Planowanie wdrożenia usługi ID Protection

Microsoft Entra ID Protection wykrywa zagrożenia oparte na tożsamościach, zgłasza je i umożliwia administratorom badanie oraz korygowanie tych zagrożeń w celu zapewnienia ochrony i bezpieczeństwa organizacji. Dane o ryzyku mogą być dalej przekazywane do narzędzi, takich jak dostęp warunkowy, aby podejmować decyzje dotyczące dostępu lub przekazywane do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) w celu dalszej analizy i badania.

Ten plan wdrożenia rozszerza pojęcia wprowadzone w planie wdrażania dostępu warunkowego.

Wymagania wstępne

• Działająca dzierżawa firmy Microsoft Entra z włączonym identyfikatorem Entra ID P2 lub licencją próbną. W razie potrzeby utwórz je bezpłatnie.
  • Licencje platformy Microsoft 365 E5 lub Microsoft Enterprise Mobility + Security E5 są wymagane w przypadku wykrycia ryzyka. Aby uzyskać więcej informacji, zobacz Co to jest Ochrona tożsamości Microsoft Entra?.
• Administratorzy, którzy wchodzą w interakcję z usługą ID Protection, muszą mieć co najmniej jedno z następujących przypisań ról w zależności od wykonywanych zadań. Aby postępować zgodnie z zasadą zero zaufania najmniejszych przywilejów, rozważ użycie usługi Privileged Identity Management (PIM) do aktywowania uprzywilejowanych ról w trybie just-in-time.
  • Przeczytaj zasady ochrony identyfikatorów i dostępu warunkowego oraz konfiguracje
    • Czytelnik zabezpieczeń
    • Czytelnik globalny
  • Zarządzanie ochroną identyfikatorów
    • Operator zabezpieczeń
    • Administrator zabezpieczeń
  • Tworzenie lub modyfikowanie zasad dostępu warunkowego
    • Administrator dostępu warunkowego
    • Administrator zabezpieczeń
• Użytkownik testowy, który nie jest administratorem w celu sprawdzenia, czy zasady działają zgodnie z oczekiwaniami przed wdrożeniem dla rzeczywistych użytkowników. Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
• Grupa, do której należy użytkownik. Jeśli musisz utworzyć grupę, zobacz Tworzenie grupy i dodawanie członków w identyfikatorze Entra firmy Microsoft.

Angażowanie właściwych uczestników projektu

Gdy projekty technologiczne kończą się niepowodzeniem, zazwyczaj robią to z powodu niezgodności oczekiwań dotyczących wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażujesz odpowiednich uczestników projektu i że role uczestników projektu są dobrze zrozumiałe przez dokumentowanie uczestników projektu, ich wkładów i odpowiedzialności.

Komunikowanie zmiany

Komunikacja ma kluczowe znaczenie dla sukcesu wszelkich nowych funkcji. Należy aktywnie komunikować się z użytkownikami, jak zmienia się ich doświadczenie, kiedy się zmienia i jak uzyskać wsparcie, jeśli napotkają problemy.

Krok 1. Przeglądanie istniejących raportów

Przed wdrożeniem zasad dostępu warunkowego opartego na ryzyku należy przejrzeć raporty ochrony identyfikatorów. Ten przegląd daje możliwość zbadania wszelkich istniejących podejrzanych zachowań. Możesz odrzucić ryzyko lub potwierdzić, że ci użytkownicy są bezpieczni, jeśli określisz, że nie są narażeni.

• Analiza wykrycia ryzyka
• Korygowanie zagrożeń i odblokowywanie użytkowników
• Wprowadzanie zmian zbiorczych przy użyciu programu Microsoft Graph PowerShell

W celu zapewnienia wydajności zalecamy umożliwienie użytkownikom samodzielnego korygowania za pomocą zasad omówionych w kroku 3.

Krok 2. Planowanie zasad ryzyka dostępu warunkowego

Usługa ID Protection wysyła sygnały ryzyka do dostępu warunkowego, aby podejmować decyzje i wymuszać zasady organizacyjne. Te zasady mogą wymagać od użytkowników przeprowadzania uwierzytelniania wieloskładnikowego lub bezpiecznego zmieniania hasła. Istnieje kilka elementów, które organizacje powinny uwzględnić przed utworzeniem swoich zasad.

Wyłączenia w polisie

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta 'break-glass', aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i obiekty usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Uwierzytelnianie wieloskładnikowe

Aby użytkownicy mogli samodzielnie skorygować ryzyko, muszą zarejestrować się do usługi Microsoft Entra uwierzytelnienia wieloskładnikowego, zanim pojawi się zagrożenie. Aby uzyskać więcej informacji, zobacz artykuł Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft w usłudze Microsoft Entra.

Znane lokalizacje sieciowe

Ważne jest, aby skonfigurować nazwane lokalizacje w Dostępie Warunkowym i dodać zakresy sieci VPN do Defender for Cloud Apps. Logowania z nazwanych lokalizacji, które są oznaczone jako zaufane lub znane, zwiększają dokładność obliczeń ryzyka ochrony identyfikatorów. Te logowania obniżają ryzyko użytkownika podczas uwierzytelniania z lokalizacji oznaczonej jako zaufane lub znane. Ta praktyka zmniejsza liczbę wyników fałszywie dodatnich w przypadku niektórych wykryć w danym środowisku.

Tryb raportowania tylko

Tryb tylko raportowania to stan zasad dostępu warunkowego, który umożliwia administratorom ocenienie skutków zasad dostępu warunkowego przed wymuszeniem ich w ich środowisku.

Krok 3. Konfigurowanie zasad

Polityka rejestracji uwierzytelniania wieloskładnikowego w ochronie tożsamości

Użyj zasad rejestracji uwierzytelniania wieloskładnikowego usługi ID Protection, aby pomóc użytkownikom w rejestracji do uwierzytelniania wieloskładnikowego Microsoft Entra przed jego użyciem. Wykonaj kroki opisane w artykule Instrukcje: Konfigurowanie zasad rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft w celu włączenia tych zasad.

Zasady dostępu warunkowego

Ryzyko związane z logowaniem — większość użytkowników ma normalne zachowanie, które można śledzić, gdy wykraczają poza tę normę, może być ryzykowne, aby umożliwić im po prostu zalogowanie się. Możesz zablokować tego użytkownika lub poprosić go o przeprowadzenie uwierzytelniania wieloskładnikowego, aby udowodnić, że są naprawdę tym, kim są. Zacznij od określania zakresu tych zasad do podzbioru użytkowników.

Ryzyko związane z użytkownikiem — firma Microsoft współpracuje z badaczami, organami ścigania, różnymi zespołami ds. zabezpieczeń w firmie Microsoft i innymi zaufanymi źródłami w celu znalezienia ujawnionych par nazw użytkowników i haseł. Po wykryciu tych narażonych użytkowników zalecamy wymaganie od użytkowników przeprowadzenia uwierzytelniania wieloskładnikowego, a następnie zresetowania hasła.

Artykuł Konfigurowanie i włączanie zasad ryzyka zawiera wskazówki dotyczące tworzenia zasad dostępu warunkowego w celu rozwiązania tych zagrożeń.

Krok 4. Monitorowanie i ciągłe potrzeby operacyjne

Powiadomienia e-mail

Włącz powiadomienia , aby można było reagować, gdy użytkownik jest oflagowany jako zagrożony. Te powiadomienia umożliwiają natychmiastowe rozpoczęcie badania. Możesz również skonfigurować cotygodniowe wiadomości e-mail przeglądowe, dające przegląd ryzyka dla tego tygodnia.

Monitorowanie i badanie

Analiza wpływu skoroszytu zasad dostępu opartych na ryzyku pomaga administratorom zrozumieć wpływ użytkowników przed utworzeniem zasad dostępu warunkowego opartego na ryzyku .

Skoroszyt usługi ID Protection może ułatwić monitorowanie i wyszukiwanie wzorców w dzierżawie. Monitoruj ten skoroszyt pod kątem trendów, a także wyniki trybu raportowania tylko w dostępie warunkowym, aby sprawdzić, czy należy wprowadzić jakiekolwiek zmiany, na przykład dodatek do określonych lokalizacji.

Microsoft Defender dla Chmury Apps udostępnia organizacjom strukturę badania, której mogą używać jako punktu wyjścia. Aby uzyskać więcej informacji, zobacz artykuł Jak badać alerty wykrywania anomalii.

Możesz również użyć interfejsów API ochrony identyfikatorów, aby wyeksportować informacje o ryzyku do innych narzędzi, aby zespół ds. zabezpieczeń mógł monitorować zdarzenia o podwyższonym ryzyku i ostrzegać o nich.

Podczas testowania możesz zasymulować niektóre zagrożenia w celu przetestowania procesów badania.

Następne kroki

Co to jest ryzyko?