Пять шагов по защите инфраструктуры удостоверений

Если вы читаете этот документ, значит вы понимаете значимость безопасности. Скорее всего, вы уже несете ответственность за обеспечение безопасности вашей организации. Если вам нужно убедить других пользователей в важности защиты, посоветуйте им прочитать последний отчет Майкрософт о цифровой защите.

Этот документ поможет вам получить более безопасную позицию с помощью возможностей идентификатора Microsoft Entra с помощью пятишагого списка проверка для улучшения защиты вашей организации от кибератак.

Этот контрольный список поможет вам быстро выполнить важные рекомендуемые действия для защиты вашей организации, так как в нем объясняется, как реализовать следующие задачи.

• укрепление учетных данных;
• Уменьшение области направления атак
• автоматизация реагирования на угрозы;
• использование Cloud Intelligence;
• включение возможности самообслуживания для пользователей.

Примечание.

Многие рекомендации в этом документе применяются только к приложениям, настроенным для использования идентификатора Microsoft Entra в качестве поставщика удостоверений. Настроив приложения для единого входа, вы получите преимущества политик учетных данных, обнаружения угроз, аудита, ведения журналов, а также другие возможности, добавляемые в приложения. Microsoft Entra Application Management — это основа, на основе которой основаны все эти рекомендации.

Рекомендации в этом документе соответствуют оценке безопасности удостоверений, автоматической оценке конфигурации безопасности удостоверений клиента Microsoft Entra. Организации могут использовать страницу оценки безопасности удостоверений в Центре администрирования Microsoft Entra, чтобы найти пробелы в текущей конфигурации безопасности, чтобы убедиться, что они соответствуют текущим рекомендациям Майкрософт по обеспечению безопасности. Реализация каждой рекомендации на странице оценки безопасности увеличит ваш рейтинг и позволит вам отслеживать свой прогресс, а также поможет вам сравнить свою реализацию с реализациями других организаций аналогичного размера.

Примечание.

Некоторые из рекомендуемых функций доступны всем клиентам, а для других — подписка Microsoft Entra ID P1 или P2. Дополнительные сведения см. в разделе о ценах на Microsoft Entra и проверка list.

Перед началом работы: защита привилегированных учетных записей с помощью многофакторной идентификации

Перед выполнением задач в этом контрольном списке убедитесь, что во время чтения этого списка ваша безопасность не пострадает. В Microsoft Entra мы наблюдаем 50 миллионов атак паролей ежедневно, но только 20% пользователей и 30% глобальных администраторов используют надежные проверки подлинности, такие как многофакторная проверка подлинности (MFA). Эти статистические данные основываются на данных за август 2021 г. В идентификаторе Microsoft Entra пользователи, имеющие привилегированные роли, такие как администраторы, являются корнем доверия для создания и управления остальной частью среды. Чтобы свести к минимуму последствия компрометации, реализуйте следующие методы.

Злоумышленники, получившие доступ к привилегированным учетным записям, могут причинить значительный ущерб, поэтому очень важно защитить эти учетные записи, прежде чем продолжать работу. Включите и требуется многофакторная проверка подлинности Microsoft Entra (MFA) для всех администраторов в организации с помощью microsoft Entra Security Defaults или условного доступа. Это крайне важно.

Все сделано? Начнем работу по контрольному списку.

Шаг 1. Укрепление учетных данных

Хотя наблюдаются и атаки других типов, включая фишинг согласия и атаки на удостоверения, не принадлежащие человеку, атаки на основе пароля на удостоверения пользователей по-прежнему являются наиболее распространенным вектором компрометации удостоверений. Хорошо установленные кампании фишинга и паролей спрей паролей злоумышленниками по-прежнему успешны в отношении организаций, которые еще не реализовали многофакторную проверку подлинности (MFA) или другие защиты от этой общей тактики.

Вам как организации необходимо убедиться, что ваши удостоверения проверяются и защищаются с помощью MFA на всех этапах. В 2020 году в отчете ФБР IC3 фишинг был признан основным типом преступлений на основе жалоб, поступающих от жертв атак. По сравнение с предыдущим годом число, указанное в отчете, увеличилось вдвое. Фишинг представляет значительную угрозу для предприятий и частных лиц, а фишинг учетных данных использовался во многих наиболее вредоносных атаках прошлого года. Многофакторная проверка подлинности (MFA) Microsoft Entra помогает защитить доступ к данным и приложениям, предоставляя другой уровень безопасности с помощью второй формы проверки подлинности. Организации могут включить многофакторную проверку подлинности с условным доступом, чтобы решение соответствовало их нуждам. Ознакомьтесь с этим руководством по развертыванию, чтобы узнать , как спланировать, реализовать и развернуть многофакторную проверку подлинности Microsoft Entra.

В организации должна действовать строгая проверка подлинности.

Чтобы легко включить базовый уровень безопасности удостоверений, можно использовать функцию включения по умолчанию безопасности Microsoft Entra. По умолчанию безопасность применяет многофакторную проверку подлинности Microsoft Entra для всех пользователей в клиенте и блокирует входы из устаревших протоколов на уровне клиента.

Если у вашей организации есть лицензии Microsoft Entra ID P1 или P2, вы также можете использовать аналитические сведения об условном доступе и книгу отчетов, чтобы помочь вам обнаружить пробелы в конфигурации и охвате. С помощью этих рекомендаций можно легко заполнить этот пробел, создав политику с использованием новых шаблонов условного доступа. Шаблоны условного доступа предназначены для упрощения развертывания новых политик, которые отвечают рекомендациям Майкрософт. Таки е шаблоны упрощают развертывание общих политик для защиты удостоверений и устройств.

Начните с применения запрета к часто атакуемым паролям, откажитесь от традиционных требований к сложности, отключите правила истечения срока действия.

Во многих организациях используются традиционные требования к сложности и правила истечения срока действия пароля. Как показало исследование корпорации Майкрософт и указывается в инструкциях NIST, что эти политики вынуждают пользователей выбирать легко подбираемые пароли. Мы рекомендуем использовать функцию защиты паролей Microsoft Entra с динамическим запрещенным паролем с помощью текущего поведения злоумышленника, чтобы запретить пользователям задавать пароли, которые можно легко угадать. Эта возможность всегда включена при создании пользователей в облаке, но теперь доступна для гибридных организаций при развертывании защиты паролей Microsoft Entra для Windows Server Active Directory. Кроме того, рекомендуем удалить политики истечения срока действия. Изменение пароля не дает никаких преимуществ автономности, так как киберпреступники почти всегда используют учетные данные сразу же после их компрометации. См. статью Установка политики истечения срока действия пароля для организации.

Защита от утечки учетных данных и добавление устойчивости к сбоям

Самый простой и рекомендуемый способ включения облачной проверки подлинности для локальных объектов каталога в идентификаторе Microsoft Entra — включить синхронизацию хэша паролей (PHS). Если организация использует гибридное решение со сквозной проверкой подлинности или федерацией для удостоверений, необходимо включить синхронизацию хэшей паролей по следующим двум причинам.

• В отчете "Пользователи с утечкой учетных данных" в идентификаторе Microsoft Entra предупреждают о парах имен пользователей и паролей, которые были публично предоставлены. Невероятное количество паролей пропадает в результате фишинга, применения вредоносного ПО и повторного использования паролей на сайтах сторонних производителей, которые через какое-то время подвергаются угрозам. Корпорация Майкрософт находит многие из украденных учетных данных и сообщает о них в этом отчете, если обнаруженные сведения совпадают с учетными данными в вашей организации, но только при условии, что вы включили синхронизацию хэшей паролей или используете удостоверения только для облака!
• Если локальный сбой происходит, например атака программы-шантажистов, вы можете переключиться на использование облачной проверки подлинности с помощью синхронизации хэша паролей. Этот метод проверки подлинности резервного копирования позволит продолжить доступ к приложениям, настроенным для проверки подлинности с помощью идентификатора Microsoft Entra, включая Microsoft 365. В этом случае ИТ-персоналу не нужно будет прибегать к теневым ИТ или личным учетным записям электронной почты для обмена данными до тех пор, пока не будет устранен локальный сбой.

Пароли никогда не хранятся в чистом тексте или шифруются с помощью обратимого алгоритма в идентификаторе Microsoft Entra. Для получения дополнительной информации о фактическом процессе синхронизации хэша паролей изучите раздел Подробное описание принципа действия синхронизации хэшированных паролей.

Реализация интеллектуальной блокировки экстрасети служб федерации Active Directory

Смарт-блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора пароля для входа. Эта функция позволяет распознавать входные сигналы от действительных пользователей и относиться к ним иначе, нежели к злоумышленникам и другим неизвестным источникам. Доступ для злоумышленников блокируется. При этом обычные пользователи могут спокойно получать доступ к учетным записям и продолжать работу. Организации, которые настраивают приложения для проверки подлинности непосредственно в идентификаторе Microsoft Entra ID, пользуются смарт-блокировкой Microsoft Entra. В развернутых федеративных системах с использованием AD FS 2016 и AD FS 2019 можно обеспечить аналогичные преимущества с помощью функций блокировки экстрасети и смарт-блокировки экстрасети AD FS.

Шаг 2. Уменьшение области поверхности атаки

Учитывая широкое распространение компрометации паролей, решающее значение имеет минимизация контактной зоны для атаки. Отключите использование старых и менее защищенных протоколов, ограничьте доступ к точкам входа, перейдите на проверку подлинности в облаке, организуйте более строгий контроль административного доступа к ресурсам и реализуйте принципов безопасности по модели "Никому не доверяй".

Использование облачной проверки подлинности

Учетные данные являются основным вектором атаки. Рекомендации в этом блоге помогут уменьшить область атаки, используя проверку подлинности в облаке, развернуть MFA и применить методы проверки подлинности без пароля. Вы можете развернуть методы без пароля, такие как Windows Hello для бизнеса, вход с использованием телефона и приложения Microsoft Authenticator или FIDO.

Блокировать устаревших методов проверки подлинности

Приложения, использующие собственные устаревшие методы для проверки подлинности с помощью идентификатора Microsoft Entra ID и доступа к корпоративным данным, представляют еще один риск для организаций. В их число входят клиенты SMTP, POP3 и IMAP4. Устаревшие приложения проверки подлинности проходят проверку подлинности от имени пользователя и не позволяют идентификатору Microsoft Entra выполнять дополнительные оценки безопасности. Альтернативная современная проверка подлинности уменьшит риск безопасности, так как она поддерживает многофакторную проверку подлинности и условный доступ.

Рекомендуем сделать следующее:

1. Обнаружение устаревшей проверки подлинности в организации с помощью журналов входа в Microsoft Entra и книг Log Analytics.
2. Настройка SharePoint Online и Exchange Online для использования современных способов проверки подлинности.
3. Если у вас есть лицензии Microsoft Entra ID P1 или P2, используйте политики условного доступа для блокировки устаревшей проверки подлинности. Для уровня "Бесплатный идентификатор Microsoft Entra ID" используйте значения по умолчанию безопасности Microsoft Entra.
4. Блокировка устаревшей проверки подлинности (если используются службы AD FS).
5. Заблокируйте устаревшую проверку подлинности с использованием Exchange Server 2019.
6. Отключите устаревшую проверку подлинности в Exchange Online.

Дополнительные сведения см. в статье "Блокировка устаревших протоколов проверки подлинности" в идентификаторе Microsoft Entra.

Блокировка недопустимых точек входа для проверки подлинности

Используя принцип явной проверки, вы должны уменьшить влияние скомпрометированных учетных данных, когда таковые появятся. Для каждого приложения в вашей среде рассмотрите применимые варианты использования: какие группы, сети, устройства и другие элементы следует авторизовать, а затем заблокируйте остальные. С помощью условного доступа Microsoft Entra вы можете контролировать, как авторизованные пользователи получают доступ к своим приложениям и ресурсам на основе определенных условий, которые вы определяете.

Дополнительные сведения об использовании условного доступа для облачных приложений и действий пользователей см. в разделе Условный доступ: облачные приложения, действия и контекст проверки подлинности.

Проверка ролей администратора и управление ими

Другое принцип модели "Никому не доверяй" — сведение к минимуму вероятности того, что скомпрометированная учетная запись может работать с привилегированной ролью. Этот элемент управления можно реализовать, назначив удостоверению наименьший уровень привилегий. Если вы не знакомы с ролями Microsoft Entra, эта статья поможет вам понять роли Microsoft Entra.

Привилегированные роли в идентификаторе Microsoft Entra должны быть облачными учетными записями, чтобы изолировать их от локальных сред и не использовать локальные хранилища паролей для хранения учетных данных.

Реализация доступа на основе привилегий

Управление привилегированными пользователями (PIM) обеспечивает активацию ролей на основе времени и утверждений, чтобы снизить риски, связанные с чрезмерным, ненужным или неправильным использованием разрешений на доступ к важным ресурсам. К этим ресурсам относятся ресурсы в идентификаторе Microsoft Entra, Azure и других веб-службах Майкрософт, таких как Microsoft 365 или Microsoft Intune.

Microsoft Entra управление привилегированными пользователями (PIM) помогает свести к минимуму привилегии учетной записи, помогая вам:

• идентификация пользователей с назначенными административными ролями и управление ими;
• определение ролей с неиспользуемыми или избыточными привилегиями, которые следует удалить;
• Установите правила, чтобы убедиться, что привилегированные роли защищены многофакторной проверкой подлинности.
• установка правил, предусматривающих действие привилегированных ролей в течение периода выполнения привилегированной задачи.

Включите Microsoft Entra PIM, а затем просмотрите пользователей, которым назначены административные роли, и удалите ненужные учетные записи в этих ролях. Остальных привилегированных пользователей переместите из категории имеющих постоянные привилегии в категорию с возможностью получения привилегий. Наконец, установите соответствующие политики, согласно которым при возникновении необходимости доступ к привилегированным ролям осуществляется в безопасном режиме с необходимым управлением изменениями.

Встроенные и пользовательские роли Microsoft Entra работают над понятиями, похожими на роли, найденные в системе управления доступом на основе ролей для ресурсов Azure (роли Azure). Различие между этими двумя системами управления доступом на основе ролей:

• Роли Microsoft Entra управляют доступом к ресурсам Microsoft Entra, таким как пользователи, группы и приложения с помощью API Microsoft Graph
• Роли Azure контролируют доступ к ресурсам Azure, в том числе к виртуальным машинам и хранилищам, с помощью управления ресурсами Azure.

Для обеих систем используются схожие определения и назначения ролей. Однако разрешения роли Microsoft Entra нельзя использовать в пользовательских ролях Azure и наоборот. В рамках развертывания процесса привилегированной учетной записи следуйте рекомендациям по созданию по крайней мере двух учетных записей для экстренного реагирования, чтобы убедиться, что у вас по-прежнему есть доступ к идентификатору Microsoft Entra, если вы заблокируете себя.

Дополнительные сведения см. в статье Планирование управление привилегированными пользователями развертывания и защиты привилегированного доступа.

Ограничение операций предоставления согласия пользователем

Важно понимать различные возможности предоставления согласия приложения Microsoft Entra, типы разрешений и согласия и их последствия для безопасности вашей организации. Хотя разрешение предоставлять согласие пользователям позволяет им легко приобретать полезные приложения, которые интегрируются с Microsoft 365, Azure и другими службами, без должного мониторинга и использования может возникнуть риск.

Рекомендуется ограничить возможность пользователей предоставлять разрешения приложениям , чтобы они могли это делать только для приложений от проверенных издателей и только для выбранных вами разрешений. После того как сфера действия такого пользовательского согласия будет ограничена, предыдущие разрешения будут по-прежнему соблюдаться, но все будущие операции, связанные с согласием пользователя, должен выполнять администратор. В ограниченном числе случаев пользователь может запросить согласие администратора с помощью интегрированного рабочего процесса запроса согласия администратора или с помощью собственных процессов поддержки. Перед отключением возможности пользователя предоставлять свое согласие воспользуйтесь нашими рекомендациями, чтобы спланировать это изменение в организации. Для приложений, к которым вы хотите разрешить доступ всем пользователям, рассмотрите возможность предоставления согласия от имени всех пользователей, чтобы доступ к приложению получили также те пользователи, которые еще не дали индивидуального согласия. Если предоставлять доступ к этим приложениям всем пользователям во всех сценариях не требуется, используйте назначения приложений и условный доступ, чтобы ограничить доступ пользователей к определенным приложениям.

Убедитесь, что пользователи могут запрашивать утверждение администратора для новых приложений, чтобы уменьшить количество пользователей, свести к минимуму объем поддержки и предотвратить регистрацию пользователей для приложений, использующих учетные данные, отличные от Майкрософт. После того как вы отрегулируете и стабилизируете операции на предоставление согласия, администраторы должны регулярно выполнять аудит приложений и разрешений, на которые предоставляется согласие.

Дополнительные сведения см. в статье о платформе согласия Microsoft Entra.

Шаг 3. Автоматизация реагирования на угрозы

Идентификатор Microsoft Entra имеет множество возможностей, которые автоматически перехватывают атаки, чтобы удалить задержку между обнаружением и ответом. Сократив время внедрения злоумышленников в среду, можно уменьшить расходы и риски. Ниже приведены рекомендуемые к выполнению конкретные действия.

Дополнительные сведения см. в статье Настройка и включение политик риска.

Реализация политики рисков при входе

Риск при входе представляет вероятность того, что данный запрос проверки подлинности отправлен не владельцем удостоверения. Политику на основе рисков для входа можно реализовать, добавив условие риска для входа в политики условного доступа. Такое условие оценивает уровень риска для конкретного пользователя или группы. На основе уровня риска (высокий или средний или низкий), политику можно настроить для блокировки доступа или принудительной многофакторной проверки подлинности. Рекомендуется принудительно выполнить многофакторную проверку подлинности на средних или более рискованных входах.

Реализация политики безопасности для рисков пользователей

Риск пользователя означает вероятность компрометации удостоверения пользователя и вычисляется на основе обнаружений риска пользователя, которые связаны с удостоверением пользователя. Политику на основе рисков пользователей можно реализовать, добавив условие риска пользователей в политики условного доступа. Такое условие оценивает уровень риска для конкретного пользователя. На основе низкого, среднего, высокого уровня риска политика может быть настроена для блокировки доступа или требования безопасного изменения пароля с помощью многофакторной проверки подлинности. Корпорация Майкрософт рекомендует требовать изменения надежного пароля для пользователей с высоким уровнем риска.

В функцию обнаружения рисков пользователя входит проверка того, совпадают ли учетные данные пользователя с учетными данными, утечка которых произошла из-за действий киберпреступников. Для оптимальной работы важно реализовать синхронизацию хэша паролей с Microsoft Entra Подключение Sync.

Интеграция XDR в Microsoft Defender с Защита идентификации Microsoft Entra

Чтобы Защита идентификации могла обеспечить максимальное возможное обнаружение рисков, необходимо получить максимальное возможное количество сигналов. Поэтому важно интегрировать полный набор служб XDR в Microsoft Defender:

• Microsoft Defender для конечной точки
• Microsoft Defender для Office 365
• Microsoft Defender для удостоверений
• Microsoft Defender для облачных приложений

Дополнительные сведения о защите от угроз Майкрософт и важности интеграции различных доменов см. в следующем коротком видео.

Настройка мониторинга и оповещения

Мониторинг и аудит журналов важен для обнаружения подозрительного поведения. В портал Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, такими как Microsoft Sentinel, Azure Monitor и другие средства SIEM. Дополнительные сведения см. в руководстве по операциям безопасности Microsoft Entra.

Шаг 4. Использование облачной аналитики

Аудит и ведение журнала событий безопасности и связанные с ними оповещения являются важными составляющими эффективной стратегии защиты. Отчеты и журналы безопасности обеспечивают электронную запись подозрительных действий и помогают выявлять закономерности, которые могут свидетельствовать об успешной или неудачной попытке проникнуть в сеть извне, а также о внутренних атаках. Аудит можно использовать для отслеживания действий пользователей, соблюдения требований нормативных документов, выполнения экспертизы и многого другого. Оповещения содержат уведомления о событиях безопасности. Убедитесь, что у вас есть политика хранения журналов для журналов входа и журналов аудита для идентификатора Microsoft Entra, экспортируя в Azure Monitor или средство SIEM.

Мониторинг идентификатора Microsoft Entra

Службы и компоненты Microsoft Azure дают возможность настраивать параметры аудита и ведения журнала безопасности. Это поможет выявить недочеты в политиках и механизмах безопасности и устранить эти недочеты для предотвращения нарушений. Вы можете использовать ведение журнала Azure и аудит и использовать отчеты о действиях аудита в Центре администрирования Microsoft Entra. Дополнительные сведения о мониторинге учетных записей пользователей, привилегированных учетных записей, приложений и устройств см. в руководстве по операциям безопасности Microsoft Entra.

Мониторинг работоспособности Microsoft Entra Подключение в гибридных средах

Мониторинг AD FS с помощью Microsoft Entra Подключение Health предоставляет более подробные сведения о потенциальных проблемах и видимости атак на инфраструктуру AD FS. Теперь вы можете просматривать сведения об операциях входа ADFS, чтобы получить более подробные сведения мониторинга. Microsoft Entra Подключение Health предоставляет оповещения с подробными сведениями, шагами разрешения и ссылками на связанную документацию; аналитика использования для нескольких метрик, связанных с трафиком проверки подлинности; мониторинг производительности и отчеты. Используйте книгу сопряженных с риском IP-адресов для ADFS, которая поможет определить норму для вашей среды и реализовать оповещение при обнаружении изменений. Вся гибридная инфраструктура должна отслеживаться как ресурс уровня 0. Подробные рекомендации по мониторингу этих ресурсов можно найти в статье Руководство по операциям обеспечения безопасности для инфраструктуры.

Мониторинг событий Защита идентификации Microsoft Entra

Защита идентификации Microsoft Entra предоставляет два важных отчета, которые следует отслеживать ежедневно.

1. Отчеты о рискованных входах будут отображаться в действиях пользователя. Вы должны узнать, действительно ли законный владелец выполнил вход.
2. Отчеты о рискованных пользователях будут отображаться с учетными записями пользователей, которые могут быть скомпрометированы, например обнаруженные утечки учетных данных или пользователь, выполнявший вход в разных местах, что приводит к событию невозможности перехода.

Аудит приложений и разрешения с предоставлением согласия

Пользователи могут быть обмануты при переходе на скомпрометированный веб-сайт или в приложения, которые получат доступ к их информации о профиле и пользовательским данным, таким как их электронная почта. Злоумышленник может использовать полученные разрешения для шифрования содержимого почтового ящика и потребовать выкуп за восстановление ваших данных почтового ящика. Администраторы должны проверять разрешения пользователей и выполнять их аудит. Помимо аудита разрешений, предоставленных пользователями, можно обнаруживать рискованные или нежелательные приложения OAuth в средах премиум-класса.

Шаг 5. Включение самообслуживания конечных пользователей

Вы захотите максимально сбалансировать безопасность с производительностью. Придерживаясь мысли о формировании основы для безопасности, вы можете устранить разногласия в своей организации, предоставив пользователям широкие возможности работы с одновременным сохранением бдительности и сокращением операционных издержек.

Реализация самостоятельного сброса пароля

Самостоятельный сброс пароля (SSPR) идентификатора Microsoft Entra ID предоставляет простое средство для ИТ-администраторов, чтобы разрешить пользователям сбрасывать или разблокировать пароли или учетные записи без вмешательства помощника или администратора. Эта система предоставляет подробные отчеты, которые позволяют отслеживать сброс пароля пользователями, а также создает уведомления в случае несанкционированного использования или применения не по назначению.

Реализация самостоятельного доступа к группам и приложениям

Идентификатор Microsoft Entra может разрешить неадминистраторам управлять доступом к ресурсам, используя группы безопасности, группы Microsoft 365, роли приложений и каталоги пакетов доступа. Самостоятельное управление группами позволяет владельцам групп управлять собственными группами без назначения административной роли. Пользователи могут без помощи администраторов создавать группы Microsoft 365 и управлять ими для обработки своих запросов. Срок действия неиспользуемых групп истекает автоматически. Управление правами Microsoft Entra также обеспечивает делегирование и видимость с полными рабочими процессами запросов на доступ и автоматическим истечением срока действия. Вы можете делегировать пользователям, не являющимся администраторами, возможность настраивать собственные пакеты доступа для Teams, групп, приложений и сайтов SharePoint Online, которыми они владеют, применять настраиваемые политики для тех, кто должен утверждать доступ, включая настройку менеджеров сотрудников и спонсоров бизнес-партнеров в качестве утверждающих лиц.

Реализация проверок доступа Microsoft Entra

С помощью проверок доступа Microsoft Entra вы можете управлять членством в пакетах и группах, доступом к корпоративным приложениям и назначениям привилегированных ролей, чтобы обеспечить соответствие стандартам безопасности. Согласно регулярному контролю со стороны самих пользователей, владельцев ресурсов и других проверяющих пользователи не получают прав доступа в течение длительных периодов, когда доступ им не нужен.

Реализация автоматической подготовки пользователей

Подготовка и отзыв — это процессы, обеспечивающие согласованность цифровых удостоверений в нескольких системах. Эти процессы обычно применяются как часть управления жизненным циклом удостоверений.

Подготовка — это процесс создания удостоверения в целевой системе на основе определенных условий. Отзыв — это процесс удаления удостоверения из целевой системы, когда условия больше не выполняются. Синхронизация — это процесс поддержания подготовленного объекта в актуальном состоянии, чтобы между исходным и целевым объектом не было отличий.

Идентификатор Microsoft Entra в настоящее время предоставляет три области автоматической подготовки. В их число входят:

• Подготовка из внешней неавторитетной системы записи в Идентификатор Microsoft Entra с помощью подготовки на основе кадров
• Подготовка из идентификатора Microsoft Entra в приложения с помощью подготовки приложений
• Подготовка между идентификатором Microsoft Entra и службами домен Active Directory посредством подготовки между каталогами

Дополнительные сведения см. здесь: что такое подготовка с помощью идентификатора Microsoft Entra?

Итоги

Существует множество аспектов, касающихся обеспечения безопасности инфраструктуры удостоверений, но приведенные в этом контрольном списке пять шагов помогут вам быстро сформировать более защищенную и надежную инфраструктуру.

• укрепление учетных данных;
• Уменьшение области направления атак
• автоматизация реагирования на угрозы;
• использование Cloud Intelligence;
• включение возможности самообслуживания для пользователей.

Мы ценим то, насколько серьезно вы относитесь к вопросам безопасности и надеемся, что этот документ будет полезен при разработке стратегии для защиты вашей организации.

Следующие шаги

Если вам нужна помощь в планировании и развертывании рекомендаций, обратитесь к планам развертывания проекта идентификатора Microsoft Entra ID.

Если вы уверены, что все эти действия выполнены, воспользуйтесь оценкой безопасности удостоверений Майкрософт, которая позволит вам быть в курсе последних рекомендаций и угроз безопасности.