Поделиться через

Управляемые корпорацией Майкрософт политики

  • Статья

Как упоминалось в Отчет о цифровой защите Microsoft в октябре 2023 г.

... угрозы цифрового мира снизили доверие к технологии и подчеркнули срочное необходимость улучшения киберзащиты на всех уровнях...

... в Корпорации Майкрософт более 10 000 экспертов по безопасности анализируют более 65 трлн сигналов каждый день... вождения некоторые из самых влиятельных аналитических сведений в кибербезопасности. Вместе мы можем построить киберустойчивость с помощью инновационных действий и коллективной обороны.

В рамках этой работы мы делаем политики, управляемые Корпорацией Майкрософт, доступными в клиентах Microsoft Entra по всему миру. Эти упрощенные политики условного доступа принимают меры, чтобы требовать многофакторную проверку подлинности, что недавнее исследование может снизить риск компрометации на 99,22%.

При запуске Корпорация Майкрософт развертывает следующие три политики, в которых наши данные сообщают нам, что они будут увеличивать уровень безопасности организации:

  • Многофакторная проверка подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт
  • Многофакторная проверка подлинности для пользователей многофакторной проверки подлинности для пользователей многофакторной проверки подлинности
  • Многофакторная проверка подлинности и повторная проверка подлинности для рискованных входов

Снимок экрана: пример управляемой корпорацией Майкрософт политики в Центре администрирования Microsoft Entra.

Администраторы, которым назначена роль администратора условного доступа, находят эти политики в Центре администрирования Microsoft Entra в> разделе "Политики условного доступа".>

Администраторы имеют возможность изменять состояние (только для включения, отключения или отчета) и исключенных удостоверений (пользователей, групп и ролей) в политике. Организации должны исключить свои учетные записи аварийного доступа или аварийного доступа из этих политик так же, как и в других политиках условного доступа. Организации могут дублировать эти политики, если они хотят внести больше изменений, чем базовые, разрешенные в версиях, управляемых Корпорацией Майкрософт.

Корпорация Майкрософт будет включать эти политики не менее чем через 90 дней после их внедрения в клиенте, если они остаются в состоянии только для отчета. Администраторы могут раньше включить эти политики или отказаться, задав состояние политики "Отключить". Клиенты получают уведомления через сообщения электронной почты и сообщения центра сообщений 28 дней до включения политик.

Заметка

В некоторых случаях политики могут быть включены быстрее 90 дней. Если это применимо к вашему клиенту, оно будет отмечено в сообщениях электронной почты и сообщениях центра сообщений M365, которые вы получаете о политиках, управляемых Корпорацией Майкрософт. Он также будет упомянут в сведениях о политике в Центре администрирования Майкрософт.

Политики

Эти политики, управляемые корпорацией Майкрософт, позволяют администраторам вносить простые изменения, такие как исключение пользователей или включение и отключение режима только для отчетов. Организации не могут переименовать или удалить какие-либо политики, управляемые корпорацией Майкрософт. Так как администраторы более комфортно используют политику условного доступа, они могут дублировать политику, чтобы сделать пользовательские версии.

По мере развития угроз корпорация Майкрософт может изменить эти политики в будущем, чтобы воспользоваться новыми функциями, функциями или улучшить свою функцию.

Многофакторная проверка подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт

Эта политика охватывает 14 ролей администратора, которые мы считаем высоко привилегированными, которые обращаются к группе порталов администрирования Майкрософт и требуют от них многофакторной проверки подлинности.

Эта политика предназначена для клиентов Microsoft Entra ID P1 и P2, где значения безопасности по умолчанию не включены.

Многофакторная проверка подлинности для пользователей многофакторной проверки подлинности для пользователей многофакторной проверки подлинности

Эта политика охватывает пользователей MFA на пользователя, конфигурацию, которую корпорация Майкрософт больше не рекомендует. Условный доступ предлагает лучший интерфейс администратора с множеством дополнительных функций. Консолидация всех политик MFA в условном доступе может помочь вам быть более целевым в том, чтобы требовать многофакторной проверки подлинности, уменьшая трение конечных пользователей при сохранении состояния безопасности.

Эта политика предназначена только для лицензированных пользователей с идентификатором Microsoft Entra ID P1 и P2, где политика безопасности по умолчанию не включена, и существует менее 500 пользователей с поддержкой или применением MFA для каждого пользователя.

Чтобы применить эту политику к нескольким пользователям, дублируйте ее и измените назначения.

Кончик

Использование карандаша "Изменить" вверху для изменения политики многофакторной проверки подлинности, управляемой корпорацией Майкрософт, может привести к ошибке обновления. Чтобы обойти эту проблему, выберите "Изменить " в разделе " Исключенные удостоверения" политики.

Многофакторная проверка подлинности и повторная проверка подлинности для рискованных входов

Эта политика охватывает всех пользователей и требует многофакторной проверки подлинности и повторной проверки подлинности при обнаружении входов с высоким риском. Высокий риск в этом случае означает, что что-то о том, как пользователь вошел в систему, не является обычным. Эти операции входа с высоким риском могут включать в себя поездки, которые являются очень ненормальными, атаками с распыления паролем или атаками воспроизведения маркеров. Дополнительные сведения об этих определениях рисков см. в статье "Что такое обнаружение рисков".

Эта политика предназначена для клиентов Microsoft Entra ID P2, где параметры безопасности по умолчанию не включены.

  • Если лицензии P2 равны или превышают общее число зарегистрированных пользователей MFA, политика будет охватывать всех пользователей.
  • Если зарегистрированные MFA пользователи превышают лицензии P2, мы создадим и назначим политику группе безопасности с ограничением на основе доступных лицензий P2. Вы можете изменить членство в группе безопасности политики.

Чтобы запретить злоумышленникам принимать учетные записи, корпорация Майкрософт не разрешает пользователям, рискованным пользователям, регистрироваться для MFA.

Политики безопасности по умолчанию

Следующие политики доступны при обновлении по умолчанию безопасности.

Блокировка устаревшей проверки подлинности

Эта политика блокирует устаревшие протоколы проверки подлинности из доступа к приложениям. Устаревшая проверка подлинности ссылается на запрос проверки подлинности, сделанный следующими способами:

  • Клиенты, не использующие современную проверку подлинности (например, клиент Office 2010)
  • Любой клиент, использующий старые протоколы почты, такие как IMAP, SMTP или POP3
  • Любая попытка входа с использованием устаревшей проверки подлинности заблокирована.

Большинство наблюдаемых попыток входа поступают из устаревшей проверки подлинности. Так как устаревшая проверка подлинности не поддерживает многофакторную проверку подлинности, злоумышленник может обойти требования MFA с помощью старого протокола.

Требовать многофакторную проверку подлинности для управления Azure

Эта политика охватывает всех пользователей при попытке доступа к различным службам Azure, управляемым через API Azure Resource Manager, включая:

  • портал Azure
  • Центр администрирования Microsoft Entra
  • Azure PowerShell
  • Azure CLI

При попытке получить доступ к любому из этих ресурсов пользователю необходимо выполнить многофакторную проверку подлинности, прежде чем получить доступ.

Требовать многофакторную проверку подлинности для администраторов

Эта политика охватывает любого пользователя с одной из 14 ролей администратора, которые мы считаем высоко привилегированными . Из-за того, что эти учетные записи с высоким уровнем привилегий имеют, они необходимы для MFA всякий раз, когда они вошли в любое приложение.

Требовать многофакторную проверку подлинности для всех пользователей

Эта политика охватывает всех пользователей в организации и требует от них многофакторной проверки подлинности при входе. В большинстве случаев сеанс сохраняется на устройстве, и пользователям не нужно выполнять многофакторную проверку подлинности при взаимодействии с другим приложением.

Разделы справки увидеть последствия этих политик?

Администраторы могут просмотреть сведения о влиянии политики на вход в систему, чтобы просмотреть краткие сведения о влиянии политики в их среде.

Снимок экрана: влияние политики на организацию.

Администраторы могут более глубоко изучить журналы входа Microsoft Entra, чтобы увидеть эти политики в действии в своей организации.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
  2. Перейдите к журналам мониторинга удостоверений и работоспособности>>входа.
  3. Найдите конкретный вход, который требуется проверить. Добавление или удаление фильтров и столбцов для фильтрации ненужных сведений.
    1. Чтобы сузить область, добавьте такие фильтры:
      1. Идентификатор корреляции при наличии определенного события для изучения.
      2. Условный доступ , чтобы увидеть сбой политики и успешность. Область фильтра для отображения только сбоев, чтобы ограничить результаты.
      3. Имя пользователя для просмотра сведений, связанных с конкретными пользователями.
      4. Дата , область действия в заданном интервале времени.
  4. После обнаружения события входа, соответствующего входу пользователя, перейдите на вкладку условного доступа . На вкладке "Условный доступ" отображается определенная политика или политики, которые привели к прерыванию входа.
    1. Чтобы изучить дополнительные сведения о конфигурации политик, щелкните имя политики. При нажатии имени политики отображается пользовательский интерфейс конфигурации политики для выбранной политики для проверки и редактирования.
    2. Сведения о клиенте и устройстве, используемые для оценки политики условного доступа, также доступны на вкладках "Основные сведения", "Расположение", "Сведения об устройстве", "Сведения о проверке подлинности" и "Дополнительные сведения" события входа.

Что такое условный доступ?

Условный доступ — это функция Microsoft Entra, которая позволяет организациям применять требования к безопасности при доступе к ресурсам. Условный доступ обычно используется для применения многофакторной проверки подлинности, конфигурации устройства или требований к сетевому расположению.

Эти политики можно рассматривать как логические, если тогда операторы.

Если назначения (пользователи, ресурсы и условия) имеют значение true, примените элементы управления доступом (предоставление и/или сеанс) в политике. Если вы являетесь администратором, который хочет получить доступ к одному из порталов администрирования Майкрософт, необходимо выполнить многофакторную проверку подлинности, чтобы доказать, что это действительно вы.

Что делать, если я хочу внести дополнительные изменения?

Администраторы могут внести дополнительные изменения в эти политики, дублируя их с помощью кнопки "Дублировать " в представлении списка политик. Эта новая политика может быть настроена так же, как и любая другая политика условного доступа, начиная с рекомендуемой позиции Майкрософт.

Какие роли администратора охватываются этими политиками?

  • Глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • Администратор выставления счетов
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Администратор привилегированной проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Что делать, если для многофакторной проверки подлинности используется другое решение?

Многофакторная проверка подлинности завершена через федерацию или недавно объявленные внешние методы проверки подлинности удовлетворяют требованиям управляемой политики.

Дальнейшие действия