Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento dokument obsahuje osvědčené postupy pro zabezpečení nasazení zásad správného řízení Microsoft Entra ID.
Nejnižší oprávnění
Princip nejnižší úrovně oprávnění znamená, že uživatelům a identitám úloh poskytne minimální úroveň přístupu nebo oprávnění, která potřebují k provádění svých úkolů. Omezením přístupu pouze k potřebným prostředkům na základě konkrétních rolí nebo pracovních funkcí uživatelů a poskytnutím přístupu právě včas můžete snížit riziko neoprávněných akcí. Provádění pravidelných auditů navíc pomáhá zmírnit potenciální porušení zabezpečení.
Zásady správného řízení MICROSOFT Entra ID omezují přístup uživatelů na základě přiřazené role. Zajistěte, aby vaši uživatelé měli k provedení požadované úlohy nejnižší privilegovanou roli.
Další informace najdete v tématu zásada minimálních oprávnění pro Microsoft Entra ID Governance
Prevence laterálního pohybu
doporučení : Nepoužívejte vnořené skupiny s PIM pro skupiny.
Skupiny můžou řídit přístup k různým prostředkům, včetně rolí Microsoft Entra, Azure SQL, Azure Key Vaultu, Intune, dalších aplikačních rolí a aplikací třetích stran. Microsoft Entra ID umožňuje uživatelům udělit členství a vlastnictví skupin právě včas prostřednictvím Privileged Identity Management (PIM) pro skupiny.
Tyto skupiny mohou být "ploché" nebo "vnořené skupiny" (skupina, která není určena k přiřazení rolí, je členem skupiny, ke které lze přiřazovat role). Role, jako je správce skupin, správce exchange a správce znalostí, můžou spravovat skupinu, která není přiřazená rolí, a poskytnout tak těmto správcům cestu pro získání přístupu k privilegovaným rolím. Ujistěte se, že skupiny, kterým lze přiřadit roli, nemají za členy skupiny, kterým nelze přiřadit roli.
Další informace najdete v tématu Privileged Identity Management (PIM) pro skupiny
doporučení: Používat správu nároků k poskytování přístupu k citlivým prostředkům místo hybridních skupin.
Organizace se v minulosti spoléhaly na skupiny Active Directory pro přístup k aplikacím. Synchronizace těchto skupin s Microsoft Entra ID usnadňuje opakované použití těchto skupin a poskytnutí přístupu k prostředkům připojeným k Microsoft Entra ID. Tím se ale vytvoří riziko laterálního pohybu, protože ohrožený účet nebo místní skupina na síti může být využita k získání přístupu k cloudovým prostředkům.
Při poskytování přístupu k citlivým aplikacím nebo rolím použijte správu nároků k řízení přiřazení k aplikaci místo skupin zabezpečení synchronizovaných ze služby Active Directory Domain Services. Pokud skupiny musí existovat jak v Microsoft Entra ID, tak ve službách domén Active Directory, můžete je synchronizovat z Microsoft Entra ID do služeb domén Active Directory pomocí cloudové synchronizace.
Odepřít ve výchozím nastavení
Princip "Odepřít ve výchozím nastavení" je strategie zabezpečení, která ve výchozím nastavení omezuje přístup k prostředkům, pokud nejsou udělena explicitní oprávnění. Tento přístup minimalizuje riziko neoprávněného přístupu tím, že zajistí, aby uživatelé a aplikace neměli přístupová práva, dokud nebudou výslovně přiřazeni. Implementace tohoto principu pomáhá vytvořit bezpečnější prostředí, protože omezuje potenciální vstupní body pro škodlivé aktéry.
Správa nároků
Připojené organizace jsou funkcí řízení oprávnění, které uživatelům umožňují získat přístup k prostředkům napříč tenanty. Při konfiguraci propojených organizací postupujte podle těchto osvědčených postupů.
Doporučení:
- Vyžadovat datum platnosti pro balíčky přístupu v připojené organizaci. Pokud například uživatelé potřebují přístup během pevného kontraktu, nastavte přístupový balíček tak, aby vypršel na konci smlouvy.
- Před udělením přístupu hostům z připojených organizací vyžadovat schválení.
- Pravidelně kontrolovat přístup hostů, aby bylo zajištěno, že uživatelé mají přístup jenom k těm prostředkům, které stále potřebují.
- Pečlivě zvažte, které organizace zahrnete jako připojené organizace. Pravidelně zkontrolujte seznam propojených organizací a odeberte všechny, se kterými už nepracujete.
Zajišťování
Doporučení : nastavte obor zřizování tak, aby se synchronizoval "přiřazení uživatelé a skupiny".
Toto určení zajišťuje, že budou vytvořeni pouze uživatelé explicitně přiřazení ke konfiguraci synchronizace. Alternativní nastavení povolení všech uživatelů a skupin by se mělo používat jenom pro aplikace, které vyžadují přístup v celé organizaci.
PIM pro roli
Doporučení: Požadovat schválení žádostí PIM pro globálního správce.
Pomocí nástroje Privileged Identity Management (PIM) v MICROSOFT Entra ID můžete nakonfigurovat role tak, aby vyžadovaly schválení aktivace, a jako delegované schvalovatele zvolit jednoho nebo více uživatelů nebo skupin.
Další informace najdete v tématu Schválení nebo zamítnutí žádostí o role Microsoft Entra ve službě Privileged Identity Management
Hloubková obrana
Následující části obsahují další pokyny k několika bezpečnostním opatřením, která můžete použít pro zajištění strategie ochrany do hloubky pro vaše nasazení řízení.
Aplikace
Doporučení pro : bezpečné správu přihlašovacích údajů pro připojení k aplikacím
Doporučujeme dodavatelům aplikací podporovat OAuth na svých koncových bodech SCIM, a nespoléhat se na dlouhodobé tokeny. Bezpečně ukládejte přihlašovací údaje ve službě Azure Key Vaulta pravidelně obměňujte přihlašovací údaje.
Zajišťování
doporučení : při konfiguraci zřizování místních aplikací použít certifikát od důvěryhodné certifikační autority.
Při konfiguraci zřizování místních aplikací s hostitelem ECMA máte možnost použít certifikát podepsaný svým držitelem nebo důvěryhodný certifikát. I když je certifikát podepsaný svým držitelem užitečný pro rychlé zahájení a testování této funkce, nedoporučuje se pro produkční použití. Důvodem je to, že certifikáty není možné odvolat a ve výchozím nastavení vyprší za 2 roky.
Doporučení: Zabezpečte svůj server Microsoft Entra Provisioning Agent
Doporučujeme posílit zabezpečení serveru s agentem Microsoft Entra pro zřizování, abyste zmenšili povrchovou plochu pro útoky na tuto důležitou součást vašeho IT prostředí. Osvědčené postupy popsané v Předpoklady pro synchronizaci cloudu v Microsoft Entra ID zahrnují:
- Doporučujeme zabezpečit server agenta zřizování Microsoft Entra jako aktivum řídicí roviny (dříve vrstva 0) podle pokynů uvedených v Secure Privileged Access a modelu administrativní vrstvy služby Active Directory.
- Omezte administrativní přístup k serveru zřizovacího agenta Microsoft Entra pouze na správce domény nebo jiné úzce řízené skupiny zabezpečení.
- Vytvořte vyhrazený účet pro všechny pracovníky s privilegovaným přístupem. Správci by neměli procházet web, kontrolovat jejich e-maily a provádět každodenní úlohy produktivity s vysoce privilegovanými účty.
- Postupujte podle pokynů uvedených v zabezpečení privilegovaného přístupu.
- Povolte vícefaktorové ověřování (MFA) pro všechny uživatele, kteří mají privilegovaný přístup v Microsoft Entra ID nebo v AD. Jedním z problémů se zabezpečením při používání zřizovacího agenta Microsoft Entra je, že pokud útočník může získat kontrolu nad serverem agenta zřizování Microsoft Entra, může manipulovat s uživateli v Microsoft Entra ID. Pokud chcete útočníkovi zabránit v používání těchto možností k převzetí účtů Microsoft Entra, nabízí vícefaktorové ověřování ochranu. I když se útočníkovi podaří resetovat heslo uživatele pomocí zřizovacího agenta Microsoft Entra, nemůže obejít druhý faktor.
Další informace a osvědčené postupy najdete v tématu Předpoklady pro synchronizaci Microsoft Entra Cloud Sync v Microsoft Entra ID.
Správa oprávnění a pracovní postupy životního cyklu
Doporučení: Dodržujte osvědčené postupy zabezpečení pro používání vlastních rozšíření s pracovními postupy správy oprávnění a životního cyklu. Mezi osvědčené postupy popsané v tomto článku patří:
- Zabezpečení přístupu správce k předplatnému
- Zakázání sdíleného přístupového podpisu (SAS)
- Použití spravovaných identit pro ověřování
- Autorizace s nejnižšími privilegovanými oprávněními
- Zajištění použití důkazu o vlastnictví (PoP)
doporučení : Všechny zásady správy nároků by měly mít datum vypršení platnosti a/nebo pravidelné kontroly přístupu pro správné nastavení přístupů. Tyto požadavky zajišťují, že k aplikaci budou mít nadále přístup jenom uživatelé, kteří by měli mít přístup.
Zálohování a obnovení
Zálohujte konfiguraci, abyste se v případě ohrožení mohli obnovit do známého dobrého stavu. Pomocí následujícího seznamu vytvořte komplexní strategii zálohování, která pokrývá různé oblasti zásad správného řízení.
- rozhraní Microsoft Graph API lze použít k exportu aktuálního stavu mnoha konfigurací Microsoft Entra.
- Microsoft Entra Exportér je nástroj, který můžete použít k exportu nastavení konfigurace.
- Microsoft 365 Desired State Configuration je modul architektury PowerShell Desired State Configuration. Můžete ho použít k exportu konfigurací pro referenci a použití předchozího stavu mnoha nastavení.
- Provisioning: Export konfigurace zřizování aplikací a vrácení do známého dobrého stavu pro obnovu po havárii v Microsoft Entra ID
Monitorování
Monitorování pomáhá včas zjišťovat potenciální hrozby a ohrožení zabezpečení. Sledováním neobvyklých aktivit a změn konfigurace můžete zabránit porušení zabezpečení a zachovat integritu dat.
- Upozornit, když uživatelé aktivují privilegované role. Výstrahy zabezpečení pro role Microsoft Entra v PIM – Správa ID Microsoft Entra
- Proaktivně monitorujte své prostředí pro změny konfigurace a podezřelou aktivitu integrací protokolů auditu ID Microsoft Entra se službou Azure Monitor. Vlastní výstrahy správy identit - Microsoft Entra ID Governance