Планирование развертывания защиты идентификации

Защита идентификации Microsoft Entra обнаруживает риски на основе удостоверений, сообщает им и позволяет администраторам исследовать и устранять эти риски, чтобы обеспечить безопасность и безопасность организаций. Риски могут быть более подробными в средствах, таких как условный доступ для принятия решений о доступе или обратно в средство управления сведениями безопасности и событиями (SIEM) для дальнейшего изучения.

Этот план развертывания расширяет основные понятия, представленные в плане развертывания условного доступа.

Необходимые компоненты

• Рабочий клиент Microsoft Entra с включенным идентификатором Microsoft Entra ID P2 или пробной лицензией. Создайте ее бесплатно, если нужно.
  • Идентификатор Microsoft Entra ID P2 требуется для включения риска защиты идентификации в политиках условного доступа.
• Администратор istrator, взаимодействующие с защитой идентификации, должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач. Чтобы следовать принципу нулевого доверия наименьших привилегий, рекомендуется использовать управление привилегированными пользователями (PIM) для JIT-активации назначений привилегированных ролей.
  • Чтение политик и конфигураций защиты идентификации и условного доступа
    • читатель сведений о безопасности;
    • Глобальный читатель
  • Управление защитой идентификации
    • Оператор безопасности
    • администратор безопасности;
  • Создание или изменение политик условного доступа
    • Администратор условного доступа
    • администратор безопасности;
• Тестовый пользователь (неадминистратор), позволяющий проверять работу политик должным образом перед развертыванием для реальных пользователей. Если вам нужно создать пользователя, см . краткое руководство. Добавление новых пользователей в идентификатор Microsoft Entra ID.
• Группа, в которую входит пользователь без прав администратора. Если вам нужно создать группу, см. статью "Создание группы" и добавление участников в идентификатор Microsoft Entra.

Привлечение соответствующих заинтересованных лиц

При сбое технологических проектов они обычно делают это из-за несоответствия ожиданий на влияние, результаты и обязанности. Чтобы избежать этих ошибок, убедитесь, что вы являетесь правильными заинтересованными лицами и что роли заинтересованных лиц в проекте хорошо поняты, документируя заинтересованных лиц, их входные данные проекта и подотчетность.

Взаимодействие с изменением

Обмен данными имеет решающее значение для успешного выполнения любых новых функций. Вы должны заранее взаимодействовать с пользователями, как их взаимодействие изменяется, когда оно изменяется, и как получить поддержку, если они сталкиваются с проблемами.

Шаг 1. Просмотр существующих отчетов

Перед развертыванием политик условного доступа на основе рисков важно просмотреть отчеты защиты идентификации. Эта проверка дает возможность исследовать существующее подозрительное поведение, возможно, вы пропустили и отклонить или подтвердить эти пользователи как безопасные, если вы определили, что они не подвержены риску.

• Анализ обнаруженных рисков
• Устранение рисков и разблокирование пользователей
• Внесение массовых изменений с помощью Microsoft Graph PowerShell

Для повышения эффективности рекомендуется разрешить пользователям самостоятельно устранять их с помощью политик, которые обсуждаются на шаге 3.

Шаг 2. Планирование политик риска условного доступа

Защита идентификации отправляет сигналы риска условному доступу, принимать решения и применять политики организации, такие как требование многофакторной проверки подлинности или изменения пароля. Перед созданием политик следует планировать несколько организаций.

Исключения политик

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Учетные записи для аварийного доступа и учетные записи для обхода стандартной системы контроля доступа, чтобы предотвратить блокировку учетной записи на уровне арендатора. Если все администраторы заблокированы для вашего арендатора (хотя это маловероятная ситуация), можно использовать учетную запись администратора для аварийного доступа, чтобы войти в систему арендатора и восстановить доступ.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Подключение. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Такие учетные записи служб должны быть исключены, так как MFA невозможно выполнить программным способом. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, область пользователям. Используйте условный доступ для удостоверений рабочей нагрузки для определения политик, предназначенных для субъектов-служб.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями. В качестве временного решения проблемы можно исключить эти конкретные учетные записи пользователей из базовой политики.

Многофакторная проверка подлинности

Чтобы пользователи самостоятельно устраняли риск, они должны регистрироваться для многофакторной проверки подлинности Microsoft Entra, прежде чем они становятся рискованными. Дополнительные сведения см. в статье "Планирование развертывания многофакторной проверки подлинности Microsoft Entra".

Известные сетевые расположения

Важно настроить именованные расположения в условном доступе и добавить диапазоны VPN в Defender для облака приложения. Входы из именованных расположений, помеченные как доверенные или известные, повышают точность вычислений рисков Защита идентификации Microsoft Entra. Эти входы снижают риск пользователя при проверке подлинности из расположения, помеченного как доверенное или известное. Эта практика снижает ложноположительные срабатывания для некоторых обнаружений в вашей среде.

Режим только отчета

Режим только для отчетов — это состояние политики условного доступа, позволяющее администраторам оценить влияние политик условного доступа перед применением их в среде.

Шаг 3. Настройка политик

Политика регистрации с MFA для защиты идентификации

Используйте политику регистрации многофакторной проверки подлинности защиты идентификации, чтобы пользователи зарегистрировались для многофакторной проверки подлинности Microsoft Entra, прежде чем они должны использовать его. Выполните действия, описанные в статье Практическое руководство . Настройка политики регистрации многофакторной проверки подлинности Microsoft Entra для включения этой политики.

Политики условного доступа

Риск входа . Большинство пользователей имеют нормальное поведение, которое можно отслеживать, когда они выходят за пределы этой нормы, это может быть рискованным, чтобы позволить им просто войти. Возможно, вам необходимо будет заблокировать таких пользователей или просто попросить их выполнить многофакторную идентификацию, чтобы доказать, что они действительно те, за кого себя выдают. Вы можете начать с области этих политик только администраторам.

Риск пользователя — корпорация Майкрософт работает с исследователями, правоохранительными органами, различными группами безопасности корпорации Майкрософт и другими доверенными источниками, чтобы найти утечку пар имени пользователя и пароля. При обнаружении этих уязвимых пользователей рекомендуется выполнить многофакторную проверку подлинности, а затем сбросить пароль.

В статье "Настройка и включение политик риска" приведены рекомендации по созданию политик условного доступа для решения этих рисков.

Шаг 4. Мониторинг и непрерывные операционные потребности

Уведомления по электронной почте

Включите уведомления , чтобы вы могли реагировать, когда пользователь помечается как риск, чтобы начать расследование немедленно. Вы также можете настроить еженедельные дайджест-сообщения электронной почты, предоставляя вам обзор риска на эту неделю.

Мониторинг и исследование

Книга "Защита идентификации" помогает отслеживать и искать шаблоны в клиенте. Отслеживайте эту книгу для тенденций, а также результаты режима только условного доступа, чтобы узнать, есть ли какие-либо изменения, которые необходимо вносить, например, дополнения к именованным расположениям.

Microsoft Defender для облака Приложения предоставляют организации платформы исследования, которые могут использовать в качестве отправной точки. Дополнительные сведения см. в статье "Изучение оповещений об обнаружении аномалий".

Вы также можете использовать API защиты идентификации для экспорта сведений о рисках в другие средства, чтобы ваша группа безопасности могли отслеживать и оповещать о событиях риска.

Во время тестирования может потребоваться имитировать некоторые угрозы для тестирования процессов исследования.

Следующие шаги

Что такое риск?