Az Identity Protection üzembe helyezésének megtervezése

Microsoft Entra ID-védelem észleli az identitásalapú kockázatokat, jelentéseket készít róluk, és lehetővé teszi a rendszergazdák számára, hogy kivizsgálják és elhárítsák ezeket a kockázatokat a szervezetek biztonságának és biztonságának megőrzése érdekében. A kockázatokat további eszközökbe, például a feltételes hozzáférésbe is be lehet illeszteni a hozzáférési döntések meghozatalához, vagy vissza lehet adni egy biztonsági információ- és eseménykezelési (SIEM) eszközt a további vizsgálathoz.

Ez az üzembe helyezési terv kibővíti a feltételes hozzáférés telepítési tervében bevezetett fogalmakat.

Előfeltételek

• Egy működő Microsoft Entra-bérlő p2-azonosítóval, vagy engedélyezve van a próbaverziós licenc. Ha szükséges, hozzon létre egyet ingyen.
  • A Microsoft Entra ID P2-nek tartalmaznia kell az Identity Protection kockázatát a feltételes hozzáférési szabályzatokban.
• Rendszergazda Identitásvédelemmel kommunikáló felhasználóknak az általuk végrehajtott feladatoktól függően az alábbi szerepkör-hozzárendelések közül legalább egynek kell rendelkezniük. A minimális jogosultság Teljes felügyelet alapelvének követéséhez fontolja meg a Privileged Identity Management (PIM) használatát a kiemelt szerepkör-hozzárendelések igény szerinti aktiválásához.
  • Identitásvédelmi és feltételes hozzáférési szabályzatok és konfigurációk olvasása
    • Biztonsági olvasó
    • Globális olvasó
  • Identitásvédelem kezelése
    • Biztonsági operátor
    • Biztonsági rendszergazda
  • Feltételes hozzáférési szabályzatok létrehozása vagy módosítása
    • Feltételes hozzáférési Rendszergazda istrator
    • Biztonsági rendszergazda
• Egy tesztfelhasználó (nem rendszergazda), amely lehetővé teszi, hogy ellenőrizze, hogy a szabályzatok a várt módon működnek-e, mielőtt valós felhasználókra helyeznénk őket. Ha létre kell hoznia egy felhasználót, olvassa el a rövid útmutatót: Új felhasználók hozzáadása a Microsoft Entra-azonosítóhoz.
• Olyan csoport, amelynek a nem rendszergazda felhasználó tagja. Ha létre kell hoznia egy csoportot, olvassa el a Csoport létrehozása és tagok hozzáadása a Microsoft Entra-azonosítóban című témakört.

A megfelelő érdekelt felek bevonása

Ha a technológiai projektek meghiúsulnak, általában a hatásokkal, az eredményekkel és a felelősségekkel kapcsolatos eltérő elvárások miatt teszik ezt. Ezeknek a buktatóknak a elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket veszi fel, és hogy a projektben szereplő érdekelt szerepkörök jól érthetők legyenek az érdekelt felek dokumentálásával, a projektbemenetükkel és az elszámoltathatósággal.

Változás közlése

A kommunikáció kritikus fontosságú az új funkciók sikeressége szempontjából. Proaktív módon kell kommunikálnia a felhasználókkal a felhasználói élmény változásairól, a változásokról, valamint arról, hogy hogyan kérhet támogatást, ha problémákat tapasztalnak.

1. lépés: Meglévő jelentések áttekintése

A kockázatalapú feltételes hozzáférési szabályzatok üzembe helyezése előtt fontos áttekinteni az Identity Protection-jelentéseket . Ez a felülvizsgálat lehetőséget ad arra, hogy vizsgálja meg az esetleg kihagyott gyanús viselkedést, és ha úgy ítéli meg, hogy nincsenek veszélyben, zárja be vagy erősítse meg ezeket a felhasználókat biztonságosként.

• Kockázatészlelések vizsgálata
• Remediate risks and unblock users
• Tömeges módosítások végrehajtása a Microsoft Graph PowerShell használatával

A hatékonyság érdekében javasoljuk, hogy a 3. lépésben tárgyalt szabályzatok segítségével a felhasználók önműködően végezzenek javítást.

2. lépés: Feltételes hozzáférési kockázati szabályzatok tervezése

Az Identity Protection kockázati jelzéseket küld a feltételes hozzáférésnek, hogy döntéseket hozzon, és olyan szervezeti szabályzatokat kényszerítsen ki, mint a többtényezős hitelesítés vagy a jelszómódosítás megkövetelése. A szabályzatok létrehozása előtt a szervezeteknek több elemet is meg kell tervezniük.

Szabályzatkizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

• A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
  • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Többtényezős hitelesítés

Ahhoz azonban, hogy a felhasználók önállóan elhárítsa a kockázatokat, regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre, mielőtt kockázatossá válnának. További információt a Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése című cikkben talál.

Ismert hálózati helyek

Fontos, hogy névvel ellátott helyeket konfiguráljon a feltételes hozzáférésben, és adja hozzá a VPN-tartományokat Felhőhöz készült Defender Alkalmazásokhoz. A megbízhatóként vagy ismertként megjelölt nevesített helyekről érkező bejelentkezések javítják Microsoft Entra ID-védelem kockázatszámítások pontosságát. Ezek a bejelentkezések csökkentik a felhasználók kockázatát, ha megbízhatóként vagy ismertként megjelölt helyről hitelesítik magukat. Ez a gyakorlat csökkenti a környezet bizonyos észlelései esetén a hamis pozitív értékeket.

Csak jelentés mód

A csak jelentéskészítési mód egy feltételes hozzáférési szabályzat állapota, amely lehetővé teszi a rendszergazdák számára, hogy kiértékeljék a feltételes hozzáférési szabályzatok hatását, mielőtt kényszerítenék őket a környezetükben.

3. lépés: A szabályzatok konfigurálása

Az Identity Protection MFA-regisztráció szabályzata

Az Identity Protection többtényezős hitelesítési regisztrációs szabályzatával a felhasználók regisztrálva lesznek a Microsoft Entra többtényezős hitelesítéshez, mielőtt használniuk kellene őket. Kövesse a cikk lépéseit: A Microsoft Entra többtényezős hitelesítés regisztrációs szabályzatának konfigurálása a szabályzat engedélyezéséhez.

Conditional Access policies

Bejelentkezési kockázat – A felhasználók többsége normál viselkedéssel rendelkezik, amely nyomon követhető, ha nem ettől a normától esik, kockázatos lehet, ha csak be kell jelentkeznie. Letilthatja a felhasználót, vagy megkérheti őket, hogy hajtsanak végre többtényezős hitelesítést annak bizonyítására, hogy valóban azok, akikről azt mondják, hogy ők. Első lépésként érdemes lehet ezeket a szabályzatokat csak a rendszergazdáknak hatókörbe helyezni.

Felhasználói kockázat – A Microsoft együttműködik a kutatókkal, a bűnüldözéssel, a Microsoft különböző biztonsági csapataival és más megbízható forrásokkal a kiszivárgott felhasználónév- és jelszópárok megtalálásához. A sebezhető felhasználók észlelésekor javasoljuk, hogy a felhasználók többtényezős hitelesítést végezzenek el, majd állítsa alaphelyzetbe a jelszavukat.

A kockázatszabályzatok konfigurálása és engedélyezése című cikk útmutatást nyújt a kockázatkezeléshez szükséges feltételes hozzáférési szabályzatok létrehozásához.

4. lépés: Monitorozási és folyamatos üzemeltetési igények

E-mail-értesítések

Engedélyezze az értesítéseket , hogy válaszolhasson, ha egy felhasználót veszélynek jelölnek meg, így azonnal megkezdheti a vizsgálatot. Heti kivonatoló e-maileket is beállíthat, amelyek áttekintést adnak az adott hét kockázatáról.

Monitorozás és vizsgálat

Az Identity Protection-munkafüzet segíthet a bérlői minták figyelésében és keresésében. Figyelje meg ezt a munkafüzetet a trendek és a Csak feltételes hozzáférés jelentés mód eredményeinek figyelése érdekében, hogy vannak-e olyan módosítások, amelyeket módosítani kell, például a névvel ellátott helyeken.

Felhőhöz készült Microsoft Defender Alkalmazások egy olyan vizsgálati keretrendszert biztosít, amelyet a szervezetek kiindulópontként használhatnak. További információkért tekintse meg az anomáliadetektálási riasztások kivizsgálását ismertető cikket.

Az Identity Protection API-kkal a kockázati információkat más eszközökre is exportálhatja, így a biztonsági csapat figyelheti és riasztást készíthet a kockázati eseményekről.

A tesztelés során érdemes lehet szimulálni néhány fenyegetést a vizsgálati folyamatok teszteléséhez.

További lépések

What is risk?