Een id-beveiligingsimplementatie plannen
Microsoft Entra ID Protection detecteert identiteitsrisico's, rapporteert ze en stelt beheerders in staat om deze risico's te onderzoeken en op te lossen om organisaties veilig en veilig te houden. Risicogegevens kunnen verder worden ingevoerd in hulpprogramma's zoals voorwaardelijke toegang om toegangsbeslissingen te nemen of door te geven aan een SIEM-hulpprogramma (Security Information and Event Management) voor verdere analyse en onderzoek.
Dit implementatieplan breidt concepten uit die zijn geïntroduceerd in het implementatieplan voor voorwaardelijke toegang.
Vereisten
- Een werkende Microsoft Entra-tenant met Microsoft Entra ID P2 of een proeflicentie ingeschakeld. Maak er gratis een indien nodig.
- Beheerders die interactie hebben met ID Protection, moeten een of meer van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren. Als u het Zero Trust-principe van minimale bevoegdheden wilt volgen, kunt u PIM (Privileged Identity Management) gebruiken om just-in-time bevoorrechte roltoewijzingen te activeren.
- Id-beveiliging en beleid en configuraties voor voorwaardelijke toegang lezen
- Id-beveiliging beheren
- Beleid voor voorwaardelijke toegang maken of wijzigen
- Een testgebruiker die geen beheerder is om te controleren of het beleid werkt zoals verwacht voordat deze wordt geïmplementeerd voor echte gebruikers. Als u een gebruiker wilt maken, raadpleegt u quickstart: Nieuwe gebruikers toevoegen aan Microsoft Entra-id.
- Een groep waarvan de gebruiker lid is. Als u een groep wilt maken, raadpleegt u Een groep maken en leden toevoegen in Microsoft Entra-id.
De juiste belanghebbenden betrekken
Wanneer technologieprojecten mislukken, doen ze dit meestal vanwege niet-overeenkomende verwachtingen over invloed, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden aan het werk zet en dat belanghebbenden in het project goed worden begrepen door de belanghebbenden, hun projectinvoer en verantwoordelijkheid te documenteren.
Wijziging communiceren
Communicatie is essentieel voor het succes van nieuwe functionaliteit. U moet proactief communiceren met uw gebruikers hoe hun ervaring verandert, wanneer deze verandert en hoe u ondersteuning krijgt als ze problemen ondervinden.
Stap 1: Bestaande rapporten controleren
Het is belangrijk dat u de id-beveiligingsrapporten bekijkt voordat u beleid voor voorwaardelijke toegang op basis van risico's implementeert. Deze beoordeling biedt een mogelijkheid om bestaand verdacht gedrag te onderzoeken. U kunt ervoor kiezen om het risico te negeren of deze gebruikers als veilig te bevestigen als u vaststelt dat ze geen risico lopen.
- Risicodetectie onderzoeken
- Risico's herstellen en gebruikers deblokkeren
- Bulkwijzigingen aanbrengen met Microsoft Graph PowerShell
Voor efficiëntie raden we gebruikers aan zelfherstel toe te staan via beleid dat in stap 3 wordt besproken.
Stap 2: Beleid voor risico's voor voorwaardelijke toegang plannen
ID Protection verzendt risicosignalen naar voorwaardelijke toegang, om beslissingen te nemen en organisatiebeleid af te dwingen. Voor deze beleidsregels moeten gebruikers mogelijk meervoudige verificatie uitvoeren of wachtwoordwijziging beveiligen. Er zijn verschillende items waarvoor organisaties moeten plannen voordat ze hun beleid maken.
Beleidsuitsluitingen
Beleid voor voorwaardelijke toegang zijn krachtige hulpprogramma's. Het is raadzaam om de volgende accounts uit uw beleid uit te sluiten:
- Accounts voor noodtoegang of break-glass om vergrendeling te voorkomen vanwege onjuiste configuratie van beleid. In het onwaarschijnlijke scenario zijn alle beheerders vergrendeld, kan uw beheerdersaccount voor noodtoegang worden gebruikt om u aan te melden en stappen uit te voeren om de toegang te herstellen.
- Meer informatie vindt u in het artikel, Accounts voor toegang tot noodgevallen beheren in Microsoft Entra ID.
- Serviceaccounts en service-principals, zoals het Microsoft Entra Connect-synchronisatieaccount. Serviceaccounts zijn niet-interactieve accounts die niet zijn gebonden aan een bepaalde gebruiker. Ze worden normaal gebruikt door back-end services die programmatische toegang tot toepassingen mogelijk maken, maar worden ook gebruikt om in te loggen op systemen voor administratieve doeleinden. Oproepen van service-principals worden niet geblokkeerd door beleid voor voorwaardelijke toegang dat is gericht op gebruikers. Gebruik Voorwaardelijke toegang voor workload-identiteiten om beleidsregels te definiëren die gericht zijn op service-principals.
- Als uw organisatie deze accounts in scripts of code gebruikt, kunt u overwegen om deze te vervangen door beheerde identiteiten.
Meervoudige verificatie
Gebruikers moeten zich echter registreren voor Meervoudige Verificatie van Microsoft Entra voordat ze riskant worden. Zie het artikel Een implementatie voor meervoudige verificatie van Microsoft Entra plannen voor meer informatie.
Bekende netwerklocaties
Het is belangrijk om benoemde locaties in voorwaardelijke toegang te configureren en uw VPN-bereiken toe te voegen aan Defender voor Cloud Apps. Aanmeldingen vanaf benoemde locaties die zijn gemarkeerd als vertrouwd of bekend, verbeteren de nauwkeurigheid van risicoberekeningen van ID Protection. Deze aanmeldingen verlagen het risico van een gebruiker wanneer ze zich verifiëren vanaf een locatie die is gemarkeerd als vertrouwd of bekend. Deze procedure vermindert fout-positieven voor sommige detecties in uw omgeving.
Alleen rapportmodus
De modus Alleen-rapporteren is een beleidsstatus voor voorwaardelijke toegang waarmee beheerders het effect van beleid voor voorwaardelijke toegang kunnen evalueren voordat ze in hun omgeving worden afgedwongen.
Stap 3: Uw beleid configureren
MFA-registratiebeleid voor id-beveiliging
Gebruik het registratiebeleid voor meervoudige verificatie van ID Protection om uw gebruikers te helpen bij het registreren van Microsoft Entra-meervoudige verificatie voordat ze het moeten gebruiken. Volg de stappen in het artikel Procedure: Het registratiebeleid voor meervoudige verificatie van Microsoft Entra configureren om dit beleid in te schakelen.
Beleid voor voorwaardelijke toegang
Aanmeldingsrisico : de meeste gebruikers hebben een normaal gedrag dat kan worden bijgehouden, wanneer ze buiten deze norm vallen, kan het riskant zijn om hen toe te staan zich alleen aan te melden. U kunt die gebruiker blokkeren of hen vragen om meervoudige verificatie uit te voeren om te bewijzen dat ze echt zijn wie ze zeggen dat ze zijn. U begint met het bereik van dit beleid in een subset van uw gebruikers.
Gebruikersrisico : Microsoft werkt met onderzoekers, rechtshandhaving, verschillende beveiligingsteams bij Microsoft en andere vertrouwde bronnen om gelekte gebruikersnaam- en wachtwoordparen te vinden. Wanneer deze kwetsbare gebruikers worden gedetecteerd, raden we gebruikers aan meervoudige verificatie uit te voeren en hun wachtwoord opnieuw in te stellen.
Het artikel Risicobeleid configureren en inschakelen biedt richtlijnen voor het maken van beleid voor voorwaardelijke toegang om deze risico's aan te pakken.
Stap 4: Bewaking en continue operationele behoeften
E-mailmeldingen
Schakel meldingen in, zodat u kunt reageren wanneer een gebruiker wordt gemarkeerd als risico. Met deze meldingen kunt u direct beginnen met onderzoeken. U kunt ook wekelijkse samenvattingsmails instellen, zodat u een overzicht krijgt van het risico voor die week.
Bewaken en onderzoeken
De impactanalyse van op risico's gebaseerde toegangsbeleidswerkmap helpt beheerders inzicht te krijgen in gebruikersimpact voordat ze beleid voor voorwaardelijke toegang op basis van risico's maken.
De werkmap ID-beveiliging kan helpen bij het bewaken en zoeken naar patronen in uw tenant. Bewaak deze werkmap voor trends en ook de modus Alleen voorwaardelijke toegang om te zien of er wijzigingen moeten worden aangebracht, bijvoorbeeld toevoegingen aan benoemde locaties.
Microsoft Defender voor Cloud Apps biedt organisaties een onderzoeksframework dat als uitgangspunt kan worden gebruikt. Zie het artikel Anomaliedetectiewaarschuwingen onderzoeken voor meer informatie.
U kunt ook de ID Protection-API's gebruiken om risicogegevens naar andere hulpprogramma's te exporteren, zodat uw beveiligingsteam risico-gebeurtenissen kan bewaken en waarschuwen.
Tijdens het testen wilt u mogelijk enkele bedreigingen simuleren om uw onderzoeksprocessen te testen.