Planowanie wdrożenia usługi Identity Protection

Ochrona tożsamości Microsoft Entra wykrywa zagrożenia oparte na tożsamościach, zgłasza je i umożliwia administratorom badanie i korygowanie tych zagrożeń w celu zapewnienia bezpieczeństwa i bezpieczeństwa organizacji. Czynniki ryzyka mogą być dalej wprowadzane do narzędzi, takich jak dostęp warunkowy, aby podejmować decyzje dotyczące dostępu lub przekazywane z powrotem do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) w celu dalszej analizy.

Ten plan wdrożenia rozszerza pojęcia wprowadzone w planie wdrażania dostępu warunkowego.

Wymagania wstępne

• Działająca dzierżawa firmy Microsoft Entra z włączonym identyfikatorem Entra ID P2 lub licencją próbną. W razie potrzeby utwórz je bezpłatnie.
  • Microsoft Entra ID P2 jest wymagany do uwzględnienia ryzyka usługi Identity Protection w zasadach dostępu warunkowego.
• Administracja istratorzy, którzy wchodzą w interakcję z usługą Identity Protection, muszą mieć co najmniej jedno z następujących przypisań ról w zależności od wykonywanych zadań. Aby postępować zgodnie z zasadą zero zaufania najniższych uprawnień, rozważ użycie usługi Privileged Identity Management (PIM) do aktywowania uprzywilejowanych przypisań ról just in time.
  • Odczytywanie zasad i konfiguracji usługi Identity Protection i dostępu warunkowego
    • Czytelnik zabezpieczeń
    • Czytelnik globalny
  • Zarządzanie usługą Identity Protection
    • Operator zabezpieczeń
    • Administrator zabezpieczeń
  • Tworzenie lub modyfikowanie zasad dostępu warunkowego
    • Administracja istrator dostępu warunkowego
    • Administrator zabezpieczeń
• Użytkownik testowy (inny niż administrator), który umożliwia sprawdzenie, czy zasady działają zgodnie z oczekiwaniami przed wdrożeniem dla rzeczywistych użytkowników. Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
• Grupa, do którego należy użytkownik niebędący administratorem. Jeśli musisz utworzyć grupę, zobacz Tworzenie grupy i dodawanie członków w identyfikatorze Entra firmy Microsoft.

Angażowanie właściwych uczestników projektu

Gdy projekty technologiczne kończą się niepowodzeniem, zazwyczaj robią to z powodu niezgodności oczekiwań dotyczących wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażujesz odpowiednich uczestników projektu i że role uczestników projektu są dobrze zrozumiałe przez dokumentowanie uczestników projektu, ich wkładów i odpowiedzialności.

Komunikacja ze zmianami

Komunikacja ma kluczowe znaczenie dla sukcesu wszelkich nowych funkcji. Należy aktywnie komunikować się z użytkownikami, jak zmienia się ich środowisko , kiedy zmienia się i jak uzyskać pomoc techniczną, jeśli wystąpią problemy.

Krok 1. Przeglądanie istniejących raportów

Przed wdrożeniem zasad dostępu warunkowego opartego na ryzyku należy przejrzeć raporty usługi Identity Protection. Ta recenzja daje możliwość zbadania istniejącego podejrzanego zachowania, które mogło zostać pominięte, oraz odrzucenia lub potwierdzenia tych użytkowników jako bezpiecznych, jeśli ustalisz, że nie są narażeni.

• Badanie wykryć ryzyka
• Korygowanie zagrożeń i odblokowywanie użytkowników
• Wprowadzanie zmian zbiorczych przy użyciu programu Microsoft Graph PowerShell

W celu zapewnienia wydajności zalecamy umożliwienie użytkownikom samodzielnego korygowania za pomocą zasad omówionych w kroku 3.

Krok 2. Planowanie zasad ryzyka dostępu warunkowego

Usługa Identity Protection wysyła sygnały o podwyższonym ryzyku do dostępu warunkowego, aby podejmować decyzje i wymuszać zasady organizacji, takie jak wymaganie uwierzytelniania wieloskładnikowego lub zmiany hasła. Istnieje kilka elementów, dla których organizacje powinny planować przed utworzeniem zasad.

Wykluczenia zasad

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usług, takie jak konto microsoft Entra Połączenie Sync. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza umożliwiające programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług, takie jak te, powinny zostać wykluczone, ponieważ nie można programowo ukończyć uwierzytelniania wieloskładnikowego. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usługi.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.

Uwierzytelnianie wieloskładnikowe

Aby użytkownicy mogli samodzielnie skorygować ryzyko, muszą jednak zarejestrować się w celu uwierzytelnienia wieloskładnikowego firmy Microsoft, zanim staną się ryzykowne. Aby uzyskać więcej informacji, zobacz artykuł Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft w usłudze Microsoft Entra.

Znane lokalizacje sieciowe

Ważne jest, aby skonfigurować nazwane lokalizacje w dostępie warunkowym i dodać zakresy sieci VPN do aplikacji Defender dla Chmury. Logowania z nazwanych lokalizacji, oznaczone jako zaufane lub znane, zwiększają dokładność obliczeń Ochrona tożsamości Microsoft Entra ryzyka. Te logowania obniżają ryzyko użytkownika podczas uwierzytelniania z lokalizacji oznaczonej jako zaufane lub znane. Ta praktyka zmniejsza liczbę wyników fałszywie dodatnich w przypadku niektórych wykryć w danym środowisku.

Tryb tylko raportów

Tryb tylko do raportu to stan zasad dostępu warunkowego, który umożliwia administratorom ocenę wpływu zasad dostępu warunkowego przed wymuszeniem ich w środowisku.

Krok 3. Konfigurowanie zasad

Zasady rejestracji uwierzytelniania wieloskładnikowego w usłudze Identity Protection

Użyj zasad rejestracji uwierzytelniania wieloskładnikowego usługi Identity Protection, aby ułatwić użytkownikom zarejestrowanie się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft przed jego użyciem. Wykonaj kroki opisane w artykule Instrukcje: Konfigurowanie zasad rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft w celu włączenia tych zasad.

Zasady dostępu warunkowego

Ryzyko związane z logowaniem — większość użytkowników ma normalne zachowanie, które można śledzić, gdy wykraczają poza tę normę, może być ryzykowne, aby umożliwić im po prostu zalogowanie się. Możesz zablokować tego użytkownika, a może po prostu poprosić ich o przeprowadzenie uwierzytelniania wieloskładnikowego, aby udowodnić, że są naprawdę tym, kim są. Możesz zacząć od określania zakresu tych zasad tylko dla administratorów.

Ryzyko związane z użytkownikiem — firma Microsoft współpracuje z badaczami, organami ścigania, różnymi zespołami ds. zabezpieczeń w firmie Microsoft i innymi zaufanymi źródłami w celu znalezienia ujawnionych par nazw użytkowników i haseł. Po wykryciu tych narażonych użytkowników zalecamy wymaganie od użytkowników przeprowadzenia uwierzytelniania wieloskładnikowego, a następnie zresetowania hasła.

Artykuł Konfigurowanie i włączanie zasad ryzyka zawiera wskazówki dotyczące tworzenia zasad dostępu warunkowego w celu rozwiązania tych zagrożeń.

Krok 4. Monitorowanie i ciągłe potrzeby operacyjne

Powiadomienia e-mail

Włącz powiadomienia , aby można było odpowiedzieć, gdy użytkownik jest oflagowany jako zagrożony, aby można było natychmiast rozpocząć badanie. Możesz również skonfigurować cotygodniowe wiadomości e-mail szyfrowane, aby zapoznać się z omówieniem ryzyka dla tego tygodnia.

Monitorowanie i badanie

Skoroszyt usługi Identity Protection może ułatwić monitorowanie i wyszukiwanie wzorców w dzierżawie. Monitoruj ten skoroszyt pod kątem trendów, a także wyniki trybu Tylko dostęp warunkowy, aby sprawdzić, czy należy wprowadzić jakiekolwiek zmiany, na przykład dodatki do nazwanych lokalizacji.

Microsoft Defender dla Chmury Apps udostępnia organizacjom struktury badania, które mogą używać jako punktu wyjścia. Aby uzyskać więcej informacji, zobacz artykuł Jak badać alerty wykrywania anomalii.

Możesz również użyć interfejsów API usługi Identity Protection, aby wyeksportować informacje o ryzyku do innych narzędzi, aby zespół ds. zabezpieczeń mógł monitorować zdarzenia o podwyższonym ryzyku i ostrzegać o nich.

Podczas testowania możesz zasymulować niektóre zagrożenia w celu przetestowania procesów badania.

Następne kroki

Co to jest ryzyko?