Id Protection-telepítés megtervezése

Microsoft Entra ID-védelem észleli az identitásalapú kockázatokat, jelentéseket készít róluk, és lehetővé teszi a rendszergazdák számára, hogy kivizsgálják és elhárítsák ezeket a kockázatokat a szervezetek biztonságának és biztonságának megőrzése érdekében. A kockázati adatok tovább táplálhatók olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy egy biztonsági információ- és eseménykezelő (SIEM) eszköz, amely további elemzést és vizsgálatot tesz lehetővé.

Ez az üzembe helyezési terv kibővíti a feltételes hozzáférés telepítési tervében bevezetett fogalmakat.

Előfeltételek

• Egy működő Microsoft Entra-bérlő p2-azonosítóval, vagy engedélyezve van a próbaverziós licenc. Ha szükséges, hozzon létre egyet ingyen.
• Az ID Protection szolgáltatást használó rendszergazdáknak az elvégzett feladatoktól függően az alábbi szerepkör-hozzárendelések közül legalább egynek rendelkezniük kell. A minimális jogosultság Teljes felügyelet alapelvének követéséhez fontolja meg a Privileged Identity Management (PIM) használatát a kiemelt szerepkör-hozzárendelések igény szerinti aktiválásához.
  • Olvasási azonosítók védelme és feltételes hozzáférési szabályzatok és konfigurációk
    • Biztonsági olvasó
    • Globális olvasó
  • Id Protection kezelése
    • Biztonsági operátor
    • Biztonsági rendszergazda
  • Feltételes hozzáférési szabályzatok létrehozása vagy módosítása
    • Feltételes hozzáférési rendszergazda
    • Biztonsági rendszergazda
• Egy tesztfelhasználó, aki nem rendszergazda, hogy ellenőrizze, hogy a szabályzatok a várt módon működnek-e a valós felhasználók számára történő üzembe helyezés előtt. Ha létre kell hoznia egy felhasználót, olvassa el a rövid útmutatót: Új felhasználók hozzáadása a Microsoft Entra-azonosítóhoz.
• Az a csoport, amelynek az adott felhasználó tagja. Ha létre kell hoznia egy csoportot, olvassa el a Csoport létrehozása és tagok hozzáadása a Microsoft Entra-azonosítóban című témakört.

A megfelelő érdekelt felek bevonása

Ha a technológiai projektek meghiúsulnak, általában a hatásokkal, az eredményekkel és a felelősségekkel kapcsolatos eltérő elvárások miatt teszik ezt. Ezeknek a buktatóknak a elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelt feleket veszi fel, és hogy a projektben szereplő érdekelt szerepkörök jól érthetők legyenek az érdekelt felek dokumentálásával, a projektbemenetükkel és az elszámoltathatósággal.

Változás közlése

A kommunikáció kritikus fontosságú az új funkciók sikeressége szempontjából. Proaktív módon kell kommunikálnia a felhasználókkal a felhasználói élmény változásairól, a változásokról, valamint arról, hogy hogyan kérhet támogatást, ha problémákat tapasztalnak.

1. lépés: Meglévő jelentések áttekintése

A kockázatalapú feltételes hozzáférési szabályzatok üzembe helyezése előtt fontos áttekinteni az ID Protection-jelentéseket . Ez a felülvizsgálat lehetőséget ad a meglévő gyanús viselkedés kivizsgálására. Dönthet úgy, hogy elveti a kockázatot, vagy ha megállapítja, hogy nincsenek veszélyben, akkor ezek a felhasználók biztonságban vannak.

• Kockázatészlelések vizsgálata
• Kockázatok orvoslása és a felhasználók tiltásának feloldása
• Tömeges módosítások végrehajtása a Microsoft Graph PowerShell használatával

A hatékonyság érdekében javasoljuk, hogy a 3. lépésben tárgyalt szabályzatok segítségével a felhasználók önműködően végezzenek javítást.

2. lépés: Feltételes hozzáférési kockázati szabályzatok tervezése

Az ID Protection kockázati jelzéseket küld a feltételes hozzáférésnek, hogy döntéseket hozhassanak és szervezeti szabályzatokat kényszeríthessenek ki. Ezek a szabályzatok többtényezős hitelesítést vagy biztonságos jelszómódosítást igényelhetnek. A szabályzatok létrehozása előtt a szervezeteknek számos elemet kell megtervezniük.

Szabályzatkizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

• Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
  • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
• Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
  • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését.

Többtényezős hitelesítés

Ahhoz azonban, hogy a felhasználók önállóan elhárítsa a kockázatokat, regisztrálniuk kell a Microsoft Entra többtényezős hitelesítésre, mielőtt kockázatossá válnának. További információt a Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése című cikkben talál.

Ismert hálózati helyek

Fontos, hogy névvel ellátott helyeket konfiguráljon a feltételes hozzáférésben, és adja hozzá a VPN-tartományokat Felhőhöz készült Defender Alkalmazásokhoz. A megbízhatóként vagy ismertként megjelölt nevesített helyekről érkező bejelentkezések javítják az ID Protection kockázatszámításainak pontosságát. Ezek a bejelentkezések csökkentik a felhasználók kockázatát, ha megbízhatóként vagy ismertként megjelölt helyről hitelesítik magukat. Ez a gyakorlat csökkenti a környezet bizonyos észlelései esetén a hamis pozitív értékeket.

Csak jelentés mód

A csak jelentéskészítési mód egy feltételes hozzáférési szabályzat állapota, amely lehetővé teszi a rendszergazdák számára, hogy kiértékeljék a feltételes hozzáférési szabályzatok hatását, mielőtt kényszerítenék őket a környezetükben.

3. lépés: A szabályzatok konfigurálása

ID Protection MFA regisztrációs szabályzat

Az ID Protection többtényezős hitelesítési regisztrációs szabályzatával a felhasználók regisztrálva lesznek a Microsoft Entra többtényezős hitelesítéshez, mielőtt használniuk kellene őket. Kövesse a cikk lépéseit: A Microsoft Entra többtényezős hitelesítés regisztrációs szabályzatának konfigurálása a szabályzat engedélyezéséhez.

Feltételes hozzáférési szabályzatok

Bejelentkezési kockázat – A felhasználók többsége normál viselkedéssel rendelkezik, amely nyomon követhető, ha nem ettől a normától esik, kockázatos lehet, ha csak be kell jelentkeznie. Előfordulhat, hogy letiltja a felhasználót, vagy többtényezős hitelesítést szeretne kérni, hogy bebizonyítsa, valóban azok, akiknek mondják magukat. Először ezeket a szabályzatokat a felhasználók egy részhalmazára kell hatókörölnie.

Felhasználói kockázat – A Microsoft együttműködik a kutatókkal, a bűnüldözéssel, a Microsoft különböző biztonsági csapataival és más megbízható forrásokkal a kiszivárgott felhasználónév- és jelszópárok megtalálásához. A sebezhető felhasználók észlelésekor javasoljuk, hogy a felhasználók többtényezős hitelesítést végezzenek el, majd állítsa alaphelyzetbe a jelszavukat.

A kockázatszabályzatok konfigurálása és engedélyezése című cikk útmutatást nyújt a kockázatkezeléshez szükséges feltételes hozzáférési szabályzatok létrehozásához.

4. lépés: Monitorozási és folyamatos üzemeltetési igények

E-mail-értesítések

Engedélyezze az értesítéseket , hogy válaszolhasson, ha egy felhasználót veszélynek jelölnek meg. Ezek az értesítések lehetővé teszik a vizsgálat azonnali megkezdését. Heti kivonatoló e-maileket is beállíthat, amelyek áttekintést adnak az adott hét kockázatáról.

Monitorozás és vizsgálat

A kockázatalapú hozzáférési szabályzatok hatáselemzése munkafüzet segít a rendszergazdáknak megérteni a felhasználók hatását a kockázatalapú feltételes hozzáférési szabályzatok létrehozása előtt.

Az ID Protection-munkafüzet segíthet a bérlői minták figyelésében és keresésében. Figyelje meg ezt a munkafüzetet a trendek és a Csak feltételes hozzáférés jelentés mód eredményeinek figyelése érdekében, hogy vannak-e olyan módosítások, amelyeket módosítani kell, például a névvel ellátott helyeken.

Felhőhöz készült Microsoft Defender Alkalmazások egy olyan vizsgálati keretrendszert biztosít, amelyet a szervezetek kiindulópontként használhatnak. További információkért tekintse meg az anomáliadetektálási riasztások kivizsgálását ismertető cikket.

Az ID Protection API-k használatával más eszközökre is exportálhatja a kockázati információkat , így a biztonsági csapat figyelheti és riasztást készíthet a kockázati eseményekről.

A tesztelés során érdemes lehet szimulálni néhány fenyegetést a vizsgálati folyamatok teszteléséhez.

Következő lépések

Mit jelent a kockázat?