odstranění |
| Všechny ostatní objekty | Odstranit objectType | Pevné odstranění |
Poznámka:
Protokol auditu nerozlišuje typ skupiny odstraněné skupiny. Pouze Skupiny Microsoft 365 jsou obnovitelné odstranění. Pokud se zobrazí položka Odstranit skupinu, může se jednat o obnovitelné odstranění skupiny Microsoftu 365 nebo o pevný odstranění jiného typu skupiny. Vaše dokumentace ke známému dobrému stavu by měla obsahovat typ skupiny pro každou skupinu ve vaší organizaci.
Informace o monitorování změn konfigurace naleznete v tématu Obnovení z chybných konfigurací.
Sledování změn konfigurace pomocí sešitů
Sešity Azure Monitoru vám můžou pomoct monitorovat změny konfigurace.
Sešit sestavy citlivých operací může pomoct identifikovat podezřelou aktivitu aplikace a instančního objektu, které můžou značit ohrožení zabezpečení, mezi které patří:
- Upravené přihlašovací údaje aplikace nebo instančního objektu nebo metody ověřování.
- Nová oprávnění udělená instančním objektům
- Aktualizace členství v adresáři a členství ve skupinách pro instanční objekty
- Upravená nastavení federace
Sešit aktivit přístupu mezi tenanty vám může pomoct sledovat, které aplikace v externích tenantech vaši uživatelé přistupují a ke kterým aplikacím ve vašem tenantovi přistupují externí uživatelé. Tento sešit slouží k vyhledání neobvyklých změn v příchozím nebo odchozím přístupu k aplikacím napříč tenanty.
Provozní zabezpečení
Zabránění nežádoucím změnám je mnohem obtížnější, než je potřeba znovu vytvořit a znovu nakonfigurovat objekty. Do procesů správy změn zahrňte následující úlohy, které minimalizují nehody:
- Použijte model s nejnižšími oprávněními. Ujistěte se, že každý člen vašeho týmu má nejnižší oprávnění potřebná k dokončení obvyklých úkolů. Vyžadovat proces pro eskalaci oprávnění pro neobvyklejší úlohy.
- Správa objektu umožňuje konfiguraci a odstranění. Pro úlohy, které nevyžadují operace k vytvoření, aktualizaci nebo odstranění (CRUD), používejte méně privilegované role, jako je čtenář zabezpečení. Pokud jsou vyžadovány operace CRUD, použijte role specifické pro objekty, pokud je to možné. Správci uživatelů můžou například odstraňovat jenom uživatele a správci aplikací můžou odstraňovat jenom aplikace. Tyto omezenější role používejte, kdykoli je to možné.
- Použijte Privileged Identity Management (PIM). PIM umožňuje eskalaci oprávnění za běhu k provádění úloh, jako je pevné odstranění. PIM můžete nakonfigurovat tak, aby oznámení nebo schválení eskalace oprávnění měla.