Защита удостоверений организации с помощью идентификатора Microsoft Entra
Попытка обезопасить своих работников в современном мире может оказаться сложной задачей, особенно если нужно быстро реагировать и быстро предоставлять доступ ко многим услугам. Эта статья предназначена для предоставления краткого списка всех действий, помогающих определить и указать приоритеты для развертывания функций Microsoft Entra на основе типа лицензии, который вы владеете.
Идентификатор Microsoft Entra предоставляет множество функций и обеспечивает множество уровней безопасности для удостоверений, переходя к соответствующей функции, иногда может быть подавляющим. Этот документ предназначен для быстрого развертывания служб организациями с безопасными удостоверениями в качестве основного решения.
Каждая таблица предоставляет согласованную рекомендацию по безопасности, обеспечивая защиту удостоверений от распространенных атак безопасности при минимизации трений пользователей.
Рекомендации помогут:
- Настройка доступа к программному обеспечению как службе (SaaS) и локальным приложениям в безопасном и защищенном режиме
- Облачные и гибридные удостоверения
- Пользователи, работающие удаленно или в офисе
Необходимые компоненты
В этом руководстве предполагается, что только облачные или гибридные удостоверения уже установлены в идентификаторе Microsoft Entra. Дополнительные сведения о выборе типа удостоверения см. в статье " Выбор подходящего метода проверки подлинности (AuthN) для решения гибридного удостоверения Microsoft Entra.
Пошаговое руководство
Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см. в руководстве по настройке идентификатора Microsoft Entra при входе в Центр Администратор Microsoft 365. Чтобы просмотреть рекомендации без входа и активации функций автоматической установки, перейдите на портал установки Microsoft 365.
Руководство для клиентов Microsoft Entra ID free, Office 365 или Microsoft 365
Существует множество рекомендаций, которые пользователи приложений Microsoft Entra ID free, Office 365 или Microsoft 365 должны принимать для защиты удостоверений пользователей. Следующая таблица предназначена для выделения ключевых действий для следующих подписок лицензий:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, приложения для бизнеса, Business Standard, Business Premium, A1)
- Бесплатный идентификатор Microsoft Entra (включен в Azure, Dynamics 365, Intune и Power Platform)
| Рекомендуемое действие | Подробный сведения |
|---|---|
| Включение параметров безопасности по умолчанию | Защита всех удостоверений пользователей и приложений путем включения многофакторной проверки подлинности и блокировки устаревшей проверки подлинности. |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая Smart Lockout, IP-блокировку и возможность обнаружения утечки учетных данных). |
| Включение интеллектуальной блокировки AD FS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включение интеллектуальной блокировки Microsoft Entra (при использовании управляемых удостоверений) | Смарт-блокировка помогает заблокировать плохих актеров, которые пытаются угадать пароли ваших пользователей или использовать методы подбора для входа. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие действия по предоставлению согласия пользователем, чтобы сократить направления атак и устранить этот риск. |
| Интеграция поддерживаемых приложений SaaS из коллекции в идентификатор Microsoft Entra ID и включение единого входа (SSO) | Идентификатор Microsoft Entra имеет коллекцию, содержащую тысячи предварительно подготовленных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Предоставление доступа к корпоративным приложениям SaaS удаленно и безопасно с улучшенным взаимодействием с пользователем (единый вход)). |
| Автоматизация подготовки и отмены подготовки пользователей в приложениях SaaS (если применимо) | Автоматическое создание удостоверений и ролей пользователей в облачных приложениях (SaaS), к которым пользователям необходим доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя сопровождение и удаление удостоверений пользователей по мере изменения их статуса или ролей, что повышает безопасность организации. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо) | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Включение самостоятельного сброса пароля (применимо только к облачным учетным записям) | Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
Руководство для клиентов Microsoft Entra ID P1
Следующая таблица позволяет выделить ключевые действия для следующих подписок на лицензии.
- Microsoft Entra ID, лицензия P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Рекомендуемое действие | Подробный сведения |
|---|---|
| Создание нескольких глобальных Администратор istrator | Назначьте по крайней мере две постоянные учетные записи глобального Администратор istrator только для облака для использования в чрезвычайных ситуациях. Эти учетные записи не следует использовать ежедневно, и для них необходимо настроить длинные и сложные пароли. |
| Включение объединенной регистрации для многофакторной проверки подлинности Microsoft Entra и SSPR для упрощения регистрации пользователей | Разрешить пользователям регистрироваться из одного общего интерфейса для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля. |
| Настройка параметров многофакторной проверки подлинности для организации | Убедитесь, что учетные записи защищены от компрометации с многофакторной проверкой подлинности. |
| Включение самостоятельного сброса пароля | Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. |
| Реализация компонента обратной записи паролей (при использовании гибридных удостоверений) | Разрешите обратную запись измененного в облаке пароля в локальной среде Active Directory в Windows Server. |
| Создание и включение политик условного доступа | Многофакторная проверка подлинности для администраторов для защиты учетных записей, назначенных правами администратора. Блокировка устаревших протоколов проверки подлинности из-за повышенного риска, связанного с устаревшими протоколами аутентификации. Многофакторная проверка подлинности для всех пользователей и приложений для создания сбалансированной политики многофакторной проверки подлинности для вашей среды, защиты пользователей и приложений. Требовать многофакторную проверку подлинности для управления Azure для защиты привилегированных ресурсов, требуя многофакторной проверки подлинности для всех пользователей, обращаюющихся к ресурсам Azure. |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая интеллектуальную блокировку, блокировку IP-адресов и возможность обнаружения утечек учетных данных). |
| Включение интеллектуальной блокировки AD FS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включение интеллектуальной блокировки Microsoft Entra (при использовании управляемых удостоверений) | Смарт-блокировка помогает заблокировать плохих актеров, которые пытаются угадать пароли ваших пользователей или использовать методы подбора для входа. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие действия по предоставлению согласия пользователем, чтобы сократить направления атак и устранить этот риск. |
| Обеспечение удаленного доступа к локальным устаревшим приложениям с помощью Application Proxy | Включите прокси приложения Microsoft Entra и интегрируйте с устаревшими приложениями для безопасного доступа к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо). | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Интеграция поддерживаемых приложений SaaS из коллекции в Идентификатор Microsoft Entra и включение единого входа | Идентификатор Microsoft Entra имеет коллекцию, содержащую тысячи предварительно подготовленных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Дистанционное и безопасное предоставление доступа к корпоративным приложениям SaaS с улучшенным интерфейсом пользователя (SSO). |
| Автоматизация подготовки и отмены подготовки пользователей в приложениях SaaS (если применимо) | Автоматическое создание удостоверений и ролей пользователей в облачных приложениях (SaaS), к которым пользователям необходим доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя сопровождение и удаление удостоверений пользователей по мере изменения их статуса или ролей, что повышает безопасность организации. |
| Включение условного доступа — на основе устройств | Улучшение безопасности и взаимодействие с пользователем с помощью условного доступа на основе устройств. Этот шаг гарантирует, что доступ пользователей возможен только с устройств, отвечающих стандартам безопасности и соответствия требованиям. Такие устройства называются управляемыми устройствами. Управляемые устройства могут быть совместимыми с Intune или гибридными устройствами, присоединенными к Microsoft Entra. |
| Включение защиты паролей | Защитите пользователей от использования слабых и простых для взлома паролей. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
| Руководство по настройке пользовательских списков запрещенных слов для защиты паролей в Azure Active Directory | Запретите пользователям создавать пароли, содержащие слова или фразы, часто используемые в вашей организации или сфере. |
| Развертывание методов проверки подлинности без пароля | Предоставьте пользователям удобные методы проверки подлинности без пароля. |
| Планирование доступа гостевых пользователей | Для совместной работы разрешите гостевым пользователям выполнять вход в приложения и службы с использованием собственных рабочих или учебных учетных данных либо учетных данных из социальных сетей. |
Руководство для клиентов Microsoft Entra ID P2
Следующая таблица позволяет выделить ключевые действия для следующих подписок на лицензии.
- Microsoft Entra ID, лицензия P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Рекомендуемое действие | Подробный сведения |
|---|---|
| Создание нескольких глобальных Администратор istrator | Назначьте по крайней мере две постоянные учетные записи глобального Администратор istrator только для облака для использования в чрезвычайных ситуациях. Эти учетные записи не следует использовать ежедневно, и для них необходимо настроить длинные и сложные пароли. |
| Включение объединенной регистрации для многофакторной проверки подлинности Microsoft Entra и SSPR для упрощения регистрации пользователей | Разрешить пользователям регистрироваться из одного общего интерфейса для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля. |
| Настройка параметров многофакторной проверки подлинности для организации | Убедитесь, что учетные записи защищены от компрометации с многофакторной проверкой подлинности. |
| Включение самостоятельного сброса пароля | Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. |
| Реализация компонента обратной записи паролей (при использовании гибридных удостоверений) | Разрешите обратную запись измененного в облаке пароля в локальной среде Active Directory в Windows Server. |
| Включение политик защиты идентификации для принудительной регистрации многофакторной проверки подлинности | Управление развертыванием многофакторной проверки подлинности Microsoft Entra. |
| Включение политики риска для пользователей и входа в систему защиты идентификации | Включение политики риска для пользователей и входа в систему защиты идентификации Рекомендуемая политика входа — это назначение средних рисков входа и требование многофакторной проверки подлинности. Для политик пользователей следует ориентироваться на пользователей с высоким риском, требующим действия по изменению пароля. |
| Создание и включение политик условного доступа | Многофакторная проверка подлинности для администраторов для защиты учетных записей, назначенных правами администратора. Блокировка устаревших протоколов проверки подлинности из-за повышенного риска, связанного с устаревшими протоколами аутентификации. Требовать многофакторную проверку подлинности для управления Azure для защиты привилегированных ресурсов, требуя многофакторной проверки подлинности для всех пользователей, обращаюющихся к ресурсам Azure. |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая интеллектуальную блокировку, блокировку IP-адресов и возможность обнаружения утечек учетных данных). |
| Включение интеллектуальной блокировки AD FS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включение интеллектуальной блокировки Microsoft Entra (при использовании управляемых удостоверений) | Смарт-блокировка помогает заблокировать плохих актеров, которые пытаются угадать пароли ваших пользователей или использовать методы подбора для входа. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие действия по предоставлению согласия пользователем, чтобы сократить направления атак и устранить этот риск. |
| Обеспечение удаленного доступа к локальным устаревшим приложениям с помощью Application Proxy | Включите прокси приложения Microsoft Entra и интегрируйте с устаревшими приложениями для безопасного доступа к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо). | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Интеграция поддерживаемых приложений SaaS из коллекции в Идентификатор Microsoft Entra и включение единого входа | Идентификатор Microsoft Entra имеет коллекцию, содержащую тысячи предварительно подготовленных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Дистанционное и безопасное предоставление доступа к корпоративным приложениям SaaS с улучшенным интерфейсом пользователя (SSO). |
| Автоматизация подготовки и отмены подготовки пользователей в приложениях SaaS (если применимо) | Автоматическое создание удостоверений и ролей пользователей в облачных приложениях (SaaS), к которым пользователям необходим доступ. Кроме создания удостоверений пользователей, автоматическая подготовка включает в себя сопровождение и удаление удостоверений пользователей по мере изменения их статуса или ролей, что повышает безопасность организации. |
| Включение условного доступа — на основе устройств | Улучшение безопасности и взаимодействие с пользователем с помощью условного доступа на основе устройств. Этот шаг гарантирует, что доступ пользователей возможен только с устройств, отвечающих стандартам безопасности и соответствия требованиям. Такие устройства называются управляемыми устройствами. Управляемые устройства могут быть совместимыми с Intune или гибридными устройствами, присоединенными к Microsoft Entra. |
| Включение защиты паролей | Защитите пользователей от использования слабых и простых для взлома паролей. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
| Руководство по настройке пользовательских списков запрещенных слов для защиты паролей в Azure Active Directory | Запретите пользователям создавать пароли, содержащие слова или фразы, часто используемые в вашей организации или сфере. |
| Развертывание методов проверки подлинности без пароля | Предоставьте пользователям удобные методы для проверки подлинности без пароля |
| Планирование доступа гостевых пользователей | Для совместной работы разрешите гостевым пользователям выполнять вход в приложения и службы с использованием собственных рабочих или учебных учетных данных либо учетных данных из социальных сетей. |
| Включение управление привилегированными пользователями (PIM) | Позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации, обеспечивая доступ администраторов только при необходимости и с утверждением. |
| Завершение проверки доступа для ролей каталога Microsoft Entra в PIM | Совместно с сотрудниками отделов безопасности и управления создайте политику проверки доступа для проверки доступа с правами администратора на основе политик, принятых в вашей организации. |
Решение "Никому не доверяй"
Эта функция помогает организациям выравнивать свои удостоверения с тремя руководящими принципами архитектуры нулевого доверия:
- Прямая проверка
- Использование наименьших привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о нулевом доверии и других способах выравнивания организации с руководящими принципами см. в Центре рекомендаций по нулю доверия.