Защита удостоверений организации с помощью идентификатора Microsoft Entra
Это может показаться сложной попыткой защитить ваших работников в современном мире, особенно когда вы должны быстро реагировать и предоставлять доступ ко многим службам быстро. В этой статье содержится краткий список действий, помогающий выявлять и определять приоритеты функций на основе выбранного типа лицензии.
Идентификатор Microsoft Entra предоставляет множество функций и обеспечивает множество уровней безопасности для удостоверений, переходя к соответствующей функции, иногда может быть подавляющим. Этот документ предназначен для быстрого развертывания служб организациями с безопасными удостоверениями в качестве основного решения.
Каждая таблица предоставляет рекомендации по безопасности для защиты удостоверений от распространенных атак безопасности при минимизации трений пользователей.
Рекомендации помогут:
- Настройка доступа к программному обеспечению как службе (SaaS) и локальным приложениям в безопасном и защищенном режиме
- Облачные и гибридные удостоверения
- Пользователи, работающие удаленно или в офисе
Необходимые условия
В этом руководстве предполагается, что облачные или гибридные удостоверения уже установлены в идентификаторе Microsoft Entra. Дополнительные сведения о выборе типа удостоверения см. в статье " Выбор подходящего метода проверки подлинности (AuthN) для решения гибридного удостоверения Microsoft Entra.
Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям доступа только в облаке. Эти учетные записи имеют высокий уровень привилегий и не назначаются определенным лицам. Учетные записи ограничены сценариями аварийного реагирования или "разбиения", когда обычные учетные записи не могут использоваться или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы после рекомендаций учетной записи аварийного доступа.
Пошаговое руководство
Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см . в руководстве по настройке идентификатора Microsoft Entra при входе в Центр администрирования Microsoft 365. Чтобы просмотреть рекомендации без входа и активации функций автоматической установки, перейдите на портал установки Microsoft 365.
Руководство для клиентов Microsoft Entra ID free, Office 365 или Microsoft 365
Существует множество рекомендаций, которые пользователи приложений Microsoft Entra ID free, Office 365 или Microsoft 365 должны принимать для защиты удостоверений пользователей. Следующая таблица предназначена для выделения ключевых действий для следующих подписок лицензий:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (бизнес базовый, приложения для бизнеса, бизнес стандартный, бизнес премиум, A1)
- Бесплатный идентификатор Microsoft Entra (включен в Azure, Dynamics 365, Intune и Power Platform)
| Рекомендуемое действие | Подробность |
|---|---|
| Включение значений по умолчанию для безопасности | Защита всех удостоверений пользователей и приложений путем включения многофакторной проверки подлинности и блокировки устаревшей проверки подлинности. |
| Включение синхронизации хэша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая Smart Lockout, IP-блокировку и возможность обнаружения утечки учетных данных). |
| Включение интеллектуальной блокировки AD FS (если применимо) | Защищает пользователей от блокировки учетной записи экстрасети от вредоносных действий. |
| Включение интеллектуальной блокировки Microsoft Entra (при использовании управляемых удостоверений) | Смарт-блокировка помогает заблокировать плохих актеров, которые пытаются угадать пароли ваших пользователей или использовать методы подбора для входа. |
| Отключение согласия конечных пользователей для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить будущие операции предоставления согласия пользователей, чтобы уменьшить область поверхности и снизить этот риск. |
| Интеграция поддерживаемых приложений SaaS из коллекции в идентификатор Microsoft Entra ID и включение единого входа (SSO) | Идентификатор Microsoft Entra имеет коллекцию, содержащую тысячи предварительно подготовленных приложений. Некоторые приложения, которые используются вашей организацией, вероятно, доступны непосредственно из портал Azure. Предоставление доступа к корпоративным приложениям SaaS удаленно и безопасно с улучшенным взаимодействием с пользователем (единый вход)). |
| Автоматизация подготовки пользователей и отмена подготовки пользователей из приложений SaaS (если применимо) | Автоматическое создание удостоверений пользователей и ролей в облачных приложениях SaaS, к которым пользователям требуется доступ. Помимо создания удостоверений пользователей, автоматическая подготовка включает обслуживание и удаление удостоверений пользователей в качестве изменения состояния или ролей, повышая безопасность организации. |
| Включение безопасного гибридного доступа: безопасные устаревшие приложения с помощью существующих контроллеров доставки приложений и сетей (если применимо). | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Включение самостоятельного сброса пароля (применимо к облачным учетным записям) | Эта возможность снижает количество вызовов службы поддержки и потери производительности, когда пользователь не может войти на свое устройство или приложение. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте администраторам доступ только к тем областям, к к которых им требуется доступ. |
| Включение руководства по паролям Майкрософт | Остановите необходимость изменения пароля пользователей в заданном расписании, отключения требований к сложности, и ваши пользователи более склонны запоминать свои пароли и сохранять их в безопасности. |
Руководство для клиентов Microsoft Entra ID P1
Следующая таблица предназначена для выделения ключевых действий для следующих подписок лицензий:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Рекомендуемое действие | Подробность |
|---|---|
| Включение объединенной регистрации для многофакторной проверки подлинности Microsoft Entra и SSPR для упрощения регистрации пользователей | Разрешить пользователям регистрироваться из одного общего интерфейса для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля. |
| Настройка параметров многофакторной проверки подлинности для организации | Убедитесь, что учетные записи защищены от компрометации с многофакторной проверкой подлинности. |
| Включение самостоятельного сброса пароля | Эта возможность снижает количество вызовов службы поддержки и потери производительности, когда пользователь не может войти на свое устройство или приложение. |
| Реализация обратной записи паролей (при использовании гибридных удостоверений) | Разрешить изменения паролей в облаке записываться обратно в локальную среду Windows Server Active Directory. |
| Создание и включение политик условного доступа | Многофакторная проверка подлинности для администраторов для защиты учетных записей, назначенных правами администратора. Блокировать устаревшие протоколы проверки подлинности из-за повышенного риска, связанного с устаревшими протоколами проверки подлинности. Многофакторная проверка подлинности для всех пользователей и приложений для создания сбалансированной политики многофакторной проверки подлинности для вашей среды, защиты пользователей и приложений. Требовать многофакторную проверку подлинности для управления Azure для защиты привилегированных ресурсов, требуя многофакторной проверки подлинности для всех пользователей, обращаюющихся к ресурсам Azure. |
| Включение синхронизации хэша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая Smart Lockout, IP-блокировку и возможность обнаружения утечки учетных данных). |
| Включение интеллектуальной блокировки AD FS (если применимо) | Защищает пользователей от блокировки учетной записи экстрасети от вредоносных действий. |
| Включение интеллектуальной блокировки Microsoft Entra (при использовании управляемых удостоверений) | Смарт-блокировка помогает заблокировать плохих актеров, которые пытаются угадать пароли ваших пользователей или использовать методы подбора для входа. |
| Отключение согласия конечных пользователей для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить будущие операции предоставления согласия пользователей, чтобы уменьшить область поверхности и снизить этот риск. |
| Включение удаленного доступа к локальным устаревшим приложениям с помощью Прокси приложения | Включите прокси приложения Microsoft Entra и интегрируйте с устаревшими приложениями для безопасного доступа к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. |
| Включение безопасного гибридного доступа: безопасные устаревшие приложения с существующими контроллерами доставки приложений и сетями (если это применимо). | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Интеграция поддерживаемых приложений SaaS из коллекции в Идентификатор Microsoft Entra и включение единого входа | Идентификатор Microsoft Entra имеет коллекцию, содержащую тысячи предварительно подготовленных приложений. Некоторые приложения, которые используются вашей организацией, вероятно, доступны непосредственно из портал Azure. Предоставление доступа к корпоративным приложениям SaaS удаленно и безопасно с улучшенным взаимодействием с пользователем (единый вход). |
| Автоматизация подготовки пользователей и отмена подготовки пользователей из приложений SaaS (если применимо) | Автоматическое создание удостоверений пользователей и ролей в облачных приложениях SaaS, к которым пользователям требуется доступ. Помимо создания удостоверений пользователей, автоматическая подготовка включает обслуживание и удаление удостоверений пользователей в качестве изменения состояния или ролей, повышая безопасность организации. |
| Включение условного доступа — на основе устройств | Повышение безопасности и взаимодействия пользователей с помощью условного доступа на основе устройств. На этом шаге пользователи могут получать доступ только с устройств, которые соответствуют вашим стандартам безопасности и соответствия требованиям. Эти устройства также называются управляемыми устройствами. Управляемые устройства могут быть совместимыми с Intune или гибридными устройствами, присоединенными к Microsoft Entra. |
| Включение защиты паролей | Защита пользователей от использования слабых и простых в угадывание паролей. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте администраторам доступ только к тем областям, к к которых им требуется доступ. |
| Включение руководства по паролям Майкрософт | Остановите необходимость изменения пароля пользователей в заданном расписании, отключения требований к сложности, и ваши пользователи более склонны запоминать свои пароли и сохранять их в безопасности. |
| Создание определенного пользовательского списка запрещенных паролей организации | Запретить пользователям создавать пароли, содержащие общие слова или фразы из вашей организации или области. |
| Развертывание методов проверки подлинности без пароля для пользователей | Предоставьте пользователям удобные методы проверки подлинности без пароля. |
| Создание плана для гостевого доступа пользователей | Совместная работа с гостевыми пользователями, позволяя им входить в приложения и службы с помощью собственных рабочих, учебных или социальных удостоверений. |
Руководство для клиентов Microsoft Entra ID P2
Следующая таблица предназначена для выделения ключевых действий для следующих подписок лицензий:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Рекомендуемое действие | Подробность |
|---|---|
| Включение объединенной регистрации для многофакторной проверки подлинности Microsoft Entra и SSPR для упрощения регистрации пользователей | Разрешить пользователям регистрироваться из одного общего интерфейса для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля. |
| Настройка параметров многофакторной проверки подлинности для организации | Убедитесь, что учетные записи защищены от компрометации с многофакторной проверкой подлинности. |
| Включение самостоятельного сброса пароля | Эта возможность снижает количество вызовов службы поддержки и потери производительности, когда пользователь не может войти на свое устройство или приложение. |
| Реализация обратной записи паролей (при использовании гибридных удостоверений) | Разрешить изменения паролей в облаке записываться обратно в локальную среду Windows Server Active Directory. |
| Включение политик Защита идентификации Microsoft Entra для принудительной регистрации многофакторной проверки подлинности | Управление развертыванием многофакторной проверки подлинности Microsoft Entra. |
| Включение политик условного доступа на основе рисков для пользователей и входа | Рекомендуемая политика входа — это назначение средних рисков входа и требование многофакторной проверки подлинности. Для политик пользователей следует ориентироваться на пользователей с высоким риском, требующим действия по изменению пароля. |
| Создание и включение политик условного доступа | Многофакторная проверка подлинности для администраторов для защиты учетных записей, назначенных правами администратора. Блокировать устаревшие протоколы проверки подлинности из-за повышенного риска, связанного с устаревшими протоколами проверки подлинности. Требовать многофакторную проверку подлинности для управления Azure для защиты привилегированных ресурсов, требуя многофакторной проверки подлинности для всех пользователей, обращаюющихся к ресурсам Azure. |
| Включение синхронизации хэша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая Smart Lockout, IP-блокировку и возможность обнаружения утечки учетных данных). |
| Включение интеллектуальной блокировки AD FS (если применимо) | Защищает пользователей от блокировки учетной записи экстрасети от вредоносных действий. |
| Включение интеллектуальной блокировки Microsoft Entra (при использовании управляемых удостоверений) | Смарт-блокировка помогает заблокировать плохих актеров, которые пытаются угадать пароли ваших пользователей или использовать методы подбора для входа. |
| Отключение согласия конечных пользователей для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить будущие операции предоставления согласия пользователей, чтобы уменьшить область поверхности и снизить этот риск. |
| Включение удаленного доступа к локальным устаревшим приложениям с помощью Прокси приложения | Включите прокси приложения Microsoft Entra и интегрируйте с устаревшими приложениями для безопасного доступа к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. |
| Включение безопасного гибридного доступа: безопасные устаревшие приложения с существующими контроллерами доставки приложений и сетями (если это применимо). | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Интеграция поддерживаемых приложений SaaS из коллекции в Идентификатор Microsoft Entra и включение единого входа | Идентификатор Microsoft Entra имеет коллекцию, содержащую тысячи предварительно подготовленных приложений. Некоторые приложения, которые используются вашей организацией, вероятно, доступны непосредственно из портал Azure. Предоставление доступа к корпоративным приложениям SaaS удаленно и безопасно с улучшенным взаимодействием с пользователем (единый вход). |
| Автоматизация подготовки пользователей и отмена подготовки пользователей из приложений SaaS (если применимо) | Автоматическое создание удостоверений пользователей и ролей в облачных приложениях SaaS, к которым пользователям требуется доступ. Помимо создания удостоверений пользователей, автоматическая подготовка включает обслуживание и удаление удостоверений пользователей в качестве изменения состояния или ролей, повышая безопасность организации. |
| Включение условного доступа — на основе устройств | Повышение безопасности и взаимодействия пользователей с помощью условного доступа на основе устройств. На этом шаге пользователи могут получать доступ только с устройств, которые соответствуют вашим стандартам безопасности и соответствия требованиям. Эти устройства также называются управляемыми устройствами. Управляемые устройства могут быть совместимыми с Intune или гибридными устройствами, присоединенными к Microsoft Entra. |
| Включение защиты паролей | Защита пользователей от использования слабых и простых в угадывание паролей. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте администраторам доступ только к тем областям, к к которых им требуется доступ. |
| Включение руководства по паролям Майкрософт | Остановите необходимость изменения пароля пользователей в заданном расписании, отключения требований к сложности, и ваши пользователи более склонны запоминать свои пароли и сохранять их в безопасности. |
| Создание определенного пользовательского списка запрещенных паролей организации | Запретить пользователям создавать пароли, содержащие общие слова или фразы из вашей организации или области. |
| Развертывание методов проверки подлинности без пароля для пользователей | Предоставление пользователям удобных методов проверки подлинности без пароля |
| Создание плана для гостевого доступа пользователей | Совместная работа с гостевыми пользователями, позволяя им входить в приложения и службы с помощью собственных рабочих, учебных или социальных удостоверений. |
| Включение управление привилегированными пользователями (PIM) | Позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации, обеспечивая доступ администраторов только при необходимости и с утверждением. |
| Завершение проверки доступа для ролей каталога Microsoft Entra в PIM | Обратитесь к группам безопасности и руководства, чтобы создать политику проверки доступа для проверки административного доступа на основе политик вашей организации. |
Нулевое доверие
Эта функция помогает организациям выравнивать свои удостоверения с тремя руководящими принципами архитектуры нулевого доверия:
- Проверка явным образом
- Использование наименьших привилегий
- Предположим, нарушение
Дополнительные сведения о нулевом доверии и других способах выравнивания организации с руководящими принципами см. в Центре рекомендаций по нулю доверия.