Identitás- és hozzáférés-kezelési alapkonfiguráció létrehozása

  • 5 perc

Az identitás- és hozzáférés-kezelés (IAM) kulcsfontosságú a hozzáférés biztosításához és a vállalati eszközök biztonságának javításához. A felhőalapú eszközök védelméhez és szabályozásához kezelnie kell az Azure-rendszergazdák, alkalmazásfejlesztők és -felhasználók identitásait és hozzáférését.

IAM biztonsági javaslatok

A következő szakaszok ismertetik a CIS Microsoft Azure Foundations Security Benchmark 1.3.0-s verzióban szereplő IAM-javaslatokat. Az egyes javaslatok az Azure Portalon elvégezhető alapvető lépések. Ezeket a lépéseket saját előfizetéséhez és saját erőforrásaival kell elvégeznie az egyes biztonsági javaslatok érvényesítéséhez. Ne feledje, hogy a 2 . szint beállításai korlátozhatják bizonyos funkciókat vagy tevékenységeket, ezért gondosan gondolja át, hogy mely biztonsági beállításokat kívánja érvényesíteni.

Fontos

Néhány lépés végrehajtásához a Microsoft Entra-példány rendszergazdájának kell lennie.

A Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása – 1. szint

Azok a felhasználók, akik nem rendszergazdák, nem férhetnek hozzá a Microsoft Entra felügyeleti portálhoz, mert az adatok bizalmasak, és a minimális jogosultsági szabályok szerint vannak érvényben.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés területén válassza a Felhasználók lehetőséget.

  3. A bal oldali menüben válassza a Felhasználói beállítások lehetőséget.

  4. A Felhasználói beállítások területen, a Rendszergazda istration portálon győződjön meg arról, hogy a Microsoft Entra felügyeleti portálhoz való hozzáférés korlátozása igen értékre van állítva. Ha ezt az értéket Igen értékre állítja, minden nem rendszergazda nem fér hozzá az adatokhoz a Microsoft Entra felügyeleti portálján. A beállítás nem korlátozza a Hozzáférést a PowerShell vagy más ügyfél, például a Visual Studio használatához.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Többtényezős hitelesítés engedélyezése Microsoft Entra-felhasználók számára

  • Többtényezős hitelesítés engedélyezése a Microsoft Entra ID kiemelt felhasználói számára – 1. szint
  • Többtényezős hitelesítés engedélyezése a Microsoft Entra nem kiemelt felhasználói számára – 2. szint

Engedélyezze a többtényezős hitelesítést az összes Microsoft Entra-felhasználó számára.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés területén válassza a Felhasználók lehetőséget.

  3. A Minden felhasználó menüsávon válassza a Felhasználónkénti MFA lehetőséget.

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. A többtényezős hitelesítési ablakban győződjön meg arról, hogy a többtényezős hitelesítés állapota engedélyezve van az összes felhasználó számára. A többtényezős hitelesítés engedélyezéséhez válasszon ki egy felhasználót. A gyors lépések alatt válassza a Többtényezős hitelesítés engedélyezése lehetőséget>.

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

Ne emlékezzen a többtényezős hitelesítésre megbízható eszközökön – 2. szint

A felhasználó által megbízható eszközök és böngészők többtényezős hitelesítési funkciójának megjegyzése ingyenes funkció minden többtényezős hitelesítést használó felhasználó számára. A felhasználók többtényezős hitelesítéssel megkerülhetik a további ellenőrzéseket egy adott számú napig, miután sikeresen bejelentkeztek egy eszközre.

Ha egy fiók vagy eszköz biztonsága sérül, a megbízható eszközök többtényezős hitelesítésének megjegyzése negatívan befolyásolhatja a biztonságot. Biztonsági javaslat, hogy kapcsolja ki a megbízható eszközök többtényezős hitelesítésének megjegyzését.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés területén válassza a Felhasználók lehetőséget.

  3. A Minden felhasználó menüsávon válassza a Felhasználónkénti MFA lehetőséget.

  4. A többtényezős hitelesítési ablakban válasszon ki egy felhasználót. A gyors lépések alatt válassza a Felhasználói beállítások kezelése lehetőséget.

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. Jelölje be a Többtényezős hitelesítés visszaállítása az összes megjegyezett eszközön jelölőnégyzetet, majd válassza a Mentés lehetőséget.

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

Nem vagy korlátozott hozzáférésű vendégfelhasználók – 1. szint

Győződjön meg arról, hogy nincsenek vendégfelhasználók, vagy ha a vállalat vendégfelhasználókat igényel, győződjön meg arról, hogy a vendégengedélyek korlátozottak.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés területén válassza a Felhasználók lehetőséget.

  3. Válassza a Szűrők hozzáadása gombot.

  4. Szűrők esetén válassza a Felhasználó típusa lehetőséget. Az Érték mezőben válassza a Vendég lehetőséget. Az Alkalmaz gombra kattintva ellenőrizheti, hogy nincsenek-e vendégfelhasználók.

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Jelszóbeállítások

  • Értesítse a felhasználókat új jelszó kérésekor – 1. szint
  • Minden rendszergazda kapjon értesítést, ha más rendszergazdák új jelszót kérnek – 2. szint
  • Két módszer megkövetelése új jelszó kéréséhez – 1. szint

A többtényezős hitelesítés beállítása esetén a támadónak mindkét identitáshitelesítési űrlapot meg kell támadnia, mielőtt rosszindulatúan visszaállíthatná a felhasználó jelszavát. Győződjön meg arról, hogy a jelszó-visszaállításhoz két identitáshitelesítési forma szükséges.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés területén válassza a Felhasználók lehetőséget.

  3. A bal oldali menüben válassza a Jelszó alaphelyzetbe állítása lehetőséget.

  4. A Bal oldali menü Kezelés területén válassza a Hitelesítési módszerek lehetőséget.

  5. Állítsa Az új jelszó kéréséhez szükséges módszerek számát2-re.

  6. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

Időköz beállítása a felhasználói hitelesítés ismételt megerősítésének módszeréhez – 1. szint

Ha a hitelesítés újramegerősítése ki van kapcsolva, a regisztrált felhasználók nem kérik a hitelesítési adataik ismételt megerősítését. A biztonságosabb megoldás az, ha bekapcsolja a hitelesítési újraerősítést egy megadott időközhöz.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés területén válassza a Felhasználók lehetőséget.

  3. A bal oldali menüablakban válassza a Jelszó alaphelyzetbe állítása lehetőséget.

  4. A Bal oldali menü Kezelés területén válassza a Regisztráció lehetőséget.

  5. Győződjön meg arról, hogy a felhasználók hitelesítési adatainakújbóli megerősítésére vonatkozó kérések száma nem0. Az alapértelmezett érték 180.

  6. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

Vendégmeghívó beállítása – 2. szint

Csak a rendszergazdák hívhatnak meg vendégfelhasználókat. A rendszergazdák meghívásainak korlátozása biztosítja, hogy csak a jogosult fiókok férhessenek hozzá az Azure-erőforrásokhoz.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés területén válassza a Felhasználók lehetőséget.

  3. A bal oldali menüben válassza a Felhasználói beállítások lehetőséget.

  4. A Felhasználói beállítások panel Külső felhasználók csoportjában válassza a Külső együttműködési beállítások kezelése lehetőséget.

  5. A külső együttműködési beállításokban a Vendégmeghívási beállítások területen válassza a Csak a megadott rendszergazdai szerepkörökhöz hozzárendelt felhasználók meghívhatnak vendégfelhasználókat.

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

A felhasználók biztonsági csoportokat hozhatnak létre és kezelhetnek – 2. szint

Ha ez a funkció engedélyezve van, a Microsoft Entra-azonosító összes felhasználója létrehozhat új biztonsági csoportokat. A biztonsági csoportok létrehozását a rendszergazdákra kell korlátozni.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés csoportjában válassza a Csoportok lehetőséget.

  3. A Minden csoport panel bal oldali menüjének Gépház alatt válassza az Általános lehetőséget.

  4. Biztonsági csoportok esetén győződjön meg arról, hogy a felhasználók biztonsági csoportokat hozhatnak létre az Azure Portalon, az API-ban vagy a PowerShellben a Nem értékre van állítva.

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Önkiszolgáló csoportkezelés engedélyezése – 2. szint

Hacsak a vállalata nem igényli az önkiszolgáló csoportkezelés különböző felhasználókra történő delegálását, biztonsági javaslat a funkció letiltása.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés csoportjában válassza a Csoportok lehetőséget.

  3. A Minden csoport panel bal oldali menüjének Gépház alatt válassza az Általános lehetőséget.

  4. Az Önkiszolgáló csoportkezelés területen győződjön meg arról, hogy az összes beállítás nem értékre van állítva.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot that shows Microsoft Entra self-service group options set to No.

Alkalmazásbeállítások – A felhasználók regisztrálhatnak alkalmazásokat – 2. szint

Csak a rendszergazdák regisztrálhassanak egyéni alkalmazásokat.

  1. Jelentkezzen be az Azure Portalra. Keresse meg és válassza ki a Microsoft Entra ID.

  2. A Bal oldali menü Kezelés területén válassza a Felhasználók lehetőséget.

  3. A bal oldali menüben válassza a Felhasználói beállítások lehetőséget.

  4. A Felhasználói beállítások panelen győződjön meg arról, hogy a Alkalmazásregisztrációk nem értékre van állítva.

  5. Ha módosítja a beállításokat, a menüsávon válassza a Mentés lehetőséget.

Screenshot that shows Microsoft Entra users with app registrations set to No.