Biztonsági gyors modernizációs terv
Ez a gyors modernizációs terv (RAMP) segítségével gyorsan elfogadhatja a Microsoft ajánlott emelt szintű hozzáférési stratégiáját.
Ez az ütemterv a kiemelt hozzáférésű hozzáférés üzembe helyezési útmutatójában meghatározott műszaki vezérlőkre épül. Hajtsa végre ezeket a lépéseket, majd az ebben a RAMP-ben található lépésekkel konfigurálja a szervezet vezérlőinek beállításait.
Feljegyzés
Ezen lépések közül sok zöld/barnamezős dinamikus lesz, mivel a szervezetek gyakran biztonsági kockázatokkal járnak a már üzembe helyezett vagy konfigurált fiókokhoz hasonlóan. Ez az ütemterv először az új biztonsági kockázatok felhalmozódásának leállítását helyezi előtérbe, majd később törli a már felhalmozott elemeket.
Az ütemterv előrehaladása során a Microsoft Biztonságos pontszám használatával nyomon követheti és összehasonlíthatja az út számos elemét a hasonló szervezetekben lévő másokkal. További információ a Microsoft biztonságos pontszámáról a Biztonságos pontszám áttekintése című cikkben.
A RAMP minden eleme kezdeményezésként van felépítve, amelyet a célkitűzésekre és a fő eredményekre (OKR) épülő formátummal követünk nyomon és kezelünk. Minden elem tartalmazza, hogy mit (célkitűzés), miért, ki, hogyan és hogyan kell mérni (fő eredmények). Egyes elemekhez változásokra van szükség a folyamatokban és az emberek tudásában vagy készségeiben, míg mások egyszerűbb technológiai változások. Ezen kezdeményezések közül sok olyan tagot is bevon a hagyományos informatikai részlegen kívülre, amelyeknek szerepelniük kell a módosítások döntéshozatalában és végrehajtásában, hogy azok sikeresen integrálva legyenek a szervezetbe.
Kritikus fontosságú, hogy szervezetként működjön együtt, partnerségeket hozzon létre, és olyan embereket tanítsunk, akik hagyományosan nem részei ennek a folyamatnak. Kritikus fontosságú a bevásárlás létrehozása és fenntartása a szervezetben anélkül, hogy sok projekt meghiúsul.
Kiemelt fiókok elkülönítése és kezelése
Vészhelyzeti hozzáférési fiókok
- Mi a teendő: Győződjön meg arról, hogy vészhelyzet esetén nem zárják ki véletlenül a Microsoft Entra-szervezetből.
- Miért: A vészhelyzeti hozzáférési fiókokat ritkán használják, és súlyosan károsak a szervezet számára, ha veszélybe kerülnek, de a szervezethez való hozzáférésük is kritikus fontosságú a szükséges helyzetekben. Győződjön meg arról, hogy rendelkezik a hozzáférés folytonosságára vonatkozó tervvel, amely a várt és a váratlan eseményeket is kielégíti.
- Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
- Útmutató: Kövesse a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című témakör útmutatását.
- Mértékkulcs eredményei:
- A létrehozott vészhelyzeti hozzáférési folyamat a Microsoft útmutatása alapján lett kialakítva, amely megfelel a vállalati igényeknek
- A fenntartott vészhelyzeti hozzáférést az elmúlt 90 napban felülvizsgálták és tesztelték
A Microsoft Entra Privileged Identity Management engedélyezése
- Mi a teendő: A Microsoft Entra Privileged Identity Management (PIM) használata a Microsoft Entra éles környezetben a kiemelt fiókok felderítéséhez és védelméhez
- Miért: A Privileged Identity Management időalapú és jóváhagyásalapú szerepkör-aktiválást biztosít a túlzott, szükségtelen vagy helytelen hozzáférési engedélyek kockázatának csökkentése érdekében.
- Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
- Hogyan: A Microsoft Entra Privileged Identity Management üzembe helyezése és konfigurálása a Microsoft Entra Privileged Identity Management (PIM) üzembe helyezéséről szóló cikkben található útmutatás alapján.
- A kulcs eredményeinek mérése: Az alkalmazható emelt szintű hozzáférési szerepkörök 100%-a a Microsoft Entra PIM-et használja
Kiemelt fiókok azonosítása és kategorizálása (Microsoft Entra-azonosító)
Mi a teendő: Azonosítsa a magas üzleti hatással rendelkező szerepköröket és csoportokat, amelyek emelt szintű biztonsági szintet igényelnek (azonnal vagy idővel). Ezek a rendszergazdák külön fiókokat igényelnek egy későbbi lépésben , a Privileged Access felügyeletében.
Miért: Ez a lépés szükséges a különálló fiókokat és kiemelt hozzáférés-védelmet igénylő személyek számának azonosításához és minimalizálásához.
Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
Hogyan: A Microsoft Entra Privileged Identity Management bekapcsolása után a szervezet kockázati szabályzatai alapján legalább az alábbi Microsoft Entra-szerepkörökben lévő felhasználókat tekintheti meg:
- Globális rendszergazda
- Kiemelt szerepkörű rendszergazda
- Exchange-rendszergazda
- SharePoint Rendszergazda istrator
A rendszergazdai szerepkörök teljes listáját a Microsoft Entra ID Rendszergazda istrator szerepkör-engedélyeivel kapcsolatban találja.
Távolítsa el azokat a fiókokat, amelyekre már nincs szükség ezekben a szerepkörökben. Ezután kategorizálja a rendszergazdai szerepkörökhöz rendelt többi fiókot:
- Rendszergazda felhasználókhoz rendelve, de nem rendszergazdai hatékonysági célokra is használható, például az e-mailek olvasására és megválaszolására.
- Rendszergazdai felhasználókhoz rendelve, és csak rendszergazdai célokra használatos
- Több felhasználó között megosztva
- Üvegtöréses vészhelyzeti hozzáférési forgatókönyvek esetén
- Automatizált szkriptek esetén
- Külső felhasználók számára
Ha nem rendelkezik Microsoft Entra Privileged Identity Managementtel a szervezetében, használhatja a PowerShell API-t. Kezdje a globális Rendszergazda istrator szerepkörrel, mert ugyanazokkal az engedélyekkel rendelkezik minden olyan felhőszolgáltatásban, amelyre a szervezet előfizetett. Ezek az engedélyek a hozzárendelés helyétől függetlenül meg vannak adva: a Microsoft 365 Felügyeleti központ, az Azure Portalon vagy a Microsoft PowerShell Azure AD-moduljában.
- Mértékkulcs eredményei: A kiemelt hozzáférési szerepkörök áttekintése és azonosítása az elmúlt 90 napban befejeződött
Különálló fiókok (helyszíni AD-fiókok)
Mi a teendő: Biztonságossá teheti a helyszíni kiemelt rendszergazdai fiókokat, ha még nem tette meg. Ez a szakasz a következőket tartalmazza:
- Külön rendszergazdai fiókok létrehozása azon felhasználók számára, akiknek helyszíni felügyeleti feladatokat kell végezni
- Privileged Access-munkaállomások üzembe helyezése Active Directory-rendszergazdák számára
- Egyedi helyi rendszergazdai jelszavak létrehozása munkaállomásokhoz és kiszolgálókhoz
Miért: A felügyeleti feladatokhoz használt fiókok megkeményítése. A rendszergazdai fiókokban le kell tiltani az e-maileket, és nem szabad személyes Microsoft-fiókokat engedélyezni.
Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
Útmutató: Minden rendszergazdai jogosultsággal rendelkező személynek külön fiókkal kell rendelkeznie a felhasználói fiókoktól eltérő felügyeleti funkciókhoz. Ne ossza meg ezeket a fiókokat a felhasználók között.
- Általános jogú felhasználói fiókok – Általános jogosultságokkal a szokásos felhasználói feladatok ellátásához: levelezéshez, internetezéshez és üzleti alkalmazások használatához. Ezek a fiókok nem kapnak rendszergazdai jogosultságokat.
- Rendszergazdai fiókok – Külön fiókokat kell biztosítani azoknak a munkatársaknak, akik megkapták a megfelelő rendszergazdai jogosultságokat.
A fő eredmények mérése: A helyszíni kiemelt felhasználók 100%-a külön dedikált fiókkal rendelkezik
Microsoft Defender for Identity
Mi a teendő: A Microsoft Defender for Identity a helyszíni jeleket a felhőbeli elemzésekkel kombinálva egyszerűbb formában figyeli, védi és vizsgálja meg az eseményeket, így a biztonsági csapatok az identitásinfrastruktúra elleni speciális támadásokat észlelik a következő lehetőségekkel:
- Felhasználók, entitások viselkedésének és tevékenységeinek figyelése tanulásalapú elemzésekkel
- Biztosíthatja az Active Directory-ban tárolt felhasználói azonosítók és hitelesítő adatok védelmét
- Gyanús felhasználói tevékenységek és speciális támadások azonosítása és kivizsgálása az egész gyilkossági láncban
- Világos incidensinformációk biztosítása egyszerű ütemterven a gyors osztályozáshoz
Miért: A modern támadók hosszú ideig észrevétlenek maradhatnak. Sok fenyegetést nehéz megtalálni a teljes identitáskörnyezet összetartó képe nélkül.
Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
Útmutató: A Microsoft Defender for Identity üzembe helyezése és engedélyezése, valamint a nyitott riasztások áttekintése.
Fő eredmények mérése: A megfelelő csapatok által áttekintett és enyhített összes nyitott riasztás.
A hitelesítő adatok kezelésének javítása
Önkiszolgáló jelszó-visszaállítás és kombinált biztonsági adatok regisztrálásának megvalósítása és dokumentálása
- Mi a teendő: Engedélyezze és konfigurálja az önkiszolgáló jelszó-visszaállítást (SSPR) a szervezetben, és engedélyezze a kombinált biztonsági információregisztrációs felületet.
- Miért: A felhasználók a regisztráció után alaphelyzetbe állíthatják a saját jelszavukat. A kombinált biztonsági információregisztrációs felület jobb felhasználói élményt nyújt, amely lehetővé teszi a regisztrációt a Többtényezős Microsoft Entra hitelesítéshez és az önkiszolgáló jelszó-visszaállításhoz. Ezek a közös használatú eszközök hozzájárulnak a segélyszolgálat költségeinek csökkentéséhez és az elégedettebb felhasználókhoz.
- Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
- A központi informatikai üzemeltetési súgófolyamatok frissültek, és a személyzet betanítása megtörtént rajtuk
- Útmutató: Az SSPR engedélyezéséről és üzembe helyezéséről a Microsoft Entra önkiszolgáló jelszóátállítási üzembe helyezésének megtervezése című cikkben olvashat.
- A kulcsok eredményeinek mérése: Az önkiszolgáló jelszó-visszaállítás teljes mértékben konfigurálva van, és elérhető a szervezet számára
Rendszergazdai fiókok védelme – MFA engedélyezése és megkövetelése / Jelszó nélküli a Microsoft Entra ID jogosultsággal rendelkező felhasználók számára
Mi a teendő: A Microsoft Entra-azonosítóban lévő összes kiemelt fiók megkövetelése erős többtényezős hitelesítés használatához
Miért: Az adatokhoz és szolgáltatásokhoz való hozzáférés védelme a Microsoft 365-ben.
Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
- A központi informatikai üzemeltetési súgófolyamatok frissültek, és a személyzet betanítása megtörtént rajtuk
- Frissítettük a központi informatikai üzemeltetési szolgáltatás tulajdonosi folyamatait, és a személyzet betanítása megtörtént rajtuk
Hogyan: Kapcsolja be a Microsoft Entra többtényezős hitelesítést (MFA), és regisztrálja az összes többi magas jogosultságú, egyfelhasználós, nem összevont rendszergazdai fiókot. Többtényezős hitelesítés megkövetelése bejelentkezéskor minden olyan egyéni felhasználó számára, aki egy vagy több Microsoft Entra rendszergazdai szerepkörhöz van véglegesen hozzárendelve.
Megkövetelheti a rendszergazdáktól, hogy jelszó nélküli bejelentkezési módszereket, például FIDO2 biztonsági kulcsokat vagy Vállalati Windows Hello használjanak egyedi, hosszú, összetett jelszavakkal együtt. A módosítás kényszerítése egy szervezeti szabályzat dokumentumával.
Kövesse az alábbi cikkekben található útmutatást, tervezze meg a Microsoft Entra többtényezős hitelesítés üzembe helyezését , és tervezze meg a jelszó nélküli hitelesítés üzembe helyezését a Microsoft Entra ID-ban.
- Kulcseredmények mérése: A kiemelt felhasználók 100%-a jelszó nélküli hitelesítést vagy erős többtényezős hitelesítést használ az összes bejelentkezéshez. A többtényezős hitelesítés leírását lásd: Privileged Access-fiókok
Örökölt hitelesítési protokollok letiltása kiemelt felhasználói fiókok esetén
Mi a teendő: Tiltsa le az örökölt hitelesítési protokoll használatát a kiemelt felhasználói fiókok esetében.
Miért: A szervezeteknek blokkolnia kell ezeket az örökölt hitelesítési protokollokat, mert a többtényezős hitelesítés nem kényszeríthető ellenük. Ha az örökölt hitelesítési protokollok engedélyezve maradnak, belépési pontot hozhat létre a támadók számára. Előfordulhat, hogy egyes régi alkalmazások ezekre a protokollokra támaszkodnak, és a szervezeteknek lehetőségük van adott kivételek létrehozására bizonyos fiókok esetében. Ezeket a kivételeket nyomon kell követni, és további monitorozási vezérlőket kell végrehajtani.
Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- Szabályzat és szabványok: egyértelmű követelmények meghatározása
- Identitás- és kulcskezelés vagy központi it-üzemeltetési központi informatikai műveletek a szabályzat implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
Útmutató: Az örökölt hitelesítési protokollok letiltásához kövesse a Következő cikk útmutatását: Az örökölt hitelesítés letiltása a Microsoft Entra-azonosítóra feltételes hozzáféréssel.
Mértékkulcs eredményei:
- Az örökölt protokollok le vannak tiltva: Minden örökölt protokoll le van tiltva minden felhasználó számára, csak engedélyezett kivételekkel
- A kivételeket 90 naponta felülvizsgálják, és egy éven belül véglegesen lejárnak. Az alkalmazástulajdonosoknak az első kivétel jóváhagyásától számított egy éven belül ki kell javítaniuk az összes kivételt
Alkalmazás-jóváhagyási folyamat
- Mi a teendő: Tiltsa le a végfelhasználói hozzájárulást a Microsoft Entra-alkalmazásokhoz.
Feljegyzés
Ez a módosítás megköveteli a döntéshozatali folyamat központosítását a szervezet biztonsági és identitásfelügyeleti csapataival.
- Miért: A felhasználók véletlenül szervezeti kockázatot hozhatnak létre azáltal, hogy hozzájárulást adnak egy olyan alkalmazáshoz, amely rosszindulatúan hozzáfér a szervezeti adatokhoz.
- Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
- A központi informatikai üzemeltetési súgófolyamatok frissültek, és a személyzet betanítása megtörtént rajtuk
- Frissítettük a központi informatikai üzemeltetési szolgáltatás tulajdonosi folyamatait, és a személyzet betanítása megtörtént rajtuk
- Útmutató: Központosított hozzájárulási folyamat létrehozása az adatokhoz hozzáféréssel rendelkező alkalmazások központosított láthatóságának és ellenőrzésének fenntartásához a cikkben található útmutatást követve, az alkalmazásokhoz való hozzájárulás kezelése és a hozzájárulási kérelmek kiértékelése révén.
- Fő eredmények mérése: A végfelhasználók nem tudnak hozzájárulni a Microsoft Entra-alkalmazások hozzáféréséhez
Fiók- és bejelentkezési kockázatok törlése
- Mi a teendő: Engedélyezze Microsoft Entra ID-védelem, és törölje a talált kockázatokat.
- Miért: A kockázatos felhasználó és a bejelentkezési viselkedés a szervezet elleni támadások forrása lehet.
- Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
- A központi informatikai üzemeltetési ügyfélszolgálati folyamatok frissültek a kapcsolódó támogatási hívásokhoz, és a személyzet betanítása megtörtént rajtuk
- Hogyan: Hozzon létre egy folyamatot, amely figyeli és kezeli a felhasználói és bejelentkezési kockázatokat. Döntse el, hogy automatizálja-e a szervizelést a Microsoft Entra többtényezős hitelesítés és az SSPR használatával, vagy letiltja és rendszergazdai beavatkozást igényel. Kövesse az Útmutató: A kockázati szabályzatok konfigurálása és engedélyezése című cikkben található útmutatást.
- Kulcseredmények mérése: A szervezet nulla nem címzett felhasználóval és bejelentkezési kockázattal rendelkezik.
Feljegyzés
Feltételes hozzáférési szabályzatok szükségesek az új bejelentkezési kockázatok felmerülésének letiltásához. Tekintse meg a Privileged Access üzembe helyezésének feltételes hozzáférési szakaszát
Rendszergazda munkaállomások kezdeti üzembe helyezése
- Mi a teendő: A kiemelt fiókok, például a Microsoft Entra-azonosítót kezelő fiókok dedikált munkaállomásokkal rendelkeznek a felügyeleti feladatok elvégzéséhez.
- Miért: A kiemelt felügyeleti feladatokat ellátó eszközök a támadók célpontjai. A támadási felület csökkentése szempontjából fontos, hogy ne csak a fiók, hanem ezek az eszközök is biztonságossá legyenek. Ez az elkülönítés korlátozza a hatékonysággal kapcsolatos feladatok, például az e-mailek és a webes böngészés gyakori támadásainak való kitettségüket.
- Ki: Ezt a kezdeményezést általában identitás - és kulcskezelési és/vagy biztonsági architektúra vezeti.
- Szponzorálás: Ezt a kezdeményezést általában a CISO, a CIO vagy az identitás igazgatója támogatja
- Végrehajtás: Ez a kezdeményezés egy együttműködési munka, amely magában foglalja a
- A szabályzat- és szabványügyi csapat egyértelmű követelményeket és szabványokat dokumentál (ezen útmutató alapján)
- Identitás- és kulcskezelési vagy központi informatikai műveletek a módosítások implementálásához
- Biztonsági megfelelőség-felügyeleti monitorozás a megfelelőség biztosítása érdekében
- A központi informatikai üzemeltetési súgófolyamatok frissültek, és a személyzet betanítása megtörtént rajtuk
- Frissítettük a központi informatikai üzemeltetési szolgáltatás tulajdonosi folyamatait, és a személyzet betanítása megtörtént rajtuk
- Hogyan: A kezdeti üzembe helyezésnek vállalati szintűnek kell lennie a Privileged Access Deployment című cikkben leírtak szerint
- Kulcseredmények mérése: Minden kiemelt fiók rendelkezik dedikált munkaállomással a bizalmas feladatok elvégzéséhez.
Feljegyzés
Ez a lépés gyorsan létrehozza a biztonsági alapkonfigurációt, és a lehető leghamarabb speciális és emelt szintűre kell növelni.