Konfigurace Microsoft Entra pro zvýšení zabezpečení (Preview)

V Microsoft Entra seskupíme naše doporučení zabezpečení do několika motivů na základě iniciativy SFI (Secure Future Initiative). Tato struktura umožňuje organizacím logicky rozdělit projekty do souvisejících spotřebních bloků dat.

Tip

Některé organizace můžou tato doporučení brát přesně tak, jak jsou napsaná, zatímco jiné se můžou rozhodnout provádět změny na základě vlastních obchodních potřeb. V našem počátečním vydání tohoto návodu se zaměříme na tradiční tenanty pracovních sil. Tito tenanti pracovních sil jsou určeni vašim zaměstnancům, interním obchodním aplikacím a dalším organizačním prostředkům.

Doporučujeme implementovat všechny následující ovládací prvky, ve kterých jsou dostupné licence. Tyto vzory a postupy pomáhají poskytnout základ pro další prostředky založené na tomto řešení. Do tohoto dokumentu se v průběhu času přidají další ovládací prvky.

Automatizované hodnocení

Ruční kontrola těchto pokynů v konfiguraci tenanta může být časově náročná a náchylná k chybám. Posouzení nulové důvěryhodnosti tento proces transformuje pomocí automatizace a otestuje tyto položky konfigurace zabezpečení a další. Další informace najdete v části Co je hodnocení nulové důvěryhodnosti?

Ochrana identit a tajných kódů

Snižte riziko související s přihlašovacími údaji implementací moderních standardů identit.

Zkontrolujte	Minimální požadovaná licence
Aplikace nemají nakonfigurované tajné kódy klienta	Žádné (zahrnuté v Microsoft Entra ID)
Instanční objekty nemají přidružené certifikáty ani přihlašovací údaje.	Žádné (zahrnuté v Microsoft Entra ID)
Aplikace nemají certifikáty s vypršením platnosti delší než 180 dnů	Žádné (zahrnuté v Microsoft Entra ID)
Certifikáty aplikací je potřeba pravidelně obměňovat.	Žádné (zahrnuté v Microsoft Entra ID)
Vynucení standardů pro tajné kódy a certifikáty aplikací	Žádné (zahrnuté v Microsoft Entra ID)
Aplikace služeb Microsoftu nemají nakonfigurované přihlašovací údaje	Žádné (zahrnuté v Microsoft Entra ID)
Nastavení souhlasu uživatele je omezené.	Žádné (zahrnuté v Microsoft Entra ID)
Pracovní postup souhlasu správce je povolený.	Žádné (zahrnuté v Microsoft Entra ID)
Vysoký globální správce s privilegovaným uživatelským poměrem	Žádné (zahrnuté v Microsoft Entra ID)
Privilegované účty jsou nativní cloudové identity.	Žádné (zahrnuté v Microsoft Entra ID)
Všechna přiřazení privilegovaných rolí se aktivují včas a nejsou trvale aktivní.	Microsoft Entra ID P2
Povolená metoda ověřování pomocí klíče	Žádné (zahrnuté v Microsoft Entra ID)
Vynucuje se ověření identity klíče zabezpečení.	Žádné (zahrnuté v Microsoft Entra ID)
Privilegované účty mají zaregistrované metody odolné proti útokům phishing.	Microsoft Entra ID P1
Privilegované předdefinované role Microsoft Entra cílí na zásady podmíněného přístupu k vynucení metod odolných proti útokům phishing	Microsoft Entra ID P1
Vyžadování oznámení o resetování hesla pro role správce	Microsoft Entra ID P1
Blokování starší verze ověřování	Microsoft Entra ID P1
Povolený dočasný přístup	Microsoft Entra ID P1
Omezení dočasného přístupu na jedno použití	Microsoft Entra ID P1
Migrace ze starších zásad vícefaktorového ověřování a samoobslužného resetování hesla	Microsoft Entra ID P1
Blokování používání samoobslužného resetování hesla správcům	Microsoft Entra ID P1
Samoobslužné resetování hesla nepoužívá bezpečnostní otázky	Microsoft Entra ID P1
Metody ověřování sms a hlasových hovorů jsou zakázané.	Microsoft Entra ID P1
Stránka Zabezpečení registrace vícefaktorového ověřování (Moje bezpečnostní údaje)	Microsoft Entra ID P1
Použití cloudového ověřování	Microsoft Entra ID P1
Všichni uživatelé se musí zaregistrovat k vícefaktorové ověřování.	Microsoft Entra ID P2
Uživatelé mají nakonfigurované silné metody ověřování.	Microsoft Entra ID P1
Přihlašovací aktivita uživatele používá ochranu tokenů.	Microsoft Entra ID P1
Aplikace Microsoft Authenticator zobrazuje kontext přihlášení	Microsoft Entra ID P1
Je povolené nastavení podezřelé aktivity v aplikaci Microsoft Authenticator	Microsoft Entra ID P1
Vypršení platnosti hesla je zakázané.	Microsoft Entra ID P1
Prahová hodnota inteligentního uzamčení nastavená na 10 nebo méně	Microsoft Entra ID P1
Doba trvání inteligentního uzamčení je nastavená na minimálně 60.	Microsoft Entra ID P1
Přidání podmínek organizace do seznamu zakázaných hesel	Microsoft Entra ID P1
Vyžadovat vícefaktorové ověřování pro připojení zařízení a registraci zařízení pomocí akce uživatele	Microsoft Entra ID P1
Místní řešení hesel správce je nasazené.	Microsoft Entra ID P1
Synchronizace služby Entra Connect je nakonfigurovaná pomocí přihlašovacích údajů instančního objektu.	Žádné (zahrnuté v Microsoft Entra ID)
Žádné použití knihovny ADAL v tenantovi	Žádné (zahrnuté v Microsoft Entra ID)
Blokování starší verze modulu Azure AD PowerShellu	Žádné (zahrnuté v Microsoft Entra ID)
Povolení výchozích hodnot zabezpečení Microsoft Entra ID	Žádné (zahrnuté v Microsoft Entra ID)

Ochrana tenantů a izolace produkčních systémů

Zkontrolujte	Minimální požadovaná licence
Oprávnění k vytváření nových tenantů jsou omezená na roli Tvůrce tenanta.	Žádné (zahrnuté v Microsoft Entra ID)
Přístup hostů je omezený na schválené tenanty.	Microsoft Entra ID zdarma
Hosté nemají přiřazené vysoce privilegované role adresáře.	Microsoft Entra ID zdarma Microsoft Entra ID P2 nebo Zásady správného řízení ID Microsoftu pro PIM
Hosté nemůžou pozvat další hosty	Microsoft Entra ID zdarma
Hosté mají omezený přístup k objektům adresáře	Microsoft Entra ID zdarma
Zámek vlastností instance aplikace je nakonfigurovaný pro všechny víceklientských aplikací.	Microsoft Entra ID zdarma
Hosté nemají dlouhodobé přihlašovací relace	Microsoft Entra ID P1
Přístup hostů je chráněný silnými metodami ověřování.	Microsoft Entra ID zdarma Microsoft Entra ID P1 doporučeno pro podmíněný přístup
Samoobslužná registrace hosta prostřednictvím toku uživatele je zakázaná.	Microsoft Entra ID zdarma
Konfigurují se nastavení odchozího přístupu mezi tenanty.	Microsoft Entra ID zdarma Microsoft Entra ID P1 doporučeno pro podmíněný přístup
Hosté nemají v tenantovi vlastní aplikace	Žádné (zahrnuté v Microsoft Entra ID)
Všichni hosté mají sponzora	Microsoft Entra ID zdarma
Neaktivní identity hosta jsou zakázány nebo odebrány z tenanta.	Microsoft Entra ID zdarma
Všechny zásady správy nároků mají datum vypršení platnosti.	Zásady správného řízení microsoft Entra ID P2 nebo Microsoft ID pro správu nároků a kontroly přístupu
Všechny zásady přiřazování nároků, které platí pro externí uživatele, vyžadují připojené organizace.	Zásady správného řízení microsoft Entra ID P2 nebo Microsoft ID pro správu nároků a kontroly přístupu
Všechny balíčky pro správu nároků, které platí pro hosty, mají nakonfigurované vypršení platnosti nebo kontroly přístupu nakonfigurované v zásadách přiřazení.	Zásady správného řízení microsoft Entra ID P2 nebo Microsoft ID pro správu nároků a kontroly přístupu
Správa místních správců na zařízeních připojených k Microsoft Entra	Žádné (zahrnuté v Microsoft Entra ID)

Ochrana sítí

Chraňte hranici sítě.

Zkontrolujte	Minimální požadovaná licence
Pojmenovaná umístění se konfigurují.	Microsoft Entra ID P1
Zásady omezení tenanta v2 jsou nakonfigurované.	Microsoft Entra ID P1

Ochrana technických systémů

Chraňte softwarové prostředky a vylepšete zabezpečení kódu.

Zkontrolujte	Minimální požadovaná licence
Účty pro nouzový přístup se konfigurují odpovídajícím způsobem.	Microsoft Entra ID P1
Aktivace role globálního správce aktivuje pracovní postup schválení.	Microsoft Entra ID P2
Globální správci nemají stálý přístup k předplatným Azure	Žádné (zahrnuté v Microsoft Entra ID)
Vytváření nových aplikací a instančních objektů je omezeno na privilegované uživatele.	Microsoft Entra ID P1
Neaktivní aplikace nemají vysoce privilegovaná oprávnění rozhraní Microsoft Graph API	Microsoft Entra ID P1
Neaktivní aplikace nemají vysoce privilegované předdefinované role	Microsoft Entra ID P1
Registrace aplikací používají bezpečné identifikátory URI přesměrování.	Microsoft Entra ID P1
Instanční objekty používají identifikátory URI bezpečného přesměrování.	Microsoft Entra ID P1
Registrace aplikací nesmí obsahovat identifikátory URI pro přesměrovávání nebo přesměrování domény.	Microsoft Entra ID P1
Souhlas s aplikací specifický pro konkrétní prostředky je omezený.	Microsoft Entra ID P1
Identity úloh nemají přiřazené privilegované role.	Microsoft Entra ID P1
Podnikové aplikace musí vyžadovat explicitní přiřazení nebo zřizování s vymezeným oborem.	Microsoft Entra ID P1
Omezení maximálního počtu zařízení na uživatele na 10	Žádné (zahrnuté v Microsoft Entra ID)
Konfigurují se zásady podmíněného přístupu pro pracovní stanice s privilegovaným přístupem.	Microsoft Entra ID P1

Monitorování a zjišťování kybernetických útoků

Shromážděte a analyzujte protokoly zabezpečení a výstrahy pro třídění.

Zkontrolujte	Minimální požadovaná licence
Nastavení diagnostiky se konfiguruje pro všechny protokoly Microsoft Entra.	Microsoft Entra ID P1
Aktivace privilegovaných rolí mají nakonfigurované monitorování a upozorňování	Microsoft Entra ID P2
Privilegovaní uživatelé se přihlašují pomocí metod odolných proti útokům phishing	Microsoft Entra ID P1
Všichni vysoce rizikoví uživatelé jsou sesourcovaní podle kategorie	Microsoft Entra ID P2
Všechna přihlášení s vysokým rizikem jsou vyhodnocená.	Microsoft Entra ID P2
[Všechny rizikové identity úloh jsou triagedovány]
Všechny přihlašovací aktivity uživatelů používají silné metody ověřování.	Microsoft Entra ID P1
Řeší se doporučení Microsoft Entra s vysokou prioritou.	Microsoft Entra ID P1
Povolená oznámení ochrany ID	Microsoft Entra ID P2
Žádná starší aktivita přihlášení k ověřování	Microsoft Entra ID P1
Řeší se všechna doporučení Microsoft Entra.	Microsoft Entra ID P1

Zrychlení odezvy a nápravy

Zlepšení reakce na incidenty zabezpečení a komunikace incidentů

Zkontrolujte	Minimální požadovaná licence
Identity úloh založené na zásadách rizik se konfigurují.	ID úloh Microsoft Entra
Omezení vysoce rizikových přihlášení	Microsoft Entra ID P2
Omezení přístupu k vysoce rizikovým uživatelům	Microsoft Entra ID P2

Související obsah

• plány nasazení Microsoft Entra
• referenční příručka k operacím Microsoft Entra