Azure Ative Directory referência do guia de operações gerais

Esta secção do guia de referência de operações AZure AD descreve os controlos e ações que deve tomar para otimizar as operações gerais de Azure Ative Directory (Azure AD).

Nota

Estas recomendações estão em vigor a partir da data da publicação, mas podem mudar ao longo do tempo. As organizações devem avaliar continuamente as suas práticas operacionais à medida que os produtos e serviços da Microsoft evoluem ao longo do tempo.

Principais processos operacionais

Atribuir proprietários a tarefas-chave

Gerir Azure Ative Directory requer a execução contínua de tarefas e processos operacionais fundamentais, que podem não fazer parte de um projeto de implantação. Ainda é importante que crie estas tarefas para otimizar o seu ambiente. As tarefas-chave e os seus proprietários recomendados incluem:

Tarefa Proprietário
Impulsionar melhorias na pontuação de segurança de identidade Equipa de Operações InfoSec
Manter Azure AD Ligação servidores Equipa de Operações do IAM
Execute e triagem relatórios IdFix regularmente Equipa de Operações do IAM
Triage Azure AD Ligação alertas de saúde para Sync e AD FS Equipa de Operações do IAM
Se não utilizar o Azure AD Ligação Health, então o cliente tem processo e ferramentas equivalentes para monitorizar a infraestrutura personalizada Equipa de Operações do IAM
Se não utilizar O FS AD, então o cliente tem processo e ferramentas equivalentes para monitorizar a infraestrutura personalizada Equipa de Operações do IAM
Monitor Hybrid Logs: Azure AD App Proxy Connectors Equipa de Operações do IAM
Monitor Hybrid Logs: Agentes de autenticação passthrough Equipa de Operações do IAM
Monitor De Registos Híbridos: Serviço de Writeback de Palavras-Passe Equipa de Operações do IAM
Monitor Hybrid Logs: Gateway de proteção de senhas no local Equipa de Operações do IAM
Monitor Hybrid Logs: Extensão AD MFA NPS (se aplicável) Equipa de Operações do IAM

Ao rever a sua lista, poderá descobrir que precisa de atribuir um proprietário para tarefas que faltam a um proprietário ou ajustar a propriedade para tarefas com proprietários que não estejam alinhados com as recomendações acima.

Gestão híbrida

Versões recentes de componentes no local

Ter as versões mais atualizadas de componentes no local fornece ao cliente todas as atualizações de segurança mais recentes, melhorias de desempenho, bem como funcionalidades que podem ajudar a simplificar ainda mais o ambiente. A maioria dos componentes tem uma configuração de atualização automática, que automatizará o processo de atualização.

Estes componentes incluem:

  • Azure AD Connect
  • Azure AD Proxy de Aplicações Conectores
  • Agentes de autenticação pass-through Azure AD
  • Azure AD Ligação Agentes de Saúde

A menos que tenha sido estabelecido um, deverá definir um processo para atualizar estes componentes e confiar na funcionalidade de atualização automática sempre que possível. Se encontrar componentes com seis ou mais meses de atraso, deverá atualizar o mais rapidamente possível.

Azure AD Ligação Linha de base de alerta de saúde

As organizações devem implantar a Azure AD Ligação Health para monitorização e reporte de Azure AD Ligação e AD FS. A azure AD Ligação e AD FS são componentes críticos que podem quebrar a gestão e autenticação do ciclo de vida e, portanto, levar a interrupções. A Azure AD Ligação Health ajuda a monitorizar e obter informações sobre a sua infraestrutura de identidade no local, garantindo assim a fiabilidade do seu ambiente.

Azure AD Connect Heath architecture

Ao monitorizar a saúde do seu ambiente, deve abordar imediatamente quaisquer alertas de alta gravidade, seguidos de alertas de menor gravidade.

Registos de agentes no local

Alguns serviços de gestão de identidade e acesso requerem agentes no local para permitir cenários híbridos. Exemplos incluem reset de palavra-passe, autenticação pass-through (PTA), Azure AD Proxy de Aplicações e extensão Azure AD MFA NPS. É fundamental que a equipa de operações faça a linha de base e monitorize a saúde destes componentes arquivando e analisando os registos dos componentes utilizando soluções como System Center Gestor de Operações ou SIEM. É igualmente importante que a sua equipa de Operações Infosec ou o balcão de ajuda compreendam como resolver padrões de erros.

Gestão de agentes no local

A adoção de boas práticas pode ajudar ao funcionamento ideal dos agentes no local. Considere as seguintes boas práticas:

  • Recomenda-se que os conectores de procuração de aplicação AD multiple Azure por grupo de conector forneçam equilíbrio de carga e alta disponibilidade, evitando pontos únicos de falha ao aceder às aplicações proxy. Se atualmente tem apenas um conector num grupo de conector que lida com aplicações em produção, deverá utilizar pelo menos dois conectores para redundância.
  • A criação e utilização de um grupo de conector de aplicativos para fins de depuração pode ser útil para cenários de resolução de problemas e para o embarque de novas aplicações no local. Recomendamos também a instalação de ferramentas de rede, tais como o Analisador de Mensagens e o Violinista nas máquinas de conector.
  • Recomenda-se a realização de vários agentes de autenticação pass-through para proporcionar um equilíbrio de carga sem emenda e uma elevada disponibilidade, evitando um único ponto de falha durante o fluxo de autenticação. Certifique-se de que vai enviar pelo menos dois agentes de autenticação de passagem para redundância.

Gestão em escala

Pontuação de segurança de identidade

A pontuação segura de identidade fornece uma medida quantificável da postura de segurança da sua organização. É fundamental rever e abordar constantemente os resultados relatados e esforçar-se para ter a pontuação mais alta possível. A classificação ajuda a:

  • Medir objetivamente a sua postura de segurança de identidade
  • Planear melhorias de segurança de identidade
  • Analisar o sucesso das suas melhorias

Secure score

Se a sua organização não tiver atualmente um programa para monitorizar as alterações na Pontuação De Segurança de Identidade, recomenda-se que implemente um plano e atribua aos proprietários para monitorizar e impulsionar ações de melhoria. As organizações devem remediar as ações de melhoria com um impacto de pontuação superior a 30 o mais rapidamente possível.

Notificações

A Microsoft envia comunicações de e-mail aos administradores para notificar várias alterações no serviço, atualizações de configuração que são necessárias e erros que requerem intervenção de administração. É importante que os clientes estabeleçam os endereços de e-mail de notificação para que as notificações sejam enviadas aos membros da equipa adequados que possam reconhecer e agir em todas as notificações. Recomendamos que adicione vários destinatários ao Centro de Mensagens e solicite que as notificações (incluindo Azure AD Ligação Notificações de Saúde) sejam enviadas para uma lista de distribuição ou caixa de correio partilhada. Se tiver apenas uma conta de administração global com um endereço de e-mail, certifique-se de configurar pelo menos duas contas capazes de e-mail.

Existem dois endereços "From" utilizados pela Azure AD: o365mc@email2.microsoft.com, que envia notificações do Centro de Mensagens; e azure-noreply@microsoft.com, que envia notificações relacionadas com:

Consulte a tabela seguinte para saber o tipo de notificações enviadas e onde verificar:

Fonte de notificação O que é enviado Onde verificar
Contacto técnico Erros de sincronização portal do Azure - lâmina de propriedades
Centro de Mensagens Avisos de incidentes e de degradação dos Serviços de Identidade e serviços de backend Microsoft 365 Portal Office
Proteção de Identidade Semanal Digest Proteção de Identidade Digest Lâmina de proteção de identidade Azure AD
Azure AD Connect Health Notificações de alerta portal do Azure - Azure AD Ligação Health Blade
Notificações de Aplicações empresariais Notificações quando os certificados estão prestes a expirar e erros de provisionamento portal do Azure - Lâmina de aplicação da empresa (cada aplicação tem a sua própria definição de endereço de e-mail)

Área de superfície operacional

Bloqueio AD FS

As organizações, que configuram aplicações para autenticar diretamente para a Azure AD beneficiam do bloqueio inteligente Azure AD. Se utilizar O FS AD em Windows Server 2012 R2, implemente a proteção de bloqueio extranet AD FS. Se utilizar O FS AD no Windows Server 2016 ou posterior, implemente o bloqueio inteligente da extranet. No mínimo, recomendamos que permita que o bloqueio da extranet contenha o risco de ataques de força bruta contra Ative Directory no local. No entanto, se tiver FS AD em Windows 2016 ou superior, também deve ativar o bloqueio inteligente extranet que ajudará a mitigar os ataques de spray de senha.

Se o AD FS for utilizado apenas para a federação Azure AD, existem alguns pontos finais que podem ser desligados para minimizar a área da superfície de ataque. Por exemplo, se o FS AD só for utilizado para o Azure AD, deve desativar WS-Trust pontos finais que não sejam os pontos finais ativados para o utilizador e o transporte de janelas.

Acesso a máquinas com componentes de identidade no local

As organizações devem bloquear o acesso às máquinas com componentes híbridos no local da mesma forma que o seu domínio no local. Por exemplo, um operador de backup ou administrador hiper-V não deve ser capaz de iniciar sessão no Azure AD Ligação Server para alterar as regras.

O modelo de nível administrativo ative directory foi concebido para proteger os sistemas de identidade utilizando um conjunto de zonas tampão entre o controlo total do Ambiente (Nível 0) e os ativos de estação de trabalho de alto risco que os atacantes frequentemente comprometem. Diagram showing the three layers of the Tier model

O modelo de nível é composto por três níveis e inclui apenas contas administrativas, não contas padrão de utilizador.

  • Camada 0 – Controlo direto de identidades da empresa no ambiente. A Camada 0 inclui contas, grupos e outros recursos que têm controlo administrativo direto ou indireto da floresta, dos domínios ou dos controladores de domínio do Active Directory e todos os elementos no mesmo. A sensibilidade de segurança de todos os ativos da Camada 0 é equivalente, uma vez que têm controlo uns sobre os outros.
  • Camada 1 – Controlo de aplicações e servidores da empresa. Os ativos da Camada 1 incluem sistemas operativos de servidor, serviços em nuvem e aplicações empresariais. As contas de administrador da Camada 1 têm controlo administrativo de uma quantidade significativa de valor de negócios alojado nestes ativos. Uma função de exemplo comum são os administradores do servidor que realizam a manutenção destes sistemas operativos e são capazes de afetar todos os serviços da empresa.
  • Camada 2 – Controlo dos dispositivos e das estações de trabalho do utilizador. As contas de administrador da Camada 2 têm controlo administrativo de uma quantidade significativa de valor de negócios alojado em dispositivos e estações de trabalho do utilizador. Os exemplos incluem administradores de Suporte Técnico e suporte de computador pois podem afetar a integridade dos dados de praticamente qualquer utilizador.

Bloqueie o acesso a componentes de identidade no local, tais como Ligação AZure AD, AD FS e serviços de SQL da mesma forma que faz para controladores de domínio.

Resumo

Há sete aspetos numa infraestrutura de identidade segura. Esta lista irá ajudá-lo a encontrar as ações que deve tomar para otimizar as operações para Azure Ative Directory (Azure AD).

  • Atribua os proprietários a tarefas-chave.
  • Automatizar o processo de atualização para componentes híbridos no local.
  • Implementar Azure AD Ligação Health para monitorização e reporte de Azure AD Ligação e AD FS.
  • Monitorize a saúde dos componentes híbridos no local, arquivando e analisando os registos do agente componente utilizando System Center Gestor de Operações ou uma solução SIEM.
  • Implemente melhorias de segurança medindo a sua postura de segurança com a Identity Secure Score.
  • Bloqueie o AD FS.
  • Bloqueie o acesso a máquinas com componentes de identidade no local.

Passos seguintes

Consulte os planos de implementação Azure AD para detalhes de implementação sobre quaisquer capacidades que não tenha implementado.