2. lépés: A Microsoft 365 emelt szintű fiókjai védelme

  • Cikk

Ez a cikk Microsoft 365 Nagyvállalati verzió és Office 365 Nagyvállalati verzió egyaránt vonatkozik.

Tekintse meg a Kisvállalati & című kisvállalati tartalmakat.

A Microsoft 365-bérlők biztonsági megsértései, beleértve az információgyűjtést és az adathalászati támadásokat, általában a Microsoft 365 emelt szintű fiók hitelesítő adatainak megsértésével történik. A felhőbeli biztonság az Ön és a Microsoft közötti partnerség:

  • A Microsoft felhőszolgáltatásai a bizalom és a biztonság alapjaira épülnek. A Microsoft biztonsági vezérlőket és képességeket biztosít az adatok és alkalmazások védelméhez.

  • Az adatok és identitások tulajdonosa, valamint az ezek védelméért, a helyszíni erőforrások biztonságáért és az Ön által felügyelt felhőösszetevők biztonságáért való felelősség.

A Microsoft olyan képességeket biztosít, amelyek segítenek a szervezet védelmében, de csak akkor hatékonyak, ha Ön használja őket. Ha nem használja őket, lehet, hogy sebezhető a támadás. A kiemelt jogosultságú fiókok védelme érdekében a Microsoft a következő részletes útmutatásokkal segíti Önt:

  1. Dedikált, emelt szintű, felhőalapú fiókokat hozhat létre, és csak szükség esetén használhatja őket.

  2. Konfigurálja a többtényezős hitelesítést (MFA) a dedikált Microsoft 365 emelt szintű fiókokhoz, és használja a másodlagos hitelesítés legerősebb formáját.

  3. A kiemelt jogosultságú fiókok védelme Teljes felügyelet identitással és eszközhozzáféréssel kapcsolatos javaslatokkal.

Megjegyzés:

A kiemelt szerepkörök védelméhez tekintse meg az Ajánlott eljárások Microsoft Entra szerepkörökhöz a bérlőhöz való emelt szintű hozzáférés biztonságossá tételéhez című témakört.

1. Hozzon létre dedikált, emelt szintű, felhőalapú felhasználói fiókokat, és csak szükség esetén használja őket

Ahelyett, hogy mindennapos, rendszergazdai szerepkörökkel rendelkező felhasználói fiókokat használ, hozzon létre dedikált felhasználói fiókokat, amelyek rendszergazdai szerepkörrel rendelkeznek a Microsoft Entra ID.

Ettől a pillanattól kezdve csak a rendszergazdai jogosultságokat igénylő feladatokhoz jelentkezik be a dedikált emelt szintű fiókokkal. A Microsoft 365 minden más felügyeletét úgy kell elvégezni, hogy más felügyeleti szerepköröket rendel hozzá a felhasználói fiókokhoz.

Megjegyzés:

Ehhez további lépésekre van szükség ahhoz, hogy mindennapos felhasználói fiókként jelentkezzen ki, és egy dedikált rendszergazdai fiókkal jelentkezzen be. Ezt azonban csak alkalmanként kell elvégezni a rendszergazdai műveletekhez. Vegye figyelembe, hogy a Microsoft 365-előfizetés helyreállítása a rendszergazdai fiók megsértése után sokkal több lépést igényel.

Vészhelyzeti hozzáférési fiókokat is létre kell hoznia, hogy ne lehessen véletlenül kizárni Microsoft Entra ID.

A rendszergazdai szerepkörök igény szerinti, igény szerinti hozzárendeléséhez további védelmet biztosíthat emelt szintű fiókjai számára a Microsoft Entra Privileged Identity Management (PIM) használatával.

2. Többtényezős hitelesítés konfigurálása dedikált Microsoft 365 emelt szintű fiókokhoz

A többtényezős hitelesítéshez (MFA) a fiók nevén és jelszaván kívül további információkra van szükség. A Microsoft 365 a következő kiegészítő ellenőrzési módszereket támogatja:

  • A Microsoft Authenticator alkalmazás
  • Telefonhívás
  • Egy szöveges üzenetben küldött, véletlenszerűen generált ellenőrző kód
  • Intelligens kártya (virtuális vagy fizikai) (összevont hitelesítést igényel)
  • Biometrikus eszköz
  • Oauth-jogkivonat

Megjegyzés:

Azoknak a szervezeteknek, amelyeknek meg kell felelnie a Nemzeti Szabványügyi és Technológiai Intézet (NIST) szabványainak, korlátozva van a telefonhívások vagy sms-alapú további ellenőrzési módszerek használata. A részletekért kattintson ide .

Ha Ön egy olyan kisvállalkozás, amely csak a felhőben tárolt felhasználói fiókokat használja (a csak felhőalapú identitásmodellt), állítsa be az MFA-t úgy, hogy az MFA-t telefonhívással vagy sms-beli ellenőrző kóddal konfigurálja az egyes dedikált emelt szintű fiókokhoz egy okostelefonra.

Ha Ön egy nagyobb szervezet, amely Microsoft 365 hibrid identitásmodellt használ, több ellenőrzési lehetőség közül választhat. Ha már rendelkezik a biztonsági infrastruktúrával egy erősebb másodlagos hitelesítési módszerhez, állítsa be az MFA-t , és konfigurálja az egyes dedikált emelt szintű fiókokat a megfelelő ellenőrzési módszerhez.

Ha a kívánt erősebb ellenőrzési módszer biztonsági infrastruktúrája nem működik a Microsoft 365 MFA-hoz, javasoljuk, hogy ideiglenes biztonsági intézkedésként konfiguráljon dedikált emelt szintű fiókokat az MFA-val a Microsoft Authenticator alkalmazással, telefonhívással vagy sms-beli ellenőrző kóddal, amelyet az emelt szintű fiókokhoz egy okostelefonra küldtek. Ne hagyja el a dedikált kiemelt fiókokat az MFA által biztosított további védelem nélkül.

További információ: Microsoft 365 MFA.

3. A rendszergazdai fiókok védelme Teljes felügyelet identitással és eszközhozzáféréssel kapcsolatos javaslatokkal

A biztonságos és hatékony munkaerő biztosítása érdekében a Microsoft javaslatokat tesz az identitáshoz és az eszközökhöz való hozzáféréshez. Identitáshoz használja az alábbi cikkekben található javaslatokat és beállításokat:

További védelem vállalati szervezetek számára

Ezekkel a további módszerekkel biztosíthatja, hogy a kiemelt fiók és a használatával végrehajtott konfiguráció a lehető legbiztonságosabb legyen.

Emelt szintű hozzáférésű munkaállomás

Annak érdekében, hogy a kiemelt jogosultságú feladatok végrehajtása a lehető legbiztonságosabb legyen, használjon emelt szintű hozzáférésű munkaállomást (PAW). Az emelt hozzáférési szintű munkaállomás egy dedikált számítógép, amelyet csak bizalmas konfigurációs feladatokhoz használnak, például olyan Microsoft 365-konfigurációkhoz, amelyek kiemelt fiókot igényelnek. Mivel ezt a számítógépet nem használják naponta internetes böngészéshez vagy e-mailezéshez, jobban védve van az internetes támadásoktól és fenyegetésektől.

Az emelt hozzáférési szintű munkaállomás beállításával kapcsolatos utasításokért lásd: Eszközök biztonságossá tétele a kiemelt hozzáférési történet részeként.

Ha engedélyezni szeretné az Azure PIM-et a Microsoft Entra bérlői és rendszergazdai fiókjaihoz, tekintse meg a PIM konfigurálásának lépéseit.

A kibertámadások elleni emelt szintű hozzáférés biztonságossá tételét célzó átfogó ütemterv kidolgozásához lásd: Emelt szintű hozzáférés biztosítása hibrid és felhőalapú környezetekhez Microsoft Entra ID.

Privileged Identity Management

Ahelyett, hogy a kiemelt fiókokat véglegesen rendszergazdai szerepkörhöz rendeli, a PIM használatával igény szerinti, igény szerinti hozzárendelést is engedélyezhet a rendszergazdai szerepkörhöz, amikor szükség van rá.

A rendszergazdai fiókok állandó rendszergazdáktól a jogosult rendszergazdákig lépnek át. A rendszergazdai szerepkör inaktív, amíg valakinek szüksége nem lesz rá. Ezután végrehajt egy aktiválási folyamatot, amely előre meghatározott ideig hozzáadja a rendszergazdai szerepkört az emelt szintű fiókhoz. Az idő lejártakor a PIM eltávolítja a rendszergazdai szerepkört a kiemelt fiókból.

A PIM és ez a folyamat jelentősen csökkenti azt az időt, amellyel az emelt szintű fiókok sebezhetőek a rosszindulatú felhasználók támadásával és használatával szemben.

A funkció használatához Microsoft Entra ID-kezelés vagy Microsoft Entra ID P2-előfizetés szükséges. A követelményeknek megfelelő licenc megkereséséhez lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

További információ a felhasználók licenceiről: Licenckövetelmények a Privileged Identity Management használatához.

További információ:

Privileged Access Management

Az emelt szintű hozzáférés-kezelés olyan szabályzatok konfigurálásával engedélyezve van, amelyek igény szerinti hozzáférést adnak a bérlő feladatalapú tevékenységeihez. Segít megvédeni a szervezetet azokkal a biztonsági incidensekkel szemben, amelyek bizalmas adatokhoz vagy kritikus konfigurációs beállításokhoz való folyamatos hozzáféréssel rendelkező, meglévő kiemelt rendszergazdai fiókokat használhatnak. Konfigurálhat például egy emelt szintű hozzáférés-kezelési házirendet, amely explicit jóváhagyást igényel a bérlő szervezeti postaláda-beállításainak eléréséhez és módosításához.

Ebben a lépésben engedélyezi az emelt szintű hozzáférés-kezelést a bérlőben, és olyan emelt szintű hozzáférési szabályzatokat konfigurál, amelyek extra biztonságot nyújtanak a szervezet adataihoz és konfigurációs beállításaihoz való feladatalapú hozzáféréshez. Az emelt szintű hozzáférés használatának megkezdéséhez három alapvető lépés áll rendelkezésre a szervezetben:

  • Jóváhagyó csoport létrehozása
  • Emelt szintű hozzáférés engedélyezése
  • Jóváhagyási szabályzatok létrehozása

Az emelt szintű hozzáférés-kezelés lehetővé teszi a szervezet számára, hogy nulla állandó jogosultságokkal működjön, és védelmet nyújtson az ilyen folyamatos rendszergazdai hozzáférés miatt felmerülő biztonsági résekkel szemben. Az emelt szintű hozzáféréshez jóváhagyás szükséges minden olyan feladat végrehajtásához, amely rendelkezik meghatározott jóváhagyási szabályzattal. A jóváhagyási szabályzatban szereplő feladatok végrehajtására szoruló felhasználóknak hozzáférési jóváhagyást kell kérni és megkapni.

Az emelt szintű hozzáférés-kezelés engedélyezéséhez lásd: Első lépések a emelt szintű hozzáférés-kezeléssel.

További információ: Tudnivalók a kiemelt hozzáférések kezeléséről.

Biztonsági információs és eseménykezelő (SIEM) szoftver a Microsoft 365 naplózásához

A kiszolgálón futó SIEM-szoftverek valós idejű elemzést végeznek az alkalmazások és a hálózati hardverek által létrehozott biztonsági riasztásokról és eseményekről. Ha lehetővé szeretné tenni, hogy a SIEM-kiszolgáló a Microsoft 365 biztonsági riasztásait és eseményeit belefoglalja az elemzési és jelentéskészítési funkcióiba, integrálja a Microsoft Entra ID a SEIM-be. Lásd: A Azure Log Integration bemutatása.

További lépés

A Microsoft 365-ös felhasználói fiókok védelme

A felhasználói fiókok védelméhez folytassa a 3. lépéssel .