Защита удостоверений организации с помощью Azure AD
Попытка обезопасить своих работников в современном мире может оказаться сложной задачей, особенно если нужно быстро реагировать и быстро предоставлять доступ ко многим услугам. Эта статья содержит краткий список всех действий, которые необходимо выполнить, чтобы определить порядок развертывания функций Azure Active Directory (Azure AD) на основе используемого типа лицензии и определить приоритеты. Microsoft Azure Active Directory располагает множеством функций и обеспечивает множество уровней безопасности для удостоверений, поэтому поиск нужной функции иногда оказывается сложной задачей. Этот документ призван помочь организациям быстро развертывать службы с безопасными удостоверениями в качестве основного решения.
Каждая таблица предоставляет согласованные рекомендации по обеспечению безопасности, защищающие удостоверения от распространенных атак безопасности, минимизируя при этом трения пользователей.
Рекомендации помогут:
- Настройте безопасный и защищенный доступ к SaaS и локальным приложениям.
- Облачные и гибридные удостоверения.
- Пользователи, работающие удаленно или в офисе.
Предварительные требования
В этом учебнике предполагается, что в Microsoft Azure Active Directory уже установлены только облачные или гибридные удостоверения. Чтобы получить справку по выбору типа удостоверения, см. статью Выбор правильного метода проверки подлинности гибридного решения по идентификации для Azure Active Directory.
Пошаговое руководство
Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см. в руководстве Настройка Azure AD при входе в центр Microsoft 365 Admin. Чтобы ознакомиться с рекомендациями без входа в систему и активации функций автоматической настройки, перейдите на портал установки M365.
Руководство для клиентов Azure AD Free, Office 365 и Microsoft 365.
Существует множество рекомендаций, которые Azure AD Free, Office 365 или приложения Microsoft 365 должны принимать для защиты удостоверений пользователей. Следующая таблица предназначена для выделения ключевых действий для следующих подписок на лицензии:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, приложения для бизнеса, Business Standard, Business Premium, A1)
- Azure AD Free (входит в состав Azure, Dynamics 365, Intune и Power Platform)
| Рекомендованное действие | Подробный сведения |
|---|---|
| Включение параметров безопасности по умолчанию | Защита всех удостоверений пользователей и приложений путем включения MFA и блокирования устаревшей проверки подлинности |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая интеллектуальную блокировку, блокировку IP-адресов и возможность обнаружения утечек учетных данных). |
| Включение интеллектуальной блокировки ADFS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включение смарт-блокировки Azure Active Directory (при использовании управляемых удостоверений) | Интеллектуальная блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора, чтобы войти в систему. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс предоставления согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие действия по предоставлению согласия пользователем, чтобы сократить направления атак и устранить этот риск. |
| Интеграция поддерживаемых приложений SaaS из коллекции в Microsoft Azure Active Directory и включение единого входа | Azure AD имеет коллекцию, содержащую тысячи предварительно созданных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Дистанционное и безопасное предоставление доступа к корпоративным приложениям SaaS с улучшенным интерфейсом пользователя (SSO) |
| Автоматизация подготовки и отмены подготовки пользователей в приложениях SaaS (если применимо) | Автоматическое создание удостоверений и ролей пользователей в облачных приложениях (SaaS), к которым пользователям необходим доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя сопровождение и удаление удостоверений пользователей по мере изменения их статуса или ролей, что повышает безопасность организации. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо) | Опубликуйте и защитите локальные и облачные устаревшие приложения проверки подлинности, подключив их к Microsoft Azure Active Directory с помощью имеющегося контроллера доставки приложений или сети. |
| Включение самостоятельного сброса пароля (применимо только к облачным учетным записям) | Эта возможность снижает количество обращений в службу поддержки и снижает производительность, когда пользователь не может войти в свое устройство или приложение. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. Не все администраторы должны быть глобальными администраторами. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
Руководство для клиентов Azure AD Premium Plan 1.
Следующая таблица позволяет выделить ключевые действия для следующих подписок на лицензии.
- Azure Active Directory Premium P1 (Azure AD P1)
- Enterprise Mobility + Security (EMS E3)
- Microsoft 365 (E3, A3, F1, F3)
| Рекомендованное действие | Подробный сведения |
|---|---|
| Создание нескольких глобальных администраторов | Назначьте по крайней мере две постоянные учетные записи глобального администратора только в облаке для использования в чрезвычайных ситуациях. Эти учетные записи не следует использовать ежедневно, и для них необходимо настроить длинные и сложные пароли. |
| Включите объединенный интерфейс регистрации для Azure AD MFA и SSPR, чтобы упростить регистрацию пользователей | Разрешите регистрацию пользователей через один общий интерфейс для использования службы "Многофакторная идентификация Microsoft Azure" и самостоятельного сброса пароля. |
| Настройка параметров MFA для организации | Защита учетных записей от несанкционированного доступа с помощью многофакторной проверки подлинности |
| Включение самостоятельного сброса пароля | Эта возможность снижает количество обращений в службу технической поддержки и снижает производительность, когда пользователь не может войти в свое устройство или приложение. |
| Реализация компонента обратной записи паролей (при использовании гибридных удостоверений) | Разрешите обратную запись измененного в облаке пароля в локальной среде Active Directory в Windows Server. |
| Создание и включение политик условного доступа | MFA для администраторов, чтобы защитить учетные записи, которым назначены права администратора. Блокировка устаревших протоколов проверки подлинности из-за повышенного риска, связанного с устаревшими протоколами аутентификации. MFA для всех пользователей и приложений, что позволяет создать сбалансированную политику MFA для конкретной среды, обеспечивая защиту пользователей и приложений. Требование использования MFA для управления Azure в целях защиты привилегированных ресурсов путем требования многофакторной идентификации для любого пользователя, обращающегося к ресурсам Azure. |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая интеллектуальную блокировку, блокировку IP-адресов и возможность обнаружения утечек учетных данных). |
| Включение интеллектуальной блокировки ADFS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включение смарт-блокировки Azure Active Directory (при использовании управляемых удостоверений) | Интеллектуальная блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора, чтобы войти в систему. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс предоставления согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие действия по предоставлению согласия пользователем, чтобы сократить направления атак и устранить этот риск. |
| Обеспечение удаленного доступа к локальным устаревшим приложениям с помощью Application Proxy | Включите Azure AD Application Proxy и интегрируйте с устаревшими приложениями, чтобы пользователи могли безопасно получать доступ к локальным приложениям, выполнив вход с помощью учетной записи Azure AD. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо). | Опубликуйте и защитите локальные и облачные устаревшие приложения проверки подлинности, подключив их к Microsoft Azure Active Directory с помощью имеющегося контроллера доставки приложений или сети. |
| Интеграция поддерживаемых приложений SaaS из коллекции в Microsoft Azure Active Directory и включение единого входа | Azure AD имеет коллекцию, содержащую тысячи предварительно созданных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Дистанционное и безопасное предоставление доступа к корпоративным приложениям SaaS с улучшенным интерфейсом пользователя (SSO). |
| Автоматизация подготовки и отмены подготовки пользователей в приложениях SaaS (если применимо) | Автоматическое создание удостоверений и ролей пользователей в облачных приложениях (SaaS), к которым пользователям необходим доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя сопровождение и удаление удостоверений пользователей по мере изменения их статуса или ролей, что повышает безопасность организации. |
| Включение условного доступа на основе устройства | Улучшение безопасности и взаимодействие с пользователем с помощью условного доступа на основе устройств. Этот шаг гарантирует, что доступ пользователей возможен только с устройств, отвечающих стандартам безопасности и соответствия требованиям. Такие устройства называются управляемыми устройствами. Для устройств, соответствующих требованиям Intune, или устройств с гибридным присоединением к Microsoft Azure Active Directory выполните следующие действия. |
| Включение защиты паролем | Защитите пользователей от использования слабых и простых для взлома паролей. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. Не все администраторы должны быть глобальными администраторами. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
| Руководство по настройке пользовательских списков запрещенных слов для защиты паролей в Azure Active Directory | Запретите пользователям создавать пароли, содержащие слова или фразы, часто используемые в вашей организации или сфере. |
| Развертывание методов проверки подлинности без пароля | Предоставьте пользователям удобные методы для проверки подлинности без пароля |
| Планирование доступа гостевых пользователей | Для совместной работы разрешите гостевым пользователям выполнять вход в приложения и службы с использованием собственных рабочих или учебных учетных данных или учетных данных из социальных сетей. |
Руководство для клиентов Azure AD Premium Plan 2.
Следующая таблица позволяет выделить ключевые действия для следующих подписок на лицензии.
- Azure Active Directory Premium P2
- Enterprise Mobility + Security (EMS E5)
- Microsoft 365 (E5, A5)
| Рекомендованное действие | Подробный сведения |
|---|---|
| Создание нескольких глобальных администраторов | Назначьте по крайней мере две постоянные учетные записи глобального администратора только в облаке для использования в чрезвычайных ситуациях. Эти учетные записи не следует использовать ежедневно, и для них необходимо настроить длинные и сложные пароли. |
| Включите объединенный интерфейс регистрации для Azure AD MFA и SSPR, чтобы упростить регистрацию пользователей | Разрешите регистрацию пользователей через один общий интерфейс для использования службы "Многофакторная идентификация Microsoft Azure" и самостоятельного сброса пароля. |
| Настройка параметров MFA для организации | Защита учетных записей от несанкционированного доступа с помощью многофакторной проверки подлинности |
| Включение самостоятельного сброса пароля | Эта возможность снижает количество обращений в службу технической поддержки и снижает производительность, когда пользователь не может войти в свое устройство или приложение. |
| Реализация компонента обратной записи паролей (при использовании гибридных удостоверений) | Разрешите обратную запись измененного в облаке пароля в локальной среде Active Directory в Windows Server. |
| Включение политик защиты идентификации для применения регистрации MFA | Управление развертыванием многофакторной идентификации (MFA) Azure AD. |
| Включение политики риска для пользователей и входа в систему защиты идентификации | Включение политики риска для пользователей и входа в систему защиты идентификации Рекомендуемая политика входа предназначена для входа в систему со средним риском и требует указания MFA. Для политик пользователей следует ориентироваться на пользователей с высоким риском, которым требуется действие смены пароля. |
| Создание и включение политик условного доступа | MFA для администраторов, чтобы защитить учетные записи, которым назначены права администратора. Блокировка устаревших протоколов проверки подлинности из-за повышенного риска, связанного с устаревшими протоколами аутентификации. Требование использования MFA для управления Azure в целях защиты привилегированных ресурсов путем требования многофакторной идентификации для любого пользователя, обращающегося к ресурсам Azure. |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая интеллектуальную блокировку, блокировку IP-адресов и возможность обнаружения утечек учетных данных). |
| Включение интеллектуальной блокировки ADFS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включение смарт-блокировки Azure Active Directory (при использовании управляемых удостоверений) | Интеллектуальная блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора, чтобы войти в систему. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс предоставления согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие действия по предоставлению согласия пользователем, чтобы сократить направления атак и устранить этот риск. |
| Обеспечение удаленного доступа к локальным устаревшим приложениям с помощью Application Proxy | Включите Azure AD Application Proxy и интегрируйте с устаревшими приложениями, чтобы пользователи могли безопасно получать доступ к локальным приложениям, выполнив вход с помощью учетной записи Azure AD. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо). | Опубликуйте и защитите локальные и облачные устаревшие приложения проверки подлинности, подключив их к Microsoft Azure Active Directory с помощью имеющегося контроллера доставки приложений или сети. |
| Интеграция поддерживаемых приложений SaaS из коллекции в Microsoft Azure Active Directory и включение единого входа | Azure AD имеет коллекцию, содержащую тысячи предварительно созданных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Дистанционное и безопасное предоставление доступа к корпоративным приложениям SaaS с улучшенным интерфейсом пользователя (SSO). |
| Автоматизация подготовки и отмены подготовки пользователей в приложениях SaaS (если применимо) | Автоматическое создание удостоверений и ролей пользователей в облачных приложениях (SaaS), к которым пользователям необходим доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя сопровождение и удаление удостоверений пользователей по мере изменения их статуса или ролей, что повышает безопасность организации. |
| Включение условного доступа на основе устройства | Улучшение безопасности и взаимодействие с пользователем с помощью условного доступа на основе устройств. Этот шаг гарантирует, что доступ пользователей возможен только с устройств, отвечающих стандартам безопасности и соответствия требованиям. Такие устройства называются управляемыми устройствами. Для устройств, соответствующих требованиям Intune, или устройств с гибридным присоединением к Microsoft Azure Active Directory выполните следующие действия. |
| Включение защиты паролем | Защитите пользователей от использования слабых и простых для взлома паролей. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. Не все администраторы должны быть глобальными администраторами. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
| Руководство по настройке пользовательских списков запрещенных слов для защиты паролей в Azure Active Directory | Запретите пользователям создавать пароли, содержащие слова или фразы, часто используемые в вашей организации или сфере. |
| Развертывание методов проверки подлинности без пароля | Предоставьте пользователям удобные методы для проверки подлинности без пароля |
| Планирование доступа гостевых пользователей | Для совместной работы разрешите гостевым пользователям выполнять вход в приложения и службы с использованием собственных рабочих или учебных учетных данных или учетных данных из социальных сетей. |
| Включение Azure Active Directory Privileged Identity Management | Позволяет контролировать доступ к важным ресурсам в организации и управлять им, обеспечивая доступ к администраторам только при необходимости и утверждении. |
| Завершение проверки доступа ролей каталога Azure AD в PIM | Совместно с сотрудниками отделов безопасности и управления создайте политику проверки доступа для проверки доступа с правами администратора на основе политик, принятых в вашей организации. |
Решение "Никому не доверяй"
Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":
- Прямая проверка
- Использование минимальных привилегий
- Предполагаемое нарушение
Дополнительные сведения о модели "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в разделе Центр руководства по модели "Никому не доверяй".
Дальнейшие действия
- Подробные рекомендации по развертыванию отдельных функций Azure AD см. в статье Планы развертывания проекта Azure AD.
- Организации могут использовать оценку безопасности удостоверений для отслеживания хода выполнения других рекомендаций Майкрософт.