Rugalmas hozzáférés-vezérlési felügyeleti stratégia létrehozása a Microsoft Entra ID-val

  • Cikk

Megjegyzés:

A dokumentumban található információk a Microsoft Corporation aktuális nézetét képviselik a közzététel időpontjától tárgyalt problémákról. Mivel a Microsoftnak reagálnia kell a változó piaci feltételekre, nem értelmezhető kötelezettségvállalásnak a Microsoft részéről, és a Microsoft nem tudja garantálni a közzétételt követően megjelenő információk pontosságát.

Azok a szervezetek, amelyek egyetlen hozzáférés-vezérlésre, például többtényezős hitelesítésre vagy egyetlen hálózati helyre támaszkodnak az informatikai rendszerek védelme érdekében, érzékenyek az alkalmazásaikhoz és erőforrásaikhoz való hozzáférés hibáira, ha az egyetlen hozzáférés-vezérlés elérhetetlenné vagy helytelenné válik. Egy természeti katasztrófa például a távközlési infrastruktúra vagy a vállalati hálózatok nagy szegmenseinek elérhetetlenségét eredményezheti. Ez a fennakadás megakadályozhatja, hogy a végfelhasználók és a rendszergazdák bejelentkezhessenek.

Ez a dokumentum útmutatást nyújt azokról a stratégiákról, amelyeket a szervezetnek alkalmaznia kell, hogy rugalmasságot biztosítson a kimaradás kockázatának az előre nem látható fennakadások során történő csökkentése érdekében az alábbi forgatókönyvekkel:

  • A szervezetek kockázatcsökkentési stratégiák vagy vészhelyzeti tervek végrehajtásával növelhetik rugalmasságukat a kimaradás kockázatának csökkentése érdekében.
  • A szervezetek továbbra is hozzáférhetnek az általuk kiválasztott alkalmazásokhoz és erőforrásokhoz a fennakadások során, ha már rendelkeznek kockázatcsökkentési stratégiákkal és vészhelyzeti tervekkel.
  • A szervezeteknek gondoskodniuk kell arról, hogy az információk, például a naplók, a fennakadások után, és mielőtt visszaállítanák az általuk végrehajtott esetleges vészhelyzeteket, meg kell őrizniük őket.
  • Azok a szervezetek, amelyek nem hajtottak végre megelőzési stratégiákat vagy alternatív terveket, vészhelyzeti lehetőségeket alkalmazhatnak a fennakadások kezelésére.

Fő útmutató

Ebben a dokumentumban négy fontos szempont szerepel:

  • Kerülje a rendszergazdai zárolást vészhelyzeti hozzáférési fiókok használatával.
  • Az MFA implementálása feltételes hozzáféréssel, nem pedig felhasználónkénti MFA használatával.
  • A felhasználók kizárásának csökkentése több feltételes hozzáférés-vezérlővel.
  • A felhasználók kizárásának csökkentése több hitelesítési módszer vagy azzal egyenértékű szolgáltatás kiépítésével minden felhasználó számára.

Fennakadás előtt

A tényleges fennakadások mérséklése a szervezet elsődleges feladata a felmerülő hozzáférés-vezérlési problémák kezelése során. Az enyhítés magában foglalja egy tényleges esemény tervezését, valamint olyan stratégiák implementálását, amelyek biztosítják, hogy a hozzáférés-vezérlés és a műveletek ne legyenek hatással a fennakadások során.

Miért van szüksége rugalmas hozzáférés-vezérlésre?

Az identitás az alkalmazásokhoz és erőforrásokhoz hozzáférő felhasználók vezérlősíkja. Az identitásrendszer szabályozza, hogy mely felhasználók és milyen feltételek mellett, például a hozzáférés-vezérlési vagy hitelesítési követelmények mellett férhetnek hozzá a felhasználók az alkalmazásokhoz. Ha egy vagy több hitelesítési vagy hozzáférés-vezérlési követelmény nem áll rendelkezésre a felhasználók számára a hitelesítéshez előre nem látható körülmények miatt, a szervezetek az alábbi problémák egyikét vagy mindkettőt tapasztalhatják:

  • Rendszergazda istrator zárolása: Rendszergazda istratorok nem tudják kezelni a bérlőt vagy a szolgáltatásokat.
  • Felhasználói zárolás: A felhasználók nem férhetnek hozzá alkalmazásokhoz vagy erőforrásokhoz.

Rendszergazda istrator lockout-vészhelyzet

A bérlőhöz való rendszergazdai hozzáférés feloldásához hozzon létre vészhelyzeti hozzáférési fiókokat. Ezek a vészhozzáférési fiókok, más néven törésoldali fiókok lehetővé teszik a Microsoft Entra-konfiguráció kezeléséhez való hozzáférést, ha a normál emelt szintű fiókhozzáférési eljárások nem érhetők el. A segélyhívási fiók javaslatait követve legalább két segélyhívási hozzáférési fiókot kell létrehozni.

A felhasználói zárolás enyhítése

A felhasználók kizárásának kockázatának csökkentése érdekében a feltételes hozzáférési szabályzatok több vezérlővel történő használatával választhatják ki, hogy miként férnek hozzá az alkalmazásokhoz és az erőforrásokhoz. Ha a felhasználónak lehetőséget ad például az MFA-val való bejelentkezésre, felügyelt eszközről való bejelentkezésre vagy a vállalati hálózatról való bejelentkezésre, ha az egyik hozzáférés-vezérlés nem érhető el, a felhasználó további lehetőségeket is használhat.

Microsoft-javaslatok

Foglalja bele a következő hozzáférés-vezérléseket a szervezet meglévő feltételes hozzáférési szabályzataiba:

  • Több hitelesítési módszer kiépítése minden felhasználó számára, amely különböző kommunikációs csatornákra támaszkodik, például a Microsoft Authenticator alkalmazás (internetalapú), AZ OATH jogkivonat (az eszközön generált) és az SMS (telefonos) használatára.
  • Helyezzen üzembe Vállalati Windows Hello Windows 10-eszközökön az MFA-követelményeknek való megfelelés érdekében közvetlenül az eszköz bejelentkezéséből.
  • Megbízható eszközök használata a Microsoft Entra hibrid csatlakozásán vagy a Microsoft Intune-on keresztül. A megbízható eszközök javítják a felhasználói élményt, mivel maga a megbízható eszköz képes kielégíteni a szabályzat erős hitelesítési követelményeit anélkül, hogy az MFA kihívást jelentene a felhasználó számára. Ezután MFA-ra lesz szükség egy új eszköz regisztrálásakor, valamint az alkalmazások vagy erőforrások nem megbízható eszközökről való elérésekor.
  • Használjon Microsoft Entra ID-védelem kockázatalapú szabályzatokat, amelyek megakadályozzák a hozzáférést, ha a felhasználó vagy a bejelentkezés kockázatnak van kitéve rögzített MFA-szabályzatok helyett.
  • Ha a VPN-hozzáférést a Microsoft Entra többtényezős hitelesítés NPS-bővítményével védi, fontolja meg a VPN-megoldás SAML-alkalmazásként való összevonását, és határozza meg az alkalmazáskategóriát az alábbiak szerint.

Megjegyzés:

A kockázatalapú szabályzatokhoz Microsoft Entra ID P2-licencek szükségesek.

Az alábbi példa olyan szabályzatokat mutat be, amelyek rugalmas hozzáférés-vezérlést biztosítanak a felhasználók számára az alkalmazások és erőforrások eléréséhez. Ebben a példában szükség van egy biztonsági csoport AppUsersre, amelynek a célfelhasználóinak hozzáférést szeretne adni, egy Core nevű csoportot Rendszergazda a központi rendszergazdákkal, valamint egy EmergencyAccess nevű csoportot a segélyhívási hozzáférési fiókokkal. Ez a példaházirend-készlet hozzáférést biztosít az AppUsers kiválasztott felhasználóinak, és hozzáférést biztosít a kiválasztott alkalmazásokhoz, ha megbízható eszközről csatlakoznak, vagy erős hitelesítést, például MFA-t biztosítanak. Kizárja a segélyhívási fiókokat és az alapvető rendszergazdákat.

Feltételes hozzáférés-csökkentési szabályzatok:

  • 1. szabályzat: A célcsoportokon kívüli személyek hozzáférésének letiltása
    • Felhasználók és csoportok: Az összes felhasználó belefoglalása. AppUsers, Core Rendszergazda és EmergencyAccess kizárása
    • Cloud Apps: Az összes alkalmazás belefoglalása
    • Feltételek: (Nincs)
    • Engedélyezésvezérlő: Blokk
  • 2. szabályzat: Hozzáférés biztosítása az MFA-t vagy megbízható eszközt igénylő appUserekhez.
    • Felhasználók és csoportok: Alkalmazásfelhasználók belefoglalása. Core Rendszergazda és EmergencyAccess kizárása
    • Cloud Apps: Az összes alkalmazás belefoglalása
    • Feltételek: (Nincs)
    • Hozzáférés biztosítása: Hozzáférés biztosítása, többtényezős hitelesítés megkövetelése, az eszköz megfelelővé helyezése. Több vezérlő esetén: A kijelölt vezérlők egyikének megkövetelése.

A felhasználók kizárásának vészhelyzetei

Másik lehetőségként a szervezet vészhelyzeti szabályzatokat is létrehozhat. Készenléti szabályzatok létrehozásához meg kell határoznia az üzletmenet folytonossága, a működési költség, a pénzügyi költségek és a biztonsági kockázatok közötti kompromisszumos feltételeket. Például a vészhelyzeti szabályzatot csak a felhasználók egy részhalmazára, az alkalmazások egy részhalmazára, az ügyfelek egy részhalmazára vagy a helyek egy részhalmazára aktiválhatja. A vészhelyzeti szabályzatok hozzáférést biztosítanak a rendszergazdáknak és a végfelhasználóknak az alkalmazásokhoz és az erőforrásokhoz, ha nem implementáltak kockázatcsökkentési módszert. A Microsoft azt javasolja, hogy csak jelentés módban engedélyezze a készenléti szabályzatokat, ha nincs használatban, hogy a rendszergazdák figyeljék a szabályzatok lehetséges hatását, ha be kell kapcsolniuk őket.

A megszakítások miatti kitettség megértése segít csökkenteni a kockázatokat, és kritikus része a tervezési folyamatnak. A készenléti terv létrehozásához először határozza meg a szervezet következő üzleti követelményeit:

  1. Határozza meg előre a kritikus fontosságú alkalmazásokat: Mik azok az alkalmazások, amelyekhez hozzáférést kell adnia, még alacsonyabb kockázat/biztonsági helyzet esetén is? Készítsen listát ezekről az alkalmazásokról, és győződjön meg arról, hogy a többi érdekelt fél (üzleti, biztonsági, jogi, vezetői) egyetért abban, hogy ha minden hozzáférés-vezérlés megszűnik, ezeknek az alkalmazásoknak továbbra is futniuk kell. Valószínűleg a következő kategóriákkal fog végződni:
    • Az 1. kategóriába tartozó kritikus fontosságú alkalmazások , amelyek néhány percnél hosszabb ideig nem érhetők el, például olyan alkalmazások, amelyek közvetlenül befolyásolják a szervezet bevételét.
    • A 2. kategóriába tartozó fontos alkalmazásoknak néhány órán belül elérhetőnek kell lenniük.
    • A 3. kategória alacsony prioritású alkalmazásai , amelyek képesek ellenállni néhány nap megszakításának.
  2. Az 1. és 2. kategóriába tartozó alkalmazások esetében a Microsoft azt javasolja, hogy előre tervezd meg, hogy milyen típusú hozzáférést szeretne engedélyezni:
    • Engedélyezi a teljes hozzáférést vagy a korlátozott munkamenetet, például a letöltések korlátozását?
    • Engedélyezi a hozzáférést az alkalmazás egy részéhez, de nem az egész alkalmazáshoz?
    • Engedélyezi az adatfeldolgozó hozzáférését, és letiltja a rendszergazdai hozzáférést a hozzáférés-vezérlés visszaállításáig?
  3. Ezekhez az alkalmazásokhoz a Microsoft azt is javasolja, hogy tervezze meg, hogy mely hozzáférési lehetőségeket fogja szándékosan megnyitni, és melyeket zárja be:
    • Csak a böngésző számára szeretné engedélyezni a hozzáférést, és letiltja az offline adatokat menteni képes gazdag ügyfeleket?
    • Csak a vállalati hálózaton belüli felhasználók számára szeretné engedélyezni a hozzáférést, és letiltani a külső felhasználókat?
    • Csak a fennakadások során szeretné engedélyezni a hozzáférést bizonyos országokból vagy régiókból?
    • Szeretné, hogy a vészhelyzeti szabályzatok – különösen a kritikus fontosságú alkalmazások esetében – sikertelenek vagy sikeresek lehessenek, ha egy alternatív hozzáférés-vezérlés nem érhető el?

Microsoft-javaslatok

A készenléti feltételes hozzáférési szabályzat olyan biztonsági mentési szabályzat , amely kihagyja a Microsoft Entra többtényezős hitelesítést, külső MFA-t, kockázatalapú vagy eszközalapú vezérlőket. A váratlan fennakadások minimalizálása érdekében, ha egy készenléti szabályzat engedélyezve van, a szabályzatnak csak jelentéskészítési módban kell maradnia, ha nincs használatban. Rendszergazda istratorok a feltételes hozzáférés Elemzések munkafüzet használatával figyelhetik a vészhelyzeti szabályzataik lehetséges hatásait. Amikor a szervezet úgy dönt, hogy aktiválja a vészhelyzeti tervet, a rendszergazdák engedélyezhetik a szabályzatot, és letilthatják a rendszeres vezérlésalapú szabályzatokat.

Fontos

Ha letiltja azokat a házirendeket, amelyek a felhasználók biztonságát kényszerítik ki, akár ideiglenesen is, csökkenti a biztonsági helyzetet, amíg a készenléti terv érvényben van.

  • Tartalék szabályzatok konfigurálása, ha egy hitelesítő adattípus vagy egy hozzáférés-vezérlési mechanizmus megszakadása hatással van az alkalmazásokhoz való hozzáférésre. Konfiguráljon egy olyan, csak jelentéssel rendelkező szabályzatot, amely tartományhoz való csatlakozást igényel vezérlőként, biztonsági másolatként egy olyan aktív szabályzathoz, amelyhez külső MFA-szolgáltatóra van szükség.
  • Csökkentse annak a kockázatát, hogy a rossz szereplők kitalálják a jelszavakat, ha nincs szükség MFA-ra, a jelszó-útmutató tanulmányában ismertetett eljárásokat követve.
  • Telepítse a Microsoft Entra önkiszolgáló jelszó-visszaállítást (SSPR) és a Microsoft Entra Password Protectiont annak érdekében, hogy a felhasználók ne használják a tiltás mellett választott gyakori jelszavakat és kifejezéseket.
  • Olyan szabályzatokat használjon, amelyek korlátozzák az alkalmazásokon belüli hozzáférést, ha egy bizonyos hitelesítési szintet nem érnek el, ahelyett, hogy egyszerűen visszaesnek a teljes hozzáférésre. For example:
    • Konfiguráljon egy biztonsági mentési szabályzatot, amely elküldi a korlátozott munkamenet-jogcímet az Exchange-nek és a SharePointnak.
    • Ha a szervezet Felhőhöz készült Microsoft Defender-alkalmazásokat használ, érdemes lehet visszatérni egy olyan szabályzathoz, amely Felhőhöz készült Defender-alkalmazásokat használ, majd engedélyezi az írásvédett hozzáférést, de feltöltéseket nem.
  • Nevezze el a szabályzatokat, hogy könnyen megtalálhassa őket egy fennakadás során. Adja meg a következő elemeket a szabályzatnévben:
    • A szabályzat címkeszáma .
    • A megjelenítendő szöveg csak vészhelyzetekre vonatkozik. Például: ENGEDÉLYEZÉS VÉSZHELYZETBEN
    • A zavar, amelyre vonatkozik. Például: Az MFA megszakadása során
    • A szabályzatok aktiválásához szükséges sorrendet megjelenítő sorszám .
    • Azokra az alkalmazásokra , amelyekre vonatkozik.
    • Az alkalmazandó vezérlők .
    • A szükséges feltételek .

A készenléti szabályzatok elnevezési szabványa a következő:

EMnnn - ENABLE IN EMERGENCY: [Disruption][i/n] - [Apps] - [Controls] [Conditions]

Az alábbi példa: Az A példa – A kritikus fontosságú együttműködési alkalmazásokhoz való hozzáférés visszaállítására vonatkozó vészhelyzeti feltételes hozzáférési szabályzat tipikus vállalati vészhelyzet. Ebben a forgatókönyvben a szervezet általában MFA-t igényel az összes Exchange Online- és SharePoint Online-hozzáféréshez, és ebben az esetben az ügyfél MFA-szolgáltatója leáll (legyen szó a Microsoft Entra többtényezős hitelesítésről, a helyszíni MFA-szolgáltatóról vagy a külső MFA-ról). Ez a szabályzat azzal csökkenti ezt a kimaradást, hogy adott célzott felhasználók csak akkor férnek hozzá ezekhez az alkalmazásokhoz megbízható Windows-eszközökről, ha megbízható vállalati hálózatukról férnek hozzá az alkalmazáshoz. Emellett kizárja a segélyhívási fiókokat és az alapvető rendszergazdákat ezekből a korlátozásokból. A megcélzott felhasználók ezután hozzáférhetnek az Exchange Online-hoz és a SharePoint Online-hoz, míg más felhasználók továbbra sem férhetnek hozzá az alkalmazásokhoz a kimaradás miatt. Ehhez a példához egy elnevezett hálózati hely CorpNetwork és egy emergencyyAccess biztonsági csoport szükséges a célfelhasználókkal, egy Core nevű csoport Rendszergazda az alapvető rendszergazdákkal, valamint egy EmergencyAccess nevű csoport, amely a segélyhívási hozzáférési fiókokkal rendelkezik. A vészhelyzethez négy szabályzat szükséges a kívánt hozzáférés biztosításához.

A. példa – Vészhelyzeti feltételes hozzáférési szabályzatok a kritikus fontosságú együttműködési alkalmazásokhoz való hozzáférés visszaállításához:

  • 1. házirend: Tartományhoz csatlakoztatott eszközök megkövetelése az Exchange-hez és a SharePointhoz
    • Név: EM001 – Vészhelyzetben történő engedélyezés: MFA-fennakadás[1/4] – Exchange SharePoint – A Microsoft Entra hibrid csatlakoztatásának megkövetelése
    • Felhasználók és csoportok: Include ContingencyAccess. Core Rendszergazda és EmergencyAccess kizárása
    • Cloud Apps: Exchange Online és SharePoint Online
    • Feltételek: Bármely
    • Vezérlőelem megadása: Tartományhoz való csatlakozás megkövetelése
    • Állapot: Csak jelentés
  • 2. szabályzat: A Windowstól eltérő platformok letiltása
    • Név: EM002 – Vészhelyzetben történő engedélyezés: MFA-fennakadás[2/4] – Exchange SharePoint – Hozzáférés letiltása a Windows kivételével
    • Felhasználók és csoportok: Az összes felhasználó belefoglalása. Core Rendszergazda és EmergencyAccess kizárása
    • Cloud Apps: Exchange Online és SharePoint Online
    • Feltételek: Az eszközplatform tartalmazza az összes platformot, kizárja a Windowst
    • Engedélyezésvezérlő: Blokk
    • Állapot: Csak jelentés
  • 3. szabályzat: A CorpNetwork kivételével a hálózatok letiltása
    • Név: EM003 – Vészhelyzetben történő engedélyezés: MFA-fennakadás[3/4] – Exchange SharePoint – Hozzáférés letiltása a vállalati hálózat kivételével
    • Felhasználók és csoportok: Az összes felhasználó belefoglalása. Core Rendszergazda és EmergencyAccess kizárása
    • Cloud Apps: Exchange Online és SharePoint Online
    • Feltételek: Helyek Bármely hely belefoglalása, CorpNetwork kizárása
    • Engedélyezésvezérlő: Blokk
    • Állapot: Csak jelentés
  • 4. szabályzat: Az EAS explicit letiltása
    • Név: EM004 – Vészhelyzetben történő engedélyezés: MFA-fennakadás[4/4] – Exchange – Az EAS letiltása minden felhasználó számára
    • Felhasználók és csoportok: Az összes felhasználó belefoglalása
    • Cloud Apps: Az Exchange Online belefoglalása
    • Feltételek: Ügyfélalkalmazások: Exchange Active Sync
    • Engedélyezésvezérlő: Blokk
    • Állapot: Csak jelentés

Aktiválási sorrend:

  1. Zárja ki a EmergencyyAccess, a Core Rendszergazda és a EmergencyAccess szolgáltatást a meglévő MFA-szabályzatból. Ellenőrizze, hogy a ContingencyAccess egyik felhasználója hozzáfér-e a SharePoint Online-hoz és az Exchange Online-hoz.
  2. 1. házirend engedélyezése: Ellenőrizze, hogy a tartományhoz csatlakoztatott eszközök azon felhasználói, akik nem tartoznak a kizáró csoportokba, hozzáférhetnek-e az Exchange Online-hoz és a SharePoint Online-hoz. Ellenőrizze, hogy a Kizárás csoportban lévő felhasználók bármilyen eszközről hozzáférhetnek-e a SharePoint Online-hez és az Exchange-hez.
  3. 2. házirend engedélyezése: Ellenőrizze, hogy azok a felhasználók, akik nem tartoznak a kizáró csoportba, nem tudnak a SharePoint Online-ba és az Exchange Online-ba eljutni a mobileszközeikről. Ellenőrizze, hogy a Kizárás csoport felhasználói bármilyen eszközről (Windows/iOS/Android) hozzáférnek-e a SharePointhoz és az Exchange-hez.
  4. 3. házirend engedélyezése: Ellenőrizze, hogy azok a felhasználók, akik nincsenek a kizáró csoportokban, nem férnek hozzá a SharePointhoz és az Exchange-hez a vállalati hálózaton kívül, még tartományhoz csatlakoztatott géppel sem. Ellenőrizze, hogy a Kizárás csoportban lévő felhasználók bármely hálózatról hozzáférhetnek-e a SharePointhoz és az Exchange-hez.
  5. Házirend 4 engedélyezése: Ellenőrizze, hogy minden felhasználó nem tudja lekérni az Exchange Online-t a mobileszközök natív levelezőalkalmazásaiból.
  6. Tiltsa le a meglévő MFA-szabályzatot a SharePoint Online-hoz és az Exchange Online-hoz.

Ebben a következő példában a "B" példa – A Salesforce-hoz való mobilhozzáférés engedélyezéséhez szükséges készenléti feltételes hozzáférési szabályzatok visszaállítják az üzleti alkalmazások hozzáférését. Ebben a forgatókönyvben az ügyfél általában megköveteli, hogy az értékesítési alkalmazottak hozzáférjenek a Salesforce-hoz (a Microsoft Entra ID-val való egyszeri bejelentkezéshez konfigurálva) a mobileszközökről, hogy csak a megfelelő eszközökről legyenek engedélyezve. Ebben az esetben a fennakadás az, hogy probléma van az eszközmegfelelőség kiértékelésével, és a kimaradás olyan érzékeny időpontban történik, amikor az értékesítési csapatnak hozzá kell férnie a Salesforce-hoz az ügyletek lezárásához. Ezek a vészhelyzeti szabályzatok hozzáférést biztosítanak a kritikus fontosságú felhasználóknak a Salesforce-hoz mobileszközről, hogy továbbra is lezárhassák az ügyleteket, és ne zavarják az üzletet. Ebben a példában a SalesforceContingency tartalmazza az összes értékesítési alkalmazottat, akiknek meg kell őrizni a hozzáférést és a Sales Rendszergazda a Salesforce szükséges rendszergazdáit tartalmazzák.

B példa – Készenléti feltételes hozzáférési szabályzatok:

  • 1. szabályzat: A SalesContingency csapatban nem szereplő felhasználók blokkolása
    • Név: EM001 – Vészhelyzetben történő engedélyezés: Eszközmegfelelőségi zavar[1/2] – Salesforce – Minden felhasználó letiltása a SalesforceContingency kivételével
    • Felhasználók és csoportok: Az összes felhasználó belefoglalása. Sales Rendszergazda s és SalesforceContingency kizárása
    • Cloud Apps: Salesforce.
    • Feltételek: Nincs
    • Engedélyezésvezérlő: Blokk
    • Állapot: Csak jelentés
  • 2. szabályzat: Tiltsa le az értékesítési csapatot a mobiltól eltérő platformon (a támadás felületének csökkentése érdekében)
    • Név: EM002 – Vészhelyzetben történő engedélyezés: Eszközmegfelelőségi zavar[2/2] – Salesforce – Minden platform letiltása iOS és Android kivételével
    • Felhasználók és csoportok: A SalesforceContingency belefoglalása. Értékesítések kizárása Rendszergazda
    • Cloud Apps: Salesforce
    • Feltételek: Az eszközplatform tartalmazza az összes platformot, kizárja az iOS-t és az Androidot
    • Engedélyezésvezérlő: Blokk
    • Állapot: Csak jelentés

Aktiválási sorrend:

  1. Zárja ki a Salesforce meglévő eszközmegfelelőségi szabályzatából a Sales Rendszergazda s és a SalesforceContingency elemet. Ellenőrizze, hogy a SalesforceContingency csoport egyik felhasználója hozzáfér-e a Salesforce-hoz.
  2. Szabályzat 1 engedélyezése: Ellenőrizze, hogy a SalesContingency-en kívüli felhasználók nem férnek-e hozzá a Salesforce-hez. Ellenőrizze, hogy a Sales Rendszergazda és a SalesforceContingency felhasználói hozzáférhetnek-e a Salesforce-hez.
  3. A Policy 2 engedélyezése: Ellenőrizze, hogy a SalesContingency csoport felhasználói nem férnek-e hozzá a Salesforce-hez Windows/Mac rendszerű laptopjaikról, de továbbra is hozzáférhetnek a mobileszközeikről. Ellenőrizze, hogy a Sales Rendszergazda bármilyen eszközről elérheti-e a Salesforce-t.
  4. Tiltsa le a Salesforce meglévő eszközmegfelelési szabályzatát.

A helyszíni erőforrásokból való felhasználói kizárással kapcsolatos vészhelyzetek (NPS-bővítmény)

Ha a VPN-hozzáférést a Microsoft Entra többtényezős hitelesítés NPS-bővítményével védi, fontolja meg a VPN-megoldás SAML-alkalmazásként való összevonását, és határozza meg az alkalmazáskategóriát az alábbiak szerint.

Ha telepítette a Microsoft Entra többtényezős hitelesítési NPS-bővítményt a helyszíni erőforrások, például a VPN és a Távoli asztali átjáró MFA-val való védelme érdekében, érdemes előre megfontolnia, hogy vészhelyzet esetén készen áll-e az MFA letiltására.

Ebben az esetben letilthatja az NPS-bővítményt, ezért az NPS-kiszolgáló csak az elsődleges hitelesítést ellenőrzi, és nem kényszeríti az MFA-t a felhasználókra.

NPS-bővítmény letiltása:

  • Exportálja a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters beállításkulcsot biztonsági mentésként.
  • Törölje az "AuthorizationDLLs" és "ExtensionDLLs" beállításjegyzék-értékeket, nem pedig a Paraméterkulcsot.
  • Indítsa újra a Hálózati házirend szolgáltatás (IAS) szolgáltatást a módosítások érvénybe lépéséhez
  • Határozza meg, hogy a VPN elsődleges hitelesítése sikeres-e.

Miután a szolgáltatás helyreállt, és készen áll arra, hogy ismét kényszerítse az MFA-t a felhasználókra, engedélyezze az NPS-bővítményt:

  • Importálja a beállításkulcsot a biztonsági mentésből HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters
  • Indítsa újra a Hálózati házirend szolgáltatás (IAS) szolgáltatást a módosítások érvénybe lépéséhez
  • Határozza meg, hogy a VPN elsődleges és másodlagos hitelesítése sikeres-e.
  • Tekintse át az NPS-kiszolgálót és a VPN-naplót annak megállapításához, hogy mely felhasználók jelentkeztek be a vészhelyzeti időszakban.

Jelszókivonat-szinkronizálás üzembe helyezése akkor is, ha összevont vagy átmenő hitelesítést használ

A felhasználó zárolása akkor is előfordulhat, ha a következő feltételek teljesülnek:

  • A szervezet egy hibrid identitáskezelési megoldást használ átmenő hitelesítéssel vagy összevonással.
  • A helyszíni identitásrendszerek (például az Active Directory, az AD FS vagy egy függő összetevő) nem érhetők el.

A rugalmasabb működés érdekében a szervezetnek engedélyeznie kell a jelszókivonat-szinkronizálást, mivel lehetővé teszi a jelszókivonat-szinkronizálás használatára való váltást, ha a helyszíni identitásrendszerek leállnak.

Microsoft-javaslatok

Engedélyezze a jelszókivonat-szinkronizálást a Microsoft Entra Csatlakozás varázslóval, függetlenül attól, hogy a szervezet összevonási vagy átmenő hitelesítést használ-e.

Fontos

Nem szükséges a felhasználókat összevont hitelesítésről felügyelt hitelesítésre konvertálni a jelszókivonat-szinkronizálás használatához.

Fennakadás esetén

Ha a kockázatcsökkentési terv implementálása mellett döntött, automatikusan átvészelheti egyetlen hozzáférés-vezérlési fennakadást. Ha azonban egy vészhelyzeti terv létrehozását választotta, aktiválhatja a vészhelyzeti szabályzatokat a hozzáférés-vezérlés megszakadása során:

  1. Engedélyezze azokat a készenléti szabályzatokat, amelyek meghatározott hálózatokról biztosítják a célzott felhasználók számára az adott alkalmazásokhoz való hozzáférést.
  2. Tiltsa le a szokásos vezérlőalapú szabályzatokat.

Microsoft-javaslatok

Attól függően, hogy a rendszer milyen kockázatcsökkentéseket vagy vészhelyzeteket használ egy fennakadás során, a szervezet csak jelszóval adhat hozzáférést. A védelem nem jelent jelentős biztonsági kockázatot, amelyet körültekintően kell mérlegelni. A szervezeteknek:

  1. A változásvezérlési stratégia részeként dokumentálja az összes módosítást és az előző állapotot, hogy a hozzáférés-vezérlés teljes működése után bármikor visszaállíthassa a bevezetett vészhelyzeteket.
  2. Tegyük fel, hogy a rosszindulatú szereplők jelszópermettel vagy adathalász támadással próbálják meg begyűjteni a jelszavakat, miközben letiltotta az MFA-t. Emellett előfordulhat, hogy a rossz szereplők már rendelkeznek olyan jelszóval, amely korábban nem adott hozzáférést az ebben az ablakban megkísérelhető erőforrásokhoz. Kritikus felhasználók, például vezetők esetén ezt a kockázatot részben csökkentheti, ha alaphelyzetbe állítja a jelszavakat, mielőtt letiltaná az MFA-t számukra.
  3. Archiválja az összes bejelentkezési tevékenységet annak megállapításához, hogy ki fér hozzá az MFA letiltásának ideje alatt.
  4. Az ebben az ablakban jelentett kockázatészlelések osztályozása.

Fennakadás után

Az aktivált készenléti terv részeként végrehajtott módosítások visszavonása a szolgáltatás visszaállítását követően, amely a fennakadást okozta.

  1. A normál szabályzatok engedélyezése
  2. Tiltsa le a készenléti szabályzatokat a csak jelentéskészítési módba való visszalépéshez.
  3. A megszakítás során végrehajtott és dokumentált egyéb módosítások visszaállítása.
  4. Ha vészhelyzeti hozzáférési fiókot használt, ne felejtse el újragenerálni a hitelesítő adatokat, és fizikailag biztonságossá tenni az új hitelesítő adatokat a vészhelyzeti hozzáférési fiók eljárásainak részeként.
  5. Folytassa a gyanús tevékenység megszakítása után jelentett kockázatészlelések osztályozását.
  6. Vonja vissza az összes olyan frissítési jogkivonatot , amelyet a felhasználók egy csoportjának megcélzására adtak ki. Az összes frissítési jogkivonat visszavonása fontos a fennakadás során használt kiemelt fiókok esetében, és ezzel kényszeríti őket, hogy újrahitelesítsék őket, és megfeleljenek a visszaállított szabályzatok vezérlésének.

Vészhelyzeti lehetőségek

Vészhelyzet esetén, és a szervezet korábban nem hajtott végre kockázatcsökkentési vagy vészhelyzeti tervet, akkor kövesse a Felhasználók kizárásának vészhelyzetek szakaszában található javaslatokat, ha már feltételes hozzáférési szabályzatokkal kényszerítik ki az MFA-t. Ha a szervezet felhasználónkénti MFA örökölt szabályzatokat használ, az alábbi alternatívát érdemes megfontolnia:

  • Ha rendelkezik a vállalati hálózat kimenő IP-címével, megbízható IP-címként hozzáadhatja őket, hogy csak a vállalati hálózathoz engedélyezze a hitelesítést.
  • Ha nem rendelkezik a kimenő IP-címek készletével, vagy engedélyeznie kell a hozzáférést a vállalati hálózaton belül és kívül, a teljes IPv4-címteret megbízható IP-címként is hozzáadhatja a 0.0.0.0/1 és a 128.0.0.0/1 megadásával.

Fontos

Ha kibővíti a megbízható IP-címeket a hozzáférés letiltásának feloldásához, az IP-címekhez (például lehetetlen utazásokhoz vagy ismeretlen helyekhez) kapcsolódó kockázatészlelések nem jönnek létre.

Megjegyzés:

A megbízható IP-címek konfigurálása többtényezős Microsoft Entra-hitelesítéshez csak P1 vagy P2 Microsoft Entra-azonosítójú licencekkel érhető el.

Tudjon meg többet