A szervezet identitásainak védelme a Microsoft Entra-azonosítóval
Ijesztőnek tűnhet, hogy a mai világban próbálják biztosítani a munkavállalókat, különösen akkor, ha gyorsan kell reagálnia, és számos szolgáltatáshoz gyorsan hozzáférést kell biztosítania. Ez a cikk tömör listát nyújt az összes végrehajtandó műveletről, segít azonosítani és rangsorolni a Microsoft Entra-funkciók üzembe helyezésének sorrendjét a saját licenctípusa alapján.
A Microsoft Entra ID számos funkciót kínál, és számos biztonsági réteget biztosít az identitások számára, így a releváns funkciók navigálása néha túl sok lehet. A dokumentum célja, hogy segítse a szervezeteket a szolgáltatások gyors üzembe helyezésében, elsődleges szempontként a biztonságos identitások használatát.
Minden tábla egységes biztonsági javaslatot nyújt, amely védi az identitásokat a gyakori biztonsági támadásoktól, miközben minimalizálja a felhasználói súrlódást.
Az útmutató segítséget nyújt:
- A szoftverszolgáltatáshoz (SaaS) és a helyszíni alkalmazásokhoz való hozzáférés biztonságos és védett módon történő konfigurálása
- Felhőbeli és hibrid identitások
- Távolról vagy az irodában dolgozó felhasználók
Előfeltételek
Ez az útmutató feltételezi, hogy csak a felhőbeli vagy hibrid identitások már létrejöttek a Microsoft Entra ID-ban. Ha segítségre van szüksége az identitástípus kiválasztásához, olvassa el a Microsoft Entra hibrid identitáskezelési megoldásának megfelelő hitelesítési (AuthN) metódus kiválasztása című cikket.
Irányított bemutató
A cikk számos javaslatának részletes útmutatóját a Microsoft Entra-azonosító beállítása a Microsoft 365 Felügyeleti központ-központba való bejelentkezéskor című témakörben találja. Ha az ajánlott eljárásokat bejelentkezés és automatikus beállítási funkciók aktiválása nélkül szeretné áttekinteni, nyissa meg a Microsoft 365 telepítőportálját.
Útmutató a Microsoft Entra ID Free, Az Office 365 vagy a Microsoft 365 ügyfeleinek
A Microsoft Entra ID Free, az Office 365 vagy a Microsoft 365 alkalmazás ügyfeleinek számos javaslatot kell tenniük a felhasználói identitások védelme érdekében. Az alábbi táblázat a következő licenc-előfizetések fő műveleteinek kiemelésére szolgál:
- Office 365 (Office 365 E1 csomag, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
- Microsoft Entra ID Free (az Azure, a Dynamics 365, az Intune és a Power Platform része)
| Javasolt művelet | Részlet |
|---|---|
| Biztonsági alapértékek engedélyezése | Az összes felhasználói identitás és alkalmazás védelme a többtényezős hitelesítés engedélyezésével és az örökölt hitelesítés letiltásával. |
| Jelszókivonat-szinkronizálás engedélyezése (hibrid identitások használata esetén) | Redundancia biztosítása a hitelesítéshez és a biztonság javításához (beleértve az intelligens zárolást, az IP-zárolást és a kiszivárgott hitelesítő adatok felderítését). |
| Az AD FS intelligens zárolásának engedélyezése (ha van) | Védi a felhasználókat a rosszindulatú tevékenységektől való extranetes fiókzárolástól. |
| A Microsoft Entra intelligens zárolásának engedélyezése (felügyelt identitások használata esetén) | Az intelligens zárolás segít kizárni azokat a rossz szereplőket, akik megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni. |
| Végfelhasználói hozzájárulás letiltása alkalmazásokhoz | A rendszergazdai hozzájárulási munkafolyamat biztonságos módot biztosít a rendszergazdák számára a rendszergazdai jóváhagyást igénylő alkalmazásokhoz való hozzáférés biztosításához, hogy a végfelhasználók ne tegyenek közzé vállalati adatokat. A Microsoft azt javasolja, hogy tiltsa le a jövőbeli felhasználói hozzájárulási műveleteket a felület csökkentése és a kockázat csökkentése érdekében. |
| Támogatott SaaS-alkalmazások integrálása a katalógusból a Microsoft Entra-azonosítóba, és egyszeri bejelentkezés (SSO) engedélyezése | A Microsoft Entra ID katalógusa több ezer előre elkészített alkalmazást tartalmaz. A szervezet által használt alkalmazások némelyike valószínűleg az Azure Portalról közvetlenül elérhető katalógusban található. Biztosítson hozzáférést a vállalati SaaS-alkalmazásokhoz távolról és biztonságosan, továbbfejlesztett felhasználói felülettel (egyszeri bejelentkezés (SSO)). |
| Felhasználói kiépítés és leépítés automatizálása SaaS-alkalmazásokból (ha van) | Automatikusan létrehozhat felhasználói identitásokat és szerepköröket a felhőbeli (SaaS-) alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepköreinek változásával való karbantartását és eltávolítását, ami növeli a szervezet biztonságát. |
| Biztonságos hibrid hozzáférés engedélyezése: Örökölt alkalmazások biztonságossá tétele meglévő alkalmazáskézbesítési vezérlőkkel és hálózatokkal (ha vannak) | A meglévő alkalmazáskézbesítési vezérlővel vagy hálózattal összekapcsolva közzéteheti és megvédheti a helyszíni és a felhőbeli örökölt hitelesítési alkalmazásokat. |
| Önkiszolgáló jelszó-visszaállítás engedélyezése (csak felhőbeli fiókokra vonatkozik) | Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. |
| A legkevésbé kiemelt szerepkörök használata, ahol lehetséges | Csak azokhoz a területekhez adjon hozzáférést a rendszergazdáknak, amelyekhez hozzáférésre van szükségük. |
| A Microsoft jelszóval kapcsolatos útmutatójának engedélyezése | Ne követelje meg a felhasználóknak, hogy a megadott ütemezés szerint módosítsák a jelszavukat, tiltsák le az összetettségi követelményeket, és a felhasználók könnyebben megjegyezhetik a jelszavaikat, és biztonságosan megőrizhetik őket. |
Útmutató a Microsoft Entra ID P1 ügyfeleinek
Az alábbi táblázat a következő licenc-előfizetések fő műveleteinek kiemelésére szolgál:
- Microsoft Entra ID P1
- Microsoft Nagyvállalati mobilitási és biztonsági E3 csomag
- Microsoft 365 (E3, A3, F1, F3)
| Javasolt művelet | Részlet |
|---|---|
| Több globális Rendszergazda istrator létrehozása | Rendeljen hozzá legalább két, csak felhőalapú állandó globális Rendszergazda istrator-fiókot vészhelyzetben való használatra. Ezeket a fiókokat nem kell naponta használni, és hosszú és összetett jelszavakkal kell rendelkezniük. |
| A többtényezős Microsoft Entra-hitelesítés és az SSPR együttes regisztrációs élményének engedélyezése a felhasználói regisztráció egyszerűbbé tétele érdekében | Lehetővé teszi a felhasználók számára, hogy egyetlen gyakori felületen regisztráljanak a Többtényezős Microsoft Entra hitelesítéshez és az önkiszolgáló jelszó-visszaállításhoz. |
| Többtényezős hitelesítési beállítások konfigurálása a szervezet számára | Győződjön meg arról, hogy a fiókok védettek a többtényezős hitelesítéssel való biztonság ellen. |
| Önkiszolgáló jelszóátállítás engedélyezése | Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. |
| Jelszóvisszaíró implementálása (hibrid identitások használata esetén) | Lehetővé teszi a jelszómódosítások felhőbeli visszaírását egy helyszíni Windows Server Active Directory-környezetbe. |
| Feltételes hozzáférési szabályzatok létrehozása és engedélyezése | Többtényezős hitelesítés rendszergazdák számára a rendszergazdai jogosultságokkal rendelkező fiókok védelme érdekében. Tiltsa le az örökölt hitelesítési protokollokat az örökölt hitelesítési protokollokkal kapcsolatos megnövekedett kockázat miatt. Többtényezős hitelesítés minden felhasználó és alkalmazás számára, hogy kiegyensúlyozott többtényezős hitelesítési szabályzatot hozzon létre a környezet számára, biztosítva a felhasználók és alkalmazások védelmét. Többtényezős hitelesítés megkövetelése az Azure Managementhez a kiemelt erőforrások védelméhez, ha többtényezős hitelesítést igényel az Azure-erőforrásokhoz hozzáférő felhasználók számára. |
| Jelszókivonat-szinkronizálás engedélyezése (hibrid identitások használata esetén) | Redundancia biztosítása a hitelesítéshez és a biztonság javításához (beleértve az intelligens zárolást, az IP-zárolást és a kiszivárgott hitelesítő adatok felderítését).) |
| Az AD FS intelligens zárolásának engedélyezése (ha van) | Védi a felhasználókat a rosszindulatú tevékenységektől való extranetes fiókzárolástól. |
| A Microsoft Entra intelligens zárolásának engedélyezése (felügyelt identitások használata esetén) | Az intelligens zárolás segít kizárni azokat a rossz szereplőket, akik megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni. |
| Végfelhasználói hozzájárulás letiltása alkalmazásokhoz | A rendszergazdai hozzájárulási munkafolyamat biztonságos módot biztosít a rendszergazdák számára a rendszergazdai jóváhagyást igénylő alkalmazásokhoz való hozzáférés biztosításához, hogy a végfelhasználók ne tegyenek közzé vállalati adatokat. A Microsoft azt javasolja, hogy tiltsa le a jövőbeli felhasználói hozzájárulási műveleteket a felület csökkentése és a kockázat csökkentése érdekében. |
| Távoli hozzáférés engedélyezése a helyszíni örökölt alkalmazásokhoz a alkalmazásproxy | Engedélyezze a Microsoft Entra-alkalmazásproxyt, és integrálhatja az örökölt alkalmazásokkal a felhasználók számára, hogy biztonságosan elérhessék a helyszíni alkalmazásokat a Microsoft Entra-fiókjukkal való bejelentkezéssel. |
| Biztonságos hibrid hozzáférés engedélyezése: Örökölt alkalmazások biztonságossá tétele meglévő alkalmazáskézbesítési vezérlőkkel és hálózatokkal (ha vannak). | A meglévő alkalmazáskézbesítési vezérlővel vagy hálózattal összekapcsolva közzéteheti és megvédheti a helyszíni és a felhőbeli örökölt hitelesítési alkalmazásokat. |
| Támogatott SaaS-alkalmazások integrálása a katalógusból a Microsoft Entra-azonosítóba, és egyszeri bejelentkezés engedélyezése | A Microsoft Entra ID katalógusa több ezer előre elkészített alkalmazást tartalmaz. A szervezet által használt alkalmazások némelyike valószínűleg az Azure Portalról közvetlenül elérhető katalógusban található. A jobb felhasználói élmény (SSO) révén távolról és biztonságosan biztosíthatja a vállalati SaaS-alkalmazásokhoz való hozzáférést. |
| Felhasználói kiépítés és leépítés automatizálása SaaS-alkalmazásokból (ha van) | Automatikusan létrehozhat felhasználói identitásokat és szerepköröket a felhőbeli (SaaS-) alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepköreinek változásával való karbantartását és eltávolítását, ami növeli a szervezet biztonságát. |
| Feltételes hozzáférés engedélyezése – eszközalapú | Az eszközalapú feltételes hozzáférés biztonságának és felhasználói élményének javítása. Ez a lépés biztosítja, hogy a felhasználók csak olyan eszközökről férjenek hozzá, amelyek megfelelnek a biztonsági és megfelelőségi szabványoknak. Ezeket az eszközöket felügyelt eszközöknek is nevezik. A felügyelt eszközök lehetnek Intune-kompatibilisek vagy a Microsoft Entra hibrid csatlakoztatott eszközei. |
| Jelszóvédelem engedélyezése | Védje meg a felhasználókat a gyenge és könnyen kitalálható jelszavak használatától. |
| A legkevésbé kiemelt szerepkörök használata, ahol lehetséges | Csak azokhoz a területekhez adjon hozzáférést a rendszergazdáknak, amelyekhez hozzáférésre van szükségük. |
| A Microsoft jelszóval kapcsolatos útmutatójának engedélyezése | Ne követelje meg a felhasználóknak, hogy a megadott ütemezés szerint módosítsák a jelszavukat, tiltsák le az összetettségi követelményeket, és a felhasználók könnyebben megjegyezhetik a jelszavaikat, és biztonságosan megőrizhetik őket. |
| Szervezetspecifikus egyéni tiltott jelszólista létrehozása | Megakadályozza, hogy a felhasználók olyan jelszavakat hozzanak létre, amelyek a szervezet vagy a terület általános szavait vagy kifejezéseit tartalmazzák. |
| Jelszó nélküli hitelesítési módszerek üzembe helyezése a felhasználók számára | Biztosítson kényelmes jelszó nélküli hitelesítési módszereket a felhasználóknak. |
| Terv létrehozása vendégfelhasználói hozzáféréshez | Együttműködhet a vendégfelhasználókkal úgy, hogy lehetővé teszi számukra, hogy saját munkahelyi, iskolai vagy közösségi identitásukkal jelentkezzenek be az alkalmazásaiba és szolgáltatásaiba. |
Útmutató a Microsoft Entra ID P2 ügyfeleinek
Az alábbi táblázat a következő licenc-előfizetések fő műveleteinek kiemelésére szolgál:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Javasolt művelet | Részlet |
|---|---|
| Több globális Rendszergazda istrator létrehozása | Rendeljen hozzá legalább két, csak felhőalapú állandó globális Rendszergazda istrator-fiókot vészhelyzetben való használatra. Ezeket a fiókokat nem kell naponta használni, és hosszú és összetett jelszavakkal kell rendelkezniük. |
| A többtényezős Microsoft Entra-hitelesítés és az SSPR együttes regisztrációs élményének engedélyezése a felhasználói regisztráció egyszerűbbé tétele érdekében | Lehetővé teszi a felhasználók számára, hogy egyetlen gyakori felületen regisztráljanak a Többtényezős Microsoft Entra hitelesítéshez és az önkiszolgáló jelszó-visszaállításhoz. |
| Többtényezős hitelesítési beállítások konfigurálása a szervezet számára | Győződjön meg arról, hogy a fiókok védettek a többtényezős hitelesítéssel való biztonság ellen. |
| Önkiszolgáló jelszóátállítás engedélyezése | Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. |
| Jelszóvisszaíró implementálása (hibrid identitások használata esetén) | Lehetővé teszi a jelszómódosítások felhőbeli visszaírását egy helyszíni Windows Server Active Directory-környezetbe. |
| Identitásvédelmi szabályzatok engedélyezése a többtényezős hitelesítés regisztrációja kényszerítéséhez | A Microsoft Entra többtényezős hitelesítés bevezetésének kezelése. |
| Az Identity Protection felhasználói és bejelentkezési kockázati szabályzatok engedélyezése | Identitásvédelmi felhasználói és bejelentkezési szabályzatok engedélyezése. Az ajánlott bejelentkezési szabályzat a közepes kockázatú bejelentkezések megcélzása, valamint a többtényezős hitelesítés megkövetelése. Felhasználói szabályzatok esetén a jelszómódosítási műveletet igénylő magas kockázatú felhasználókat kell megcéloznia. |
| Feltételes hozzáférési szabályzatok létrehozása és engedélyezése | Többtényezős hitelesítés rendszergazdák számára a rendszergazdai jogosultságokkal rendelkező fiókok védelme érdekében. Tiltsa le az örökölt hitelesítési protokollokat az örökölt hitelesítési protokollokkal kapcsolatos megnövekedett kockázat miatt. Többtényezős hitelesítés megkövetelése az Azure Managementhez a kiemelt erőforrások védelméhez, ha többtényezős hitelesítést igényel az Azure-erőforrásokhoz hozzáférő felhasználók számára. |
| Jelszókivonat-szinkronizálás engedélyezése (hibrid identitások használata esetén) | Redundancia biztosítása a hitelesítéshez és a biztonság javításához (beleértve az intelligens zárolást, az IP-zárolást és a kiszivárgott hitelesítő adatok felderítését).) |
| Az AD FS intelligens zárolásának engedélyezése (ha van) | Védi a felhasználókat a rosszindulatú tevékenységektől való extranetes fiókzárolástól. |
| A Microsoft Entra intelligens zárolásának engedélyezése (felügyelt identitások használata esetén) | Az intelligens zárolás segít kizárni azokat a rossz szereplőket, akik megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni. |
| Végfelhasználói hozzájárulás letiltása alkalmazásokhoz | A rendszergazdai hozzájárulási munkafolyamat biztonságos módot biztosít a rendszergazdák számára a rendszergazdai jóváhagyást igénylő alkalmazásokhoz való hozzáférés biztosításához, hogy a végfelhasználók ne tegyenek közzé vállalati adatokat. A Microsoft azt javasolja, hogy tiltsa le a jövőbeli felhasználói hozzájárulási műveleteket a felület csökkentése és a kockázat csökkentése érdekében. |
| Távoli hozzáférés engedélyezése a helyszíni örökölt alkalmazásokhoz a alkalmazásproxy | Engedélyezze a Microsoft Entra-alkalmazásproxyt, és integrálhatja az örökölt alkalmazásokkal a felhasználók számára, hogy biztonságosan elérhessék a helyszíni alkalmazásokat a Microsoft Entra-fiókjukkal való bejelentkezéssel. |
| Biztonságos hibrid hozzáférés engedélyezése: Örökölt alkalmazások biztonságossá tétele meglévő alkalmazáskézbesítési vezérlőkkel és hálózatokkal (ha vannak). | A meglévő alkalmazáskézbesítési vezérlővel vagy hálózattal összekapcsolva közzéteheti és megvédheti a helyszíni és a felhőbeli örökölt hitelesítési alkalmazásokat. |
| Támogatott SaaS-alkalmazások integrálása a katalógusból a Microsoft Entra-azonosítóba, és egyszeri bejelentkezés engedélyezése | A Microsoft Entra ID katalógusa több ezer előre elkészített alkalmazást tartalmaz. A szervezet által használt alkalmazások némelyike valószínűleg az Azure Portalról közvetlenül elérhető katalógusban található. A jobb felhasználói élmény (SSO) révén távolról és biztonságosan biztosíthatja a vállalati SaaS-alkalmazásokhoz való hozzáférést. |
| Felhasználói kiépítés és leépítés automatizálása SaaS-alkalmazásokból (ha van) | Automatikusan létrehozhat felhasználói identitásokat és szerepköröket a felhőbeli (SaaS-) alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepköreinek változásával való karbantartását és eltávolítását, ami növeli a szervezet biztonságát. |
| Feltételes hozzáférés engedélyezése – eszközalapú | Az eszközalapú feltételes hozzáférés biztonságának és felhasználói élményének javítása. Ez a lépés biztosítja, hogy a felhasználók csak olyan eszközökről férjenek hozzá, amelyek megfelelnek a biztonsági és megfelelőségi szabványoknak. Ezeket az eszközöket felügyelt eszközöknek is nevezik. A felügyelt eszközök lehetnek Intune-kompatibilisek vagy a Microsoft Entra hibrid csatlakoztatott eszközei. |
| Jelszóvédelem engedélyezése | Védje meg a felhasználókat a gyenge és könnyen kitalálható jelszavak használatától. |
| A legkevésbé kiemelt szerepkörök használata, ahol lehetséges | Csak azokhoz a területekhez adjon hozzáférést a rendszergazdáknak, amelyekhez hozzáférésre van szükségük. |
| A Microsoft jelszóval kapcsolatos útmutatójának engedélyezése | Ne követelje meg a felhasználóknak, hogy a megadott ütemezés szerint módosítsák a jelszavukat, tiltsák le az összetettségi követelményeket, és a felhasználók könnyebben megjegyezhetik a jelszavaikat, és biztonságosan megőrizhetik őket. |
| Szervezetspecifikus egyéni tiltott jelszólista létrehozása | Megakadályozza, hogy a felhasználók olyan jelszavakat hozzanak létre, amelyek a szervezet vagy a terület általános szavait vagy kifejezéseit tartalmazzák. |
| Jelszó nélküli hitelesítési módszerek üzembe helyezése a felhasználók számára | Kényelmes jelszó nélküli hitelesítési módszerek biztosítása a felhasználóknak |
| Terv létrehozása vendégfelhasználói hozzáféréshez | Együttműködhet a vendégfelhasználókkal úgy, hogy lehetővé teszi számukra, hogy saját munkahelyi, iskolai vagy közösségi identitásukkal jelentkezzenek be az alkalmazásaiba és szolgáltatásaiba. |
| Privileged Identity Management (PIM) engedélyezése | Lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását, biztosítva, hogy a rendszergazdák csak szükség esetén és jóváhagyással férhessenek hozzá. |
| Hozzáférési felülvizsgálat elvégzése a Microsoft Entra címtárszerepkörökről a PIM-ben | A biztonsági és a vezetői csapatokkal együttműködve hozzon létre egy hozzáférési felülvizsgálati szabályzatot, amely áttekinti a rendszergazdai hozzáférést a szervezet szabályzatai alapján. |
Teljes felügyelet
Ez a funkció segít a szervezeteknek abban, hogy identitásaikat a Teljes felügyelet architektúra három vezérelveihez igazíthassák:
- Explicit ellenőrzés
- Minimális jogosultság használata
- A szabálysértés feltételezése
Ha többet szeretne megtudni a Teljes felügyelet és a szervezetnek az irányelvekkel való igazításának egyéb módjairól, tekintse meg a Teljes felügyelet Útmutató központot.
Következő lépések
- A Microsoft Entra ID egyes funkcióival kapcsolatos részletes üzembe helyezési útmutatóért tekintse át a Microsoft Entra ID projekt üzembehelyezési terveit.
- A szervezetek identitásbiztonsági pontszámmal követhetik nyomon az előrehaladásukat más Microsoft-javaslatok alapján.