Odzyskiwanie po błędnej konfiguracji
Ustawienia konfiguracji w usłudze Microsoft Entra ID mogą mieć wpływ na dowolny zasób w dzierżawie firmy Microsoft za pomocą akcji zarządzania w całej dzierżawie lub w całej dzierżawie.
Co to jest konfiguracja?
Konfiguracje to wszelkie zmiany w identyfikatorze Entra firmy Microsoft, które zmieniają zachowanie lub możliwości usługi Microsoft Entra lub funkcji. Na przykład podczas konfigurowania zasad dostępu warunkowego zmienia się, kto może uzyskiwać dostęp do aplikacji docelowych i w jakich okolicznościach.
Musisz zrozumieć elementy konfiguracji, które są ważne dla organizacji. Następujące konfiguracje mają duży wpływ na stan zabezpieczeń.
Konfiguracje dla całej dzierżawy
Tożsamości zewnętrzne: administratorzy dzierżawy identyfikują i kontrolują tożsamości zewnętrzne, które można aprowizować w dzierżawie. Określają one:
- Czy zezwalać na tożsamości zewnętrzne w dzierżawie.
- Z których można dodawać tożsamości zewnętrzne domen.
- Czy użytkownicy mogą zapraszać użytkowników z innych dzierżaw.
Nazwane lokalizacje: Administratorzy mogą tworzyć nazwane lokalizacje, których następnie można użyć do:
- Blokuj logowania z określonych lokalizacji.
- Wyzwalanie zasad dostępu warunkowego, takich jak uwierzytelnianie wieloskładnikowe.
Dozwolone metody uwierzytelniania: Administratorzy ustawiają dozwolone metody uwierzytelniania dla dzierżawy.
Opcje samoobsługi: Administratorzy ustawiają opcje samoobsługi, takie jak samoobsługowe resetowanie hasła i tworzą grupy usługi Office 365 na poziomie dzierżawy.
Implementacja niektórych konfiguracji dla całej dzierżawy może być ograniczona, pod warunkiem, że nie są one zastępowane przez zasady globalne. Na przykład:
- Jeśli dzierżawa jest skonfigurowana do zezwalania na tożsamości zewnętrzne, administrator zasobów nadal może wykluczyć te tożsamości z uzyskiwania dostępu do zasobu.
- Jeśli dzierżawa jest skonfigurowana do zezwalania na rejestrację urządzeń osobistych, administrator zasobów może wykluczyć te urządzenia z uzyskiwania dostępu do określonych zasobów.
- Jeśli nazwane lokalizacje są skonfigurowane, administrator zasobów może skonfigurować zasady zezwalające lub wykluczające dostęp z tych lokalizacji.
Konfiguracje dostępu warunkowego
Zasady dostępu warunkowego to konfiguracje kontroli dostępu, które łączą sygnały w celu podejmowania decyzji i wymuszania zasad organizacji.
Aby dowiedzieć się więcej na temat zasad dostępu warunkowego, zobacz Co to jest dostęp warunkowy w usłudze Microsoft Entra ID?.
Uwaga
Podczas gdy konfiguracja zmienia zachowanie lub możliwości obiektu lub zasad, nie wszystkie zmiany w obiekcie są konfiguracją. Możesz zmienić dane lub atrybuty skojarzone z elementem, takie jak zmiana adresu użytkownika, bez wpływu na możliwości tego obiektu użytkownika.
Co to jest nieprawidłowa konfiguracja?
Błędna konfiguracja to konfiguracja zasobu lub zasad, które różnią się od zasad lub planów organizacji i powodują niezamierzone lub niepożądane konsekwencje.
Błędna konfiguracja ustawień dla całej dzierżawy lub zasad dostępu warunkowego może poważnie wpłynąć na bezpieczeństwo i publiczny obraz organizacji przez:
Zmiana sposobu interakcji administratorów, użytkowników dzierżawy i użytkowników zewnętrznych z zasobami w dzierżawie:
- Niepotrzebnie ograniczanie dostępu do zasobów.
- Luźne kontrole dostępu do poufnych zasobów.
Zmiana możliwości interakcji użytkowników z innymi dzierżawami i użytkownikami zewnętrznymi w celu interakcji z dzierżawą.
Na przykład powoduje odmowę usługi, nie zezwalając klientom na dostęp do swoich kont.
Przerywanie zależności między danymi, systemami i aplikacjami powoduje błędy procesów biznesowych.
Kiedy występuje nieprawidłowa konfiguracja?
Błędna konfiguracja najprawdopodobniej wystąpi, gdy:
- Podczas zmian ad hoc popełniony jest błąd.
- Błąd jest popełniany w wyniku ćwiczeń związanych z rozwiązywaniem problemów.
- Akcja została przeprowadzona ze złośliwym zamiarem przez złego aktora.
Zapobieganie błędnej konfiguracji
Ważne jest, aby zmiany w zamierzonej konfiguracji dzierżawy firmy Microsoft Entra podlegały niezawodnym procesom zarządzania zmianami, w tym:
- Dokumentowanie zmiany, w tym stanu wcześniejszego i zamierzonego stanu po zmianie.
- Korzystanie z usługi Privileged Identity Management (PIM) w celu zapewnienia, że administratorzy z zamiarem zmiany muszą celowo eskalować swoje uprawnienia, aby to zrobić. Aby dowiedzieć się więcej o usłudze PIM, zobacz Co to jest usługa Privileged Identity Management?.
- Używanie silnego przepływu pracy zatwierdzania dla zmian, na przykład wymagającego zatwierdzenia eskalacji uprawnień usługi PIM.
Monitorowanie zmian konfiguracji
Chociaż chcesz zapobiec błędnej konfiguracji, nie można ustawić paska dla zmian tak wysoki, że ma wpływ na zdolność administratorów do wydajnego wykonywania pracy.
Uważnie monitoruj zmiany konfiguracji, obserwując następujące operacje w dzienniku inspekcji firmy Microsoft Entra:
- Dodaj
- Utworzenie
- Update
- Zestaw
- Delete
Poniższa tabela zawiera wpisy informacyjne w dzienniku inspekcji, które można wyszukać.
Zmiany konfiguracji metody dostępu warunkowego i metody uwierzytelniania
Zasady dostępu warunkowego są tworzone na stronie Dostęp warunkowy w witrynie Azure Portal. Zmiany zasad są wprowadzane na stronie szczegółów zasad dostępu warunkowego dla zasad.
| Filtr usługi | Działania | Potencjalne skutki |
|---|---|---|
| Dostęp warunkowy | Dodawanie, aktualizowanie lub usuwanie zasad dostępu warunkowego | Dostęp użytkownika jest udzielany lub blokowany, gdy nie powinien być. |
| Dostęp warunkowy | Dodawanie, aktualizowanie lub usuwanie nazwanej lokalizacji | Lokalizacje sieciowe używane przez zasady dostępu warunkowego nie są skonfigurowane zgodnie z oczekiwaniami, co powoduje luki w warunkach zasad dostępu warunkowego. |
| Metoda uwierzytelniania | Aktualizowanie zasad metod uwierzytelniania | Użytkownicy mogą używać słabszych metod uwierzytelniania lub są blokowani od metody, której powinni użyć. |
Zmiany konfiguracji resetowania hasła i użytkownika
Zmiany ustawień użytkownika są wprowadzane na stronie Ustawienia użytkownika w witrynie Azure Portal. Zmiany resetowania hasła są wprowadzane na stronie Resetowanie hasła. Zmiany wprowadzone na tych stronach są przechwytywane w dzienniku inspekcji zgodnie z opisem w poniższej tabeli.
| Filtr usługi | Działania | Potencjalne skutki |
|---|---|---|
| Katalog podstawowy | Aktualizowanie ustawień firmy | Użytkownicy mogą lub nie mogą rejestrować aplikacji, w przeciwieństwie do intencji. |
| Katalog podstawowy | Ustawianie informacji o firmie | Użytkownicy mogą lub nie mogą mieć dostępu do portalu administracyjnego firmy Microsoft Entra, co jest sprzeczne z intencją. Strony logowania nie reprezentują marki firmy z potencjalnymi szkodami dla reputacji. |
| Katalog podstawowy | Działanie: Zaktualizowana jednostka usługi Cel: połączenie 0365 LinkedIn |
Użytkownicy mogą lub nie mogą mieć możliwości połączenia konta Microsoft Entra z usługą LinkedIn, w przeciwieństwie do intencji. |
| Samoobsługowe zarządzanie grupami | Aktualizowanie wartości funkcji MyApps | Użytkownicy mogą lub nie mogą korzystać z funkcji użytkownika, w przeciwieństwie do intencji. |
| Samoobsługowe zarządzanie grupami | Aktualizowanie wartości funkcji ConvergedUXV2 | Użytkownicy mogą lub nie mogą korzystać z funkcji użytkownika, w przeciwieństwie do intencji. |
| Samoobsługowe zarządzanie grupami | Aktualizowanie wartości funkcji MyStaff | Użytkownicy mogą lub nie mogą korzystać z funkcji użytkownika, w przeciwieństwie do intencji. |
| Katalog podstawowy | Działanie: Aktualizowanie jednostki usługi Element docelowy: usługa resetowania haseł firmy Microsoft |
Użytkownicy mogą zresetować swoje hasło lub nie mogą ich zresetować, co jest sprzeczne z intencją. Użytkownicy są zobowiązani do zarejestrowania się w celu samoobsługowego resetowania hasła, w przeciwieństwie do intencji. Użytkownicy mogą resetować swoje hasło przy użyciu metod niezatwierdzonych, na przykład przy użyciu pytań zabezpieczających. |
Zmiany konfiguracji tożsamości zewnętrznych
Możesz wprowadzić zmiany w tych ustawieniach na stronach Tożsamości zewnętrznej lub Ustawień współpracy zewnętrznej w witrynie Azure Portal.
| Filtr usługi | Działania | Potencjalne skutki |
|---|---|---|
| Katalog podstawowy | Dodawanie, aktualizowanie lub usuwanie partnera do ustawienia dostępu między dzierżawami | Użytkownicy mają dostęp wychodzący do dzierżaw, które powinny zostać zablokowane. Użytkownicy z dzierżaw zewnętrznych, którzy powinni być zablokowani, mają dostęp przychodzący. |
| B2C | Tworzenie lub usuwanie dostawcy tożsamości | Dostawcy tożsamości dla użytkowników, którzy powinni mieć możliwość współpracy, nie mają dostępu do tych użytkowników. |
| Katalog podstawowy | Ustawianie funkcji katalogu w dzierżawie | Użytkownicy zewnętrzni mają większą lub mniejszą widoczność obiektów katalogu niż jest to zamierzone. Użytkownicy zewnętrzni mogą lub nie mogą zapraszać innych użytkowników zewnętrznych do dzierżawy, w przeciwieństwie do intencji. |
| Katalog podstawowy | Określanie ustawień federacyjnych w domenie | Zaproszenia użytkowników zewnętrznych mogą lub nie mogą być wysyłane do użytkowników w innych dzierżawach, w przeciwieństwie do intencji. |
| AuthorizationPolicy | Aktualizowanie zasad autoryzacji | Zaproszenia użytkowników zewnętrznych mogą lub nie mogą być wysyłane do użytkowników w innych dzierżawach, w przeciwieństwie do intencji. |
| Katalog podstawowy | Zasady aktualizacji | Zaproszenia użytkowników zewnętrznych mogą lub nie mogą być wysyłane do użytkowników w innych dzierżawach, w przeciwieństwie do intencji. |
Zmiany konfiguracji roli niestandardowej i definicji mobilności
| Filtr usługi | Działania/portal | Potencjalne skutki |
|---|---|---|
| Katalog podstawowy | Dodawanie definicji roli | Zakres roli niestandardowej jest węższy lub szerszy niż zamierzony. |
| PIM | Aktualizowanie ustawienia roli | Zakres roli niestandardowej jest węższy lub szerszy niż zamierzony. |
| Katalog podstawowy | Aktualizowanie definicji roli | Zakres roli niestandardowej jest węższy lub szerszy niż zamierzony. |
| Katalog podstawowy | Usuwanie definicji roli | Brak ról niestandardowych. |
| Katalog podstawowy | Dodawanie delegowanego udzielenia uprawnień | Brak konfiguracji zarządzania urządzeniami przenośnymi lub zarządzania aplikacjami mobilnymi lub nieprawidłowo skonfigurowany, co prowadzi do niepowodzenia zarządzania urządzeniami lub aplikacjami. |
Widok szczegółów dziennika inspekcji
Wybranie niektórych wpisów inspekcji w dzienniku inspekcji spowoduje podanie szczegółowych informacji na temat starych i nowych wartości konfiguracji. Na przykład w przypadku zmian konfiguracji zasad dostępu warunkowego można zobaczyć informacje na poniższym zrzucie ekranu.
Śledzenie zmian za pomocą skoroszytów
Skoroszyty usługi Azure Monitor mogą ułatwić monitorowanie zmian konfiguracji.
Skoroszyt raportu Poufne operacje może pomóc zidentyfikować podejrzane działanie aplikacji i jednostki usługi, które może wskazywać na naruszenie zabezpieczeń, w tym:
- Zmodyfikowane poświadczenia aplikacji lub jednostki usługi lub metody uwierzytelniania.
- Nowe uprawnienia przyznane jednostkom usługi.
- Aktualizacje roli katalogu i członkostwa w grupach dla jednostek usługi.
- Zmodyfikowane ustawienia federacji.
Skoroszyt działań dotyczących dostępu między dzierżawami może pomóc w monitorowaniu aplikacji w dzierżawach zewnętrznych, do których użytkownicy uzyskują dostęp, oraz do których aplikacji uzyskują dostęp użytkownicy zewnętrzni dzierżawy. Użyj tego skoroszytu, aby wyszukać nietypowe zmiany w dostępie do aplikacji dla ruchu przychodzącego lub wychodzącego między dzierżawami.
Następne kroki
- Aby uzyskać podstawowe informacje na temat możliwości odzyskiwania, zobacz Najlepsze rozwiązania dotyczące możliwości odzyskiwania.
- Aby uzyskać informacje na temat odzyskiwania po usunięciu, zobacz Odzyskiwanie po usunięciu.