Пять шагов по защите инфраструктуры удостоверений

Если вы читаете этот документ, значит вы понимаете значимость безопасности. Скорее всего, вы уже несете ответственность за обеспечение безопасности вашей организации. Если вам нужно убедить других пользователей в важности защиты, посоветуйте им прочитать последний отчет Майкрософт о цифровой защите.

Этот документ поможет вам достичь более высокого уровня безопасности с помощью возможностей Azure Active Directory и контрольного списка из пяти шагов, предназначенных для улучшения защиты организации от кибератак.

Этот контрольный список поможет вам быстро выполнить важные рекомендуемые действия для защиты вашей организации, так как в нем объясняется, как реализовать следующие задачи.

• укрепление учетных данных;
• уменьшение контактной зоны;
• автоматизация реагирования на угрозы;
• использование Cloud Intelligence;
• включение возможности самообслуживания для пользователей.

Примечание

Многие рекомендации, приведенные в этом документе, применяются только к приложениям, которые настроены для использования Azure Active Directory в качестве поставщика удостоверений. Настроив приложения для единого входа, вы получите преимущества политик учетных данных, обнаружения угроз, аудита, ведения журналов, а также другие возможности, добавляемые в приложения. Основой всех приведенных здесь рекомендаций является система управления приложениями Azure AD.

Рекомендации в этом документе сопоставляются с оценкой безопасности удостоверений, автоматизированной оценкой конфигурации безопасности удостоверений клиента Azure AD. Организации могут использовать страницу "Оценка безопасности удостоверений" на портале Azure AD, чтобы найти пробелы в текущей конфигурации безопасности и обеспечить соблюдение текущих рекомендаций корпорации Майкрософт по безопасности. Реализация каждой рекомендации на странице оценки безопасности увеличит ваш рейтинг и позволит вам отслеживать свой прогресс, а также поможет вам сравнить свою реализацию с реализациями других организаций аналогичного размера.

Примечание

Некоторые из функций, рекомендуемых здесь, доступны для всех клиентов. Для других требуется подписка Azure AD Premium. Дополнительные сведения см. на странице Цены на Azure Active Directory и в статье Контрольный список для развертывания Azure AD.

Перед началом работы Защита привилегированных учетных записей с помощью Многофакторной идентификации

Перед выполнением задач в этом контрольном списке убедитесь, что во время чтения этого списка ваша безопасность не пострадает. В Azure Active Directory мы ежедневно сталкиваемся с 50 млн атак, но только 20 % пользователей и 30 % глобальных администраторов используют строгую проверку подлинности, например многофакторную проверку подлинности (MFA). Эти статистические данные основываются на данных за август 2021 г. В Azure AD пользователи, имеющие привилегированные роли, например администраторы, являются корневыми элементами доверия при создании остальной части среды и управлении ею. Чтобы свести к минимуму последствия компрометации, реализуйте следующие методы.

Злоумышленники, получившие доступ к привилегированным учетным записям, могут причинить значительный ущерб, поэтому очень важно защитить эти учетные записи, прежде чем продолжать работу. Включите и требуйте многофакторную идентификацию (MFA) Azure AD для всех администраторов в организации, использующих параметры безопасности Azure AD по умолчанию или условный доступ. Это крайне важно.

Все сделано? Начнем работу по контрольному списку.

Шаг 1. Укрепление учетных данных

Хотя наблюдаются и атаки других типов, включая фишинг согласия и атаки на удостоверения, не принадлежащие человеку, атаки на основе пароля на удостоверения пользователей по-прежнему являются наиболее распространенным вектором компрометации удостоверений. Хорошо настроенные нацеленные фишинговые атаки и кампании распыления паролей злоумышленниками продолжают работать в организациях, которые еще не реализовали многофакторную проверку подлинности (MFA) или другие средства защиты от этой распространенной тактики атак.

Вам как организации необходимо убедиться, что ваши удостоверения проверяются и защищаются с помощью MFA на всех этапах. В 2020 году в отчете ФБР IC3 фишинг был признан основным типом преступлений на основе жалоб, поступающих от жертв атак. По сравнение с предыдущим годом число, указанное в отчете, увеличилось вдвое. Фишинг представляет значительную угрозу для предприятий и частных лиц, а фишинг учетных данных использовался во многих наиболее вредоносных атаках прошлого года. Многофакторная проверка подлинности (MFA) Azure Active Directory (Azure AD) позволяет защитить доступ к данным и приложениям, обеспечивая дополнительный уровень безопасности с помощью еще одного вида проверки подлинности. Организации могут включить многофакторную проверку подлинности с условным доступом, чтобы решение соответствовало их нуждам. Ознакомьтесь с этим руководством по развертыванию, чтобы узнать, как спланировать, реализовать и развернуть Azure AD MFA.

В организации должна действовать строгая проверка подлинности.

Быстро и легко включить базовый уровень безопасности удостоверений можно с помощью параметров безопасности Azure AD по умолчанию. Параметры безопасности по умолчанию применяют Azure AD MFA для всех пользователей в клиенте и блокируют вход, выполняемый по устаревшим протоколам, в масштабе клиента.

Кроме того, если в вашей организации есть лицензии Azure AD P1 или P2, вы можете использовать книгу аналитики и создания отчетов для условного доступа для обнаружения пробелов в вашей конфигурации и охвате защиты. С помощью этих рекомендаций можно легко заполнить этот пробел, создав политику с использованием новых шаблонов условного доступа. Шаблоны условного доступа предназначены для упрощения развертывания новых политик, которые отвечают рекомендациям Майкрософт. Таки е шаблоны упрощают развертывание общих политик для защиты удостоверений и устройств.

Начните с применения запрета к часто атакуемым паролям, откажитесь от традиционных требований к сложности, отключите правила истечения срока действия.

Во многих организациях используются традиционные требования к сложности и правила истечения срока действия пароля. Как показало исследование корпорации Майкрософт и указывается в инструкциях NIST, что эти политики вынуждают пользователей выбирать легко подбираемые пароли. Мы рекомендуем применять защиту паролем Azure AD с функцией динамического запрета паролей, использующей сведения о текущем поведении злоумышленника, чтобы запретить пользователям задавать пароли, которые можно легко подобрать. Эта возможность всегда включена при создании пользователей в облаке, но теперь также доступна для гибридных организаций при развертывании защиты паролем Azure AD для Windows Server Active Directory. Кроме того, рекомендуем удалить политики истечения срока действия. Изменение пароля не дает никаких преимуществ автономности, так как киберпреступники почти всегда используют учетные данные сразу же после их компрометации. См. статью Установка политики истечения срока действия пароля для организации.

Защита от утечки учетных данных и добавление устойчивости к сбоям

Самый простой и рекомендуемый способ включения проверки подлинности в облаке для локальных объектов каталога в Azure AD — включить синхронизацию хэшей паролей (PHS). Если организация использует гибридное решение со сквозной проверкой подлинности или федерацией для удостоверений, необходимо включить синхронизацию хэшей паролей по следующим двум причинам.

• Отчет Пользователи с украденными учетными данными в Azure AD предупреждает о парах "имя пользователя-пароль", к которым был предоставлен общий доступ. Невероятное количество паролей пропадает в результате фишинга, применения вредоносного ПО и повторного использования паролей на сайтах сторонних производителей, которые через какое-то время подвергаются угрозам. Корпорация Майкрософт находит многие из украденных учетных данных и сообщает о них в этом отчете, если обнаруженные сведения совпадают с учетными данными в вашей организации, но только при условии, что вы включили синхронизацию хэшей паролей или используете удостоверения только для облака!
• Если происходит сбой в локальной среде, например при атаке программы-шантажиста, вы сможете перейти на проверку подлинности в облаке, выполнив синхронизацию хэшей паролей. Этот резервный метод проверки подлинности позволит продолжать обращаться к приложениям (включая Microsoft 365), настроенным для проверки подлинности в Azure Active Directory. В этом случае ИТ-персоналу не нужно будет прибегать к теневым ИТ или личным учетным записям электронной почты для обмена данными до тех пор, пока не будет устранен локальный сбой.

Пароли никогда не сохраняются в виде открытого текста или зашифровываются с помощью обратимого алгоритма в Azure AD. Для получения дополнительной информации о фактическом процессе синхронизации хэша паролей изучите раздел Подробное описание принципа действия синхронизации хэшированных паролей.

Реализация интеллектуальной блокировки экстрасети служб федерации Active Directory

Смарт-блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы подбора пароля для входа. Эта функция позволяет распознавать входные сигналы от действительных пользователей и относиться к ним иначе, нежели к злоумышленникам и другим неизвестным источникам. Доступ для злоумышленников блокируется. При этом обычные пользователи могут спокойно получать доступ к учетным записям и продолжать работу. Организации, настраивающие приложения для проверки подлинности непосредственно в Azure AD, пользуются интеллектуальной блокировкой Azure AD. В развернутых федеративных системах с использованием AD FS 2016 и AD FS 2019 можно обеспечить аналогичные преимущества с помощью функций блокировки экстрасети и смарт-блокировки экстрасети AD FS.

Шаг 2. Уменьшение контактной зоны атак

Учитывая широкое распространение компрометации паролей, решающее значение имеет минимизация контактной зоны для атаки. Отключите использование старых и менее защищенных протоколов, ограничьте доступ к точкам входа, перейдите на проверку подлинности в облаке, организуйте более строгий контроль административного доступа к ресурсам и реализуйте принципов безопасности по модели "Никому не доверяй".

Использование облачной проверки подлинности

Учетные данные являются основным вектором атаки. Рекомендации в этом блоге помогут уменьшить область атаки, используя проверку подлинности в облаке, развернуть MFA и применить методы проверки подлинности без пароля. Вы можете развернуть методы без пароля, такие как Windows Hello для бизнеса, вход с использованием телефона и приложения Microsoft Authenticator или FIDO.

Блокировка устаревших методов проверки подлинности

Еще одним фактором риска для организаций являются приложения, использующие собственные устаревшие методы для проверки подлинности в Azure AD и доступа к корпоративным данным. В их число входят клиенты SMTP, POP3 и IMAP4. Устаревшие приложения проверки подлинности выполняют проверку от имени пользователя и блокируют Azure AD от проведения дополнительной оценки безопасности. Альтернативные современные варианты позволяют снизить риск угрозы безопасности, так как они поддерживают многофакторную идентификацию и условный доступ.

Рекомендуем сделать следующее:

1. Определите, не используется ли устаревшая проверка подлинности в вашей организации, с помощью журналов входа в Azure AD и книг Log Analytics.
2. Настройка SharePoint Online и Exchange Online для использования современных способов проверки подлинности.
3. При наличии лицензий Azure AD Premium используйте политики условного доступа для блокирования проверки подлинности прежних версий. Для уровня "Бесплатный" Azure AD используйте параметры безопасности Azure AD по умолчанию.
4. Блокировка устаревшей проверки подлинности (если используются службы AD FS).
5. Заблокируйте устаревшую проверку подлинности с использованием Exchange Server 2019.
6. Отключите устаревшую проверку подлинности в Exchange Online.

Дополнительные сведения см. в статье Блокирование устаревших протоколов проверки подлинности в Azure AD.

Блокировка недопустимых точек входа для проверки подлинности

Используя принцип явной проверки, вы должны уменьшить влияние скомпрометированных учетных данных, когда таковые появятся. Для каждого приложения в вашей среде рассмотрите применимые варианты использования: какие группы, сети, устройства и другие элементы следует авторизовать, а затем заблокируйте остальные. С помощью условного доступа Azure AD вы можете контролировать доступ авторизованных пользователей к приложениям и ресурсам на основе конкретных определенных вами условий.

Дополнительные сведения об использовании условного доступа для облачных приложений и действий пользователей см. в разделе Условный доступ: облачные приложения, действия и контекст проверки подлинности.

Проверка ролей администратора и управление ими

Другое принцип модели "Никому не доверяй" — сведение к минимуму вероятности того, что скомпрометированная учетная запись может работать с привилегированной ролью. Этот элемент управления можно реализовать, назначив удостоверению наименьший уровень привилегий. Если вы не знакомы с ролями Azure AD, эта статья поможет вам получить основные сведения о них.

Привилегированные роли в Azure AD должны быть учетными записями только для облака, чтобы можно было изолировать их от любых локальных сред и не использовать локальные хранилища паролей для хранения учетных данных.

Реализация доступа на основе привилегий

Управление привилегированными пользователями (PIM) обеспечивает активацию ролей на основе времени и утверждений, чтобы снизить риски, связанные с чрезмерным, ненужным или неправильным использованием разрешений на доступ к важным ресурсам. Эти ресурсы включают ресурсы в Azure Active Directory (Azure AD), Azure и других веб-службах Microsoft, таких как Microsoft 365 или Microsoft Intune.

Azure AD Privileged Identity Management (PIM) помогает минимизировать привилегии учетной записи за счет следующих действий:

• идентификация пользователей с назначенными административными ролями и управление ими;
• определение ролей с неиспользуемыми или избыточными привилегиями, которые следует удалить;
• установка правил для защиты привилегированных ролей с помощью многофакторной идентификации;
• установка правил, предусматривающих действие привилегированных ролей в течение периода выполнения привилегированной задачи.

Включите Azure AD PIM, просмотрите пользователей, которым назначены административные роли, и удалите ненужные учетные записи в этих ролях. Остальных привилегированных пользователей переместите из категории имеющих постоянные привилегии в категорию с возможностью получения привилегий. Наконец, установите соответствующие политики, согласно которым при возникновении необходимости доступ к привилегированным ролям осуществляется в безопасном режиме с необходимым управлением изменениями.

В отношении встроенных и настраиваемых ролей Azure AD применяются те же концепции, что и для ролей в системе управления доступом на основе ролей для ресурсов Azure (роли Azure). Различие между этими двумя системами управления доступом на основе ролей:

• С помощью API Microsoft Graph роли Azure AD контролируют доступ к ресурсам Azure AD, в том числе к пользователям, группам и приложениям.
• Роли Azure контролируют доступ к ресурсам Azure, в том числе к виртуальным машинам и хранилищам, с помощью управления ресурсами Azure.

Для обеих систем используются схожие определения и назначения ролей. Однако разрешения ролей Azure AD нельзя использовать для пользовательских ролей Azure и наоборот. В ходе развертывания привилегированной учетной записи следуйте рекомендации по созданию как минимум двух экстренных учетных записей, чтобы сохранить права доступа к Azure AD в случае самоблокировки.

Дополнительные сведения см. в статьях Планирование развертывания управления привилегированными пользователями и Защита привилегированного доступа.

Ограничение операций предоставления согласия пользователем

Важно понимать действие различных процедур предоставления согласия для приложений в Azure AD, типы разрешений и согласия, а также их влияние на уровень безопасности вашей организации. Хотя разрешение предоставлять согласие пользователям позволяет им легко приобретать полезные приложения, которые интегрируются с Microsoft 365, Azure и другими службами, без должного мониторинга и использования может возникнуть риск.

Рекомендуется ограничить возможность пользователей предоставлять разрешения приложениям , чтобы они могли это делать только для приложений от проверенных издателей и только для выбранных вами разрешений. После того как сфера действия такого пользовательского согласия будет ограничена, предыдущие разрешения будут по-прежнему соблюдаться, но все будущие операции, связанные с согласием пользователя, должен выполнять администратор. В ограниченном числе случаев пользователь может запросить согласие администратора с помощью интегрированного рабочего процесса запроса согласия администратора или с помощью собственных процессов поддержки. Перед отключением возможности пользователя предоставлять свое согласие воспользуйтесь нашими рекомендациями, чтобы спланировать это изменение в организации. Для приложений, к которым вы хотите разрешить доступ всем пользователям, рассмотрите возможность предоставления согласия от имени всех пользователей, чтобы доступ к приложению получили также те пользователи, которые еще не дали индивидуального согласия. Если предоставлять доступ к этим приложениям всем пользователям во всех сценариях не требуется, используйте назначения приложений и условный доступ, чтобы ограничить доступ пользователей к определенным приложениям.

Убедитесь, что пользователи могут запрашивать одобрение администратора для новых приложений, чтобы упростить процедуру входа, минимизировать число обращений в службу поддержки и запретить пользователям регистрироваться с использованием учетных данных, отличных от Azure AD. После того как вы отрегулируете и стабилизируете операции на предоставление согласия, администраторы должны регулярно выполнять аудит приложений и разрешений, на которые предоставляется согласие.

Дополнительные сведения см. в статье Платформа предоставления согласия Azure Active Directory.

Шаг 3. Автоматизация реагирования на угрозы

В состав Azure Active Directory входит целый ряд возможностей, которые автоматически перехватывают атаки, чтобы исключить задержку между обнаружением и реагированием. Сократив время внедрения злоумышленников в среду, можно уменьшить расходы и риски. Ниже приведены рекомендуемые к выполнению конкретные действия.

Дополнительные сведения см. в статье Настройка и включение политик риска.

Реализация политики рисков при входе

Риск при входе представляет вероятность того, что данный запрос проверки подлинности отправлен не владельцем удостоверения. Политику на основе рисков для входа можно реализовать, добавив условие риска для входа в политики условного доступа. Такое условие оценивает уровень риска для конкретного пользователя или группы. На основе уровня риска (высокий, средний, низкий) можно настроить политику для блокировки доступа или принудительного выполнения многофакторной идентификации. При входах с уровнем риска "Средний" или выше рекомендуем применять многофакторную проверку подлинности.

Реализация политики безопасности для рисков пользователей

Риск пользователя означает вероятность компрометации удостоверения пользователя и вычисляется на основе обнаружений риска пользователя, которые связаны с удостоверением пользователя. Политику на основе рисков пользователей можно реализовать, добавив условие риска пользователей в политики условного доступа. Такое условие оценивает уровень риска для конкретного пользователя. На основании низкого, среднего и высокого уровней риска можно настроить политику для блокировки доступа или требования изменить надежный пароль с помощью многофакторной идентификации. Корпорация Майкрософт рекомендует требовать изменения надежного пароля для пользователей с высоким уровнем риска.

В функцию обнаружения рисков пользователя входит проверка того, совпадают ли учетные данные пользователя с учетными данными, утечка которых произошла из-за действий киберпреступников. Для оптимальной работы важно реализовать синхронизацию хэша паролей с помощью функции синхронизации Azure AD Connect.

Интеграция Microsoft 365 Defender с Защитой идентификации Azure AD

Чтобы Защита идентификации могла обеспечить максимальное возможное обнаружение рисков, необходимо получить максимальное возможное количество сигналов. Поэтому важно интегрировать полный набор служб Microsoft 365 Defender:

• Защитник Майкрософт для конечных точек
• Microsoft Defender для Office 365;
• Microsoft Defender для удостоверений
• Microsoft Defender для облачных приложений

Дополнительные сведения о защите от угроз Майкрософт и важности интеграции различных доменов см. в следующем коротком видео.

Настройка мониторинга и оповещения

Мониторинг и аудит журналов важен для обнаружения подозрительного поведения. На портале Azure есть несколько способов интеграции журналов Azure AD с другими инструментами, такими как Microsoft Sentinel, Azure Monitor и другие средства SIEM. Дополнительные сведения см. в статье Руководство. Операции по обеспечению безопасности устройств Azure Active Directory.

Шаг 4. Использование Cloud Intelligence

Аудит и ведение журнала событий безопасности и связанные с ними оповещения являются важными составляющими эффективной стратегии защиты. Отчеты и журналы безопасности обеспечивают электронную запись подозрительных действий и помогают выявлять закономерности, которые могут свидетельствовать об успешной или неудачной попытке проникнуть в сеть извне, а также о внутренних атаках. Аудит можно использовать для отслеживания действий пользователей, соблюдения требований нормативных документов, выполнения экспертизы и многого другого. Оповещения содержат уведомления о событиях безопасности. Убедитесь, что у вас настроена политика хранения журналов входа и журналов аудита для Azure AD путем экспорта в Azure Monitor или средство SIEM.

Мониторинг Azure AD

Службы и компоненты Microsoft Azure дают возможность настраивать параметры аудита и ведения журнала безопасности. Это поможет выявить недочеты в политиках и механизмах безопасности и устранить эти недочеты для предотвращения нарушений. Можно использовать функции аудита и ведения журналов Azure и отчеты о действиях аудита на портале Azure Active Directory. Дополнительные сведения о мониторинге учетных записей пользователей, привилегированных учетных записей, приложений и устройств см. в статье Руководство по операциям обеспечения безопасности Azure AD.

Мониторинг Azure AD Connect Health в гибридных средах

Мониторинг ADFS с помощью Azure AD Connect Health дает более полное представление о потенциальных проблемах и обнаружении атак в имеющейся инфраструктуре ADFS. Теперь вы можете просматривать сведения об операциях входа ADFS, чтобы получить более подробные сведения мониторинга. Служба Azure AD Connect Health выводит оповещения с подробными сведениями, шагами по устранению проблем и ссылками на соответствующую документацию, предоставляет аналитику использования для ряда показателей, связанных с трафиком проверки подлинности аутентификации, обеспечивает мониторинг производительности и формирование отчетов. Используйте книгу сопряженных с риском IP-адресов для ADFS, которая поможет определить норму для вашей среды и реализовать оповещение при обнаружении изменений. Вся гибридная инфраструктура должна отслеживаться как ресурс уровня 0. Подробные рекомендации по мониторингу этих ресурсов можно найти в статье Руководство по операциям обеспечения безопасности для инфраструктуры.

Мониторинг событий защиты идентификации Azure AD

Защита идентификации Azure AD предоставляет два важных отчета, которые вы должны отслеживать ежедневно:

1. Отчеты о рискованных входах будут отображаться в действиях пользователя. Вы должны узнать, действительно ли законный владелец выполнил вход.
2. Отчеты о рискованных пользователях будут отображаться с учетными записями пользователей, которые могут быть скомпрометированы, например обнаруженные утечки учетных данных или пользователь, выполнявший вход в разных местах, что приводит к событию невозможности перехода.

Аудит приложений и разрешения с предоставлением согласия

Пользователи могут быть обмануты при переходе на скомпрометированный веб-сайт или в приложения, которые получат доступ к их информации о профиле и пользовательским данным, таким как их электронная почта. Злоумышленник может использовать полученные разрешения для шифрования содержимого почтового ящика и потребовать выкуп за восстановление ваших данных почтового ящика. Администраторы должны проверять разрешения пользователей и выполнять их аудит. Помимо аудита разрешений, предоставленных пользователями, можно обнаруживать рискованные или нежелательные приложения OAuth в средах премиум-класса.

Шаг 5. Включение возможности самообслуживания для конечных пользователей

Вы захотите максимально сбалансировать безопасность с производительностью. Придерживаясь мысли о формировании основы для безопасности, вы можете устранить разногласия в своей организации, предоставив пользователям широкие возможности работы с одновременным сохранением бдительности и сокращением операционных издержек.

Реализация самостоятельного сброса пароля

С помощью системы самостоятельного сброса пароля (SSPR) Azure AD ИТ-администраторы могут разрешить пользователям самостоятельно сбрасывать или разблокировать пароли и учетные записи без обращения в службу поддержки. Эта система предоставляет подробные отчеты, которые позволяют отслеживать сброс пароля пользователями, а также создает уведомления в случае несанкционированного использования или применения не по назначению.

Реализация самостоятельного доступа к группам и приложениям

Azure AD может позволить пользователям, не являющимся администраторами, управлять доступом к ресурсам с помощью групп безопасности, групп Microsoft 365, ролей приложений и каталогов пакетов для доступа. Самостоятельное управление группами позволяет владельцам групп управлять собственными группами без назначения административной роли. Пользователи могут без помощи администраторов создавать группы Microsoft 365 и управлять ими для обработки своих запросов. Срок действия неиспользуемых групп истекает автоматически. Функция управления правами Azure AD обеспечивает делегирование и видимость, автоматизируя рабочие процессы запросов доступа и истечения срока действия. Вы можете делегировать пользователям, не являющимся администраторами, возможность настраивать собственные пакеты доступа для Teams, групп, приложений и сайтов SharePoint Online, которыми они владеют, применять настраиваемые политики для тех, кто должен утверждать доступ, включая настройку менеджеров сотрудников и спонсоров бизнес-партнеров в качестве утверждающих лиц.

Реализация проверок доступа Azure AD

С помощью проверок доступа Azure AD можно управлять пакетами доступа и членством в группах, доступом к корпоративным приложениям и назначениями привилегированных ролей, чтобы поддерживать стандарт безопасности. Согласно регулярному контролю со стороны самих пользователей, владельцев ресурсов и других проверяющих пользователи не получают прав доступа в течение длительных периодов, когда доступ им не нужен.

Реализация автоматической подготовки пользователей

Подготовка и отзыв — это процессы, обеспечивающие согласованность цифровых удостоверений в нескольких системах. Эти процессы обычно применяются как часть управления жизненным циклом удостоверений.

Подготовка — это процесс создания удостоверения в целевой системе на основе определенных условий. Отзыв — это процесс удаления удостоверения из целевой системы, когда условия больше не выполняются. Синхронизация — это процесс поддержания подготовленного объекта в актуальном состоянии, чтобы между исходным и целевым объектом не было отличий.

В настоящее время Azure AD предоставляет три области автоматической подготовки. Они приведены ниже.

• Подготовка из внешней полномочной системы, которая не является каталогом, для записи в Azure AD с помощью подготовки на основе управления персоналом
• Подготовка из Azure AD в приложения с помощью подготовки приложений
• Подготовка между Azure AD и доменными службами Active Directory с помощью подготовки между каталогами

Дополнительные сведения см. в статье "Что такое подготовка с помощью Azure Active Directory?".

Сводка

Существует множество аспектов, касающихся обеспечения безопасности инфраструктуры удостоверений, но приведенные в этом контрольном списке пять шагов помогут вам быстро сформировать более защищенную и надежную инфраструктуру.

• укрепление учетных данных;
• уменьшение контактной зоны;
• автоматизация реагирования на угрозы;
• использование Cloud Intelligence;
• включение возможности самообслуживания для пользователей.

Мы ценим то, насколько серьезно вы относитесь к вопросам безопасности и надеемся, что этот документ будет полезен при разработке стратегии для защиты вашей организации.

Дальнейшие действия

Если вам нужна помощь по планированию и развертыванию рекомендаций, см. планы развертывания проектов Azure AD.

Если вы уверены, что все эти действия выполнены, воспользуйтесь оценкой безопасности удостоверений Майкрософт, которая позволит вам быть в курсе последних рекомендаций и угроз безопасности.