Azure Identity Management och regelverk kring åtkomstkontroll och säkerhet

I den här artikeln diskuterar vi en samling metodtips för azure-identitetshantering och åtkomstkontrollsäkerhet. Dessa metodtips härleds från vår erfarenhet av Microsoft Entra-ID och upplevelser för kunder som dig själv.

För varje metodtips förklarar vi:

• Vad bästa praxis är
• Varför du vill aktivera den bästa metoden
• Vad kan vara resultatet om du inte aktiverar bästa praxis
• Möjliga alternativ till bästa praxis
• Så här kan du lära dig att aktivera bästa praxis

Den här artikeln om metodtips för azure-identitetshantering och åtkomstkontroll baseras på konsensusutlåtanden och Funktioner och funktionsuppsättningar för Azure-plattformen, eftersom de finns när den här artikeln skrevs.

Avsikten med att skriva den här artikeln är att tillhandahålla en allmän översikt över en mer robust säkerhetsstatus efter distributionen som styrs av vår checklista "5 steg för att skydda din identitetsinfrastruktur", som vägleder dig genom några av våra kärnfunktioner och tjänster.

Åsikter och tekniker ändras över tid och den här artikeln kommer att uppdateras regelbundet för att återspegla dessa förändringar.

Metodtips för azure-identitetshantering och åtkomstkontroll som beskrivs i den här artikeln är:

• Behandla identitet som den primära säkerhetsperimetern
• Centralisera identitetshantering
• Hantera anslutna klienter
• Aktivera enkel inloggning
• Aktivera villkorlig åtkomst
• Planera för rutinmässiga säkerhetsförbättringar
• Aktivera lösenordshantering
• Framtvinga multifaktorverifiering för användare
• Använd rollbaserad åtkomstkontroll
• Lägre exponering av privilegierade konton
• Kontrollera platser där resurser finns
• Använda Microsoft Entra-ID för lagringsautentisering

Behandla identitet som den primära säkerhetsperimetern

Många anser att identitet är den primära perimetern för säkerhet. Detta är ett skifte från det traditionella fokuset på nätverkssäkerhet. Nätverksperimeter blir allt mer poröst och att perimeterskyddet inte kan vara lika effektivt som det var före explosionen av BYOD-enheter och molnprogram.

Microsoft Entra ID är Azure-lösningen för identitets- och åtkomsthantering. Microsoft Entra ID är en molnbaserad katalog- och identitetshanteringstjänst för flera klientorganisationer från Microsoft. Den kombinerar viktiga katalogtjänster, åtkomsthantering för program och identitetsskydd i en och samma lösning.

I följande avsnitt visas metodtips för identitets- och åtkomstsäkerhet med hjälp av Microsoft Entra-ID.

Bästa praxis: Center-säkerhetskontroller och identifieringar kring användar- och tjänstidentiteter. Information: Använd Microsoft Entra-ID för att samordna kontroller och identiteter.

Centralisera identitetshantering

I ett hybrididentitetsscenario rekommenderar vi att du integrerar dina lokala kataloger och molnkataloger. Med integrering kan IT-teamet hantera konton från en plats, oavsett var ett konto skapas. Integrering hjälper också dina användare att bli mer produktiva genom att tillhandahålla en gemensam identitet för åtkomst till både molnresurser och lokala resurser.

Bästa praxis: Upprätta en enda Microsoft Entra-instans. Konsekvens och en enda auktoritativ källa ökar tydligheten och minskar säkerhetsriskerna vid mänskliga fel och konfigurationskomplexitet.
Information: Ange en enda Microsoft Entra-katalog som auktoritativ källa för företags- och organisationskonton.

Bästa praxis: Integrera dina lokala kataloger med Microsoft Entra-ID.
Information: Använd Microsoft Entra Anslut för att synkronisera din lokala katalog med din molnkatalog.

Kommentar

Det finns faktorer som påverkar prestanda för Microsoft Entra Anslut. Se till att Microsoft Entra Anslut har tillräckligt med kapacitet för att förhindra att underpresterande system förhindrar säkerhet och produktivitet. Stora eller komplexa organisationer (organisationer som etablerar fler än 100 000 objekt) bör följa rekommendationerna för att optimera sin Microsoft Entra-Anslut implementering.

Bästa praxis: Synkronisera inte konton till Microsoft Entra-ID som har hög behörighet i din befintliga Active Directory-instans.
Information: Ändra inte standardkonfigurationen för Microsoft Entra Anslut som filtrerar bort dessa konton. Den här konfigurationen minskar risken för att angripare pivoterar från molnet till lokala tillgångar (vilket kan skapa en större incident).

Bästa praxis: Aktivera synkronisering av lösenordshash.
Information: Synkronisering av lösenordshash är en funktion som används för att synkronisera hashar för användarlösenord från en lokal Active Directory-instans till en molnbaserad Microsoft Entra-instans. Den här synkroniseringen hjälper till att skydda mot att läckta autentiseringsuppgifter spelas upp från tidigare attacker.

Även om du bestämmer dig för att använda federation med Active Directory Federation Services (AD FS) (AD FS) eller andra identitetsprovidrar kan du konfigurera synkronisering av lösenordshash som en säkerhetskopia om dina lokala servrar misslyckas eller blir tillfälligt otillgängliga. Med den här synkroniseringen kan användare logga in på tjänsten med samma lösenord som de använder för att logga in på sin lokal Active Directory instans. Det gör också att Identity Protection kan identifiera komprometterade autentiseringsuppgifter genom att jämföra synkroniserade lösenordshashvärden med lösenord som är kända för att komprometteras, om en användare har använt samma e-postadress och lösenord på andra tjänster som inte är anslutna till Microsoft Entra-ID.

Mer information finns i Implementera synkronisering av lösenordshash med Microsoft Entra Anslut Sync.

Bästa praxis: Använd Microsoft Entra-ID för autentisering för ny programutveckling.
Information: Använd rätt funktioner för att stödja autentisering:

• Microsoft Entra-ID för anställda
• Microsoft Entra B2B för gästanvändare och externa partner
• Azure AD B2C för att styra hur kunder registrerar sig, loggar in och hanterar sina profiler när de använder dina program

Organisationer som inte integrerar sin lokala identitet med sin molnidentitet kan ha mer omkostnader för att hantera konton. Den här kostnaden ökar sannolikheten för misstag och säkerhetsöverträdelser.

Kommentar

Du måste välja vilka kataloger som viktiga konton ska finnas i och om den administratörsarbetsstation som används hanteras av nya molntjänster eller befintliga processer. Att använda befintliga hanterings- och identitetsetableringsprocesser kan minska vissa risker, men kan också skapa risk för att en angripare komprometterar ett lokalt konto och pivoterar till molnet. Du kanske vill använda en annan strategi för olika roller (till exempel IT-administratörer jämfört med företagsenhetsadministratörer). Du har två alternativ. Det första alternativet är att skapa Microsoft Entra-konton som inte synkroniseras med din lokal Active Directory-instans. Anslut din administratörsarbetsstation till Microsoft Entra ID, som du kan hantera och korrigera med hjälp av Microsoft Intune. Det andra alternativet är att använda befintliga administratörskonton genom att synkronisera med din lokal Active Directory instans. Använd befintliga arbetsstationer i Active Directory-domänen för hantering och säkerhet.

Hantera anslutna klienter

Din säkerhetsorganisation behöver synlighet för att bedöma risker och avgöra om principerna i din organisation och eventuella regelkrav följs. Du bör se till att säkerhetsorganisationen har insyn i alla prenumerationer som är anslutna till produktionsmiljön och nätverket (via Azure ExpressRoute eller plats-till-plats-VPN. En global administratör i Microsoft Entra-ID kan utöka sin åtkomst till rollen Administratör för användaråtkomst och se alla prenumerationer och hanterade grupper som är anslutna till din miljö.

Se utöka åtkomsten för att hantera alla Azure-prenumerationer och hanteringsgrupper för att säkerställa att du och din säkerhetsgrupp kan visa alla prenumerationer eller hanteringsgrupper som är anslutna till din miljö. Du bör ta bort den här förhöjda åtkomsten när du har bedömt risker.

Aktivera enkel inloggning

I en mobil- och molnbaserad värld vill du aktivera enkel inloggning (SSO) till enheter, appar och tjänster var som helst så att användarna kan vara produktiva var och när som helst. När du har flera identitetslösningar att hantera blir detta ett administrativt problem inte bara för IT utan även för användare som måste komma ihåg flera lösenord.

Genom att använda samma identitetslösning för alla dina appar och resurser kan du uppnå enkel inloggning. Och dina användare kan använda samma uppsättning autentiseringsuppgifter för att logga in och komma åt de resurser som de behöver, oavsett om resurserna finns lokalt eller i molnet.

Bästa praxis: Aktivera enkel inloggning.
Information: Microsoft Entra ID utökar lokal Active Directory till molnet. Användare kan använda sitt primära arbets- eller skolkonto för sina domänanslutna enheter, företagsresurser och alla webb- och SaaS-program som de behöver för att få sina jobb gjorda. Användare behöver inte komma ihåg flera uppsättningar med användarnamn och lösenord, och deras programåtkomst kan automatiskt etableras (eller avetableras) baserat på deras organisationsgruppmedlemskap och deras status som anställd. Och du kan styra åtkomsten för galleriappar eller för dina egna lokala appar som du har utvecklat och publicerat via Microsoft Entra-programproxyn.

Använd enkel inloggning för att ge användare åtkomst till sina SaaS-program baserat på deras arbets- eller skolkonto i Microsoft Entra-ID. Detta gäller inte bara för Microsoft SaaS-appar, utan även för andra appar, till exempel Google Apps och Salesforce. Du kan konfigurera ditt program så att det använder Microsoft Entra-ID som en SAML-baserad identitetsprovider . Som säkerhetskontroll utfärdar Inte Microsoft Entra-ID en token som tillåter användare att logga in på programmet om de inte har beviljats åtkomst via Microsoft Entra-ID. Du kan bevilja åtkomst direkt eller via en grupp som användarna är medlemmar i.

Organisationer som inte skapar en gemensam identitet för att upprätta enkel inloggning för sina användare och program är mer utsatta för scenarier där användare har flera lösenord. Dessa scenarier ökar sannolikheten för att användare återanvänder lösenord eller använder svaga lösenord.

Aktivera villkorlig åtkomst

Användare kan komma åt organisationens resurser med hjälp av en mängd olika enheter och appar var de än befinner sig. Som IT-administratör vill du se till att dessa enheter uppfyller dina standarder för säkerhet och efterlevnad. Att bara fokusera på vem som kan komma åt en resurs räcker inte längre.

För att balansera säkerhet och produktivitet måste du tänka på hur en resurs används innan du kan fatta ett beslut om åtkomstkontroll. Med villkorsstyrd åtkomst i Microsoft Entra kan du uppfylla det här kravet. Med villkorlig åtkomst kan du fatta beslut om automatisk åtkomstkontroll baserat på villkor för åtkomst till dina molnappar.

Bästa praxis: Hantera och kontrollera åtkomsten till företagsresurser.
Information: Konfigurera vanliga principer för villkorsstyrd åtkomst i Microsoft Entra baserat på en grupp, plats och programkänslighet för SaaS-appar och Microsoft Entra ID-anslutna appar.

Bästa praxis: Blockera äldre autentiseringsprotokoll.
Information: Angripare utnyttjar svagheter i äldre protokoll varje dag, särskilt för lösenordssprayattacker. Konfigurera villkorlig åtkomst för att blockera äldre protokoll.

Planera för rutinmässiga säkerhetsförbättringar

Säkerheten utvecklas alltid och det är viktigt att bygga in ditt ramverk för moln- och identitetshantering på ett sätt som regelbundet visar tillväxt och upptäcker nya sätt att skydda din miljö.

Identity Secure Score är en uppsättning rekommenderade säkerhetskontroller som Microsoft publicerar som fungerar för att ge dig en numerisk poäng för att objektivt mäta din säkerhetsstatus och hjälpa till att planera framtida säkerhetsförbättringar. Du kan också visa dina poäng i jämförelse med dem i andra branscher samt dina egna trender över tid.

Bästa praxis: Planera rutinmässiga säkerhetsgranskningar och förbättringar baserat på bästa praxis i din bransch.
Information: Använd funktionen Identitetssäkerhetspoäng för att rangordna dina förbättringar över tid.

Aktivera lösenordshantering

Om du har flera klienter eller om du vill göra det möjligt för användare att återställa sina egna lösenord är det viktigt att du använder lämpliga säkerhetsprinciper för att förhindra missbruk.

Bästa praxis: Konfigurera självbetjäning av lösenordsåterställning (SSPR) för dina användare.
Information: Använd självbetjäningsfunktionen för lösenordsåterställning i Microsoft Entra-ID.

Bästa praxis: Övervaka hur eller om SSPR verkligen används.
Information: Övervaka de användare som registrerar sig med hjälp av rapporten Registreringsaktivitet för lösenordsåterställning för Microsoft Entra-ID. Rapporteringsfunktionen som Microsoft Entra ID tillhandahåller hjälper dig att besvara frågor med hjälp av fördefinierade rapporter. Om du har rätt licens kan du också skapa anpassade frågor.

Bästa praxis: Utöka molnbaserade lösenordsprinciper till din lokala infrastruktur.
Information: Förbättra lösenordsprinciperna i din organisation genom att utföra samma kontroller för lokala lösenordsändringar som för molnbaserade lösenordsändringar. Installera Microsoft Entra-lösenordsskydd för Windows Server Active Directory-agenter lokalt för att utöka listor över förbjudna lösenord till din befintliga infrastruktur. Användare och administratörer som ändrar, anger eller återställer lösenord lokalt måste följa samma lösenordsprincip som endast molnanvändare.

Framtvinga multifaktorverifiering för användare

Vi rekommenderar att du behöver tvåstegsverifiering för alla dina användare. Detta inkluderar administratörer och andra i din organisation som kan ha en betydande inverkan om deras konto komprometteras (till exempel ekonomiansvariga).

Det finns flera alternativ för att kräva tvåstegsverifiering. Det bästa alternativet för dig beror på dina mål, den Microsoft Entra-utgåva du kör och ditt licensieringsprogram. Se Så här kräver du tvåstegsverifiering för att en användare ska kunna fastställa det bästa alternativet för dig. Mer information om licenser och priser finns på prissättningssidorna för Microsoft Entra-ID och Microsoft Entra-multifaktorautentisering .

Här följer alternativ och fördelar med att aktivera tvåstegsverifiering:

Alternativ 1: Aktivera MFA för alla användare och inloggningsmetoder med Microsoft Entra Security Defaults
Fördel: Med det här alternativet kan du enkelt och snabbt framtvinga MFA för alla användare i din miljö med en strikt princip för att:

• Utmana administrativa konton och mekanismer för administrativ inloggning
• Kräv MFA-utmaning via Microsoft Authenticator för alla användare
• Begränsa äldre autentiseringsprotokoll.

Den här metoden är tillgänglig för alla licensnivåer men kan inte blandas med befintliga principer för villkorsstyrd åtkomst. Mer information finns i Microsoft Entra Security Defaults

Alternativ 2: Aktivera multifaktorautentisering genom att ändra användartillstånd.
Fördel: Det här är den traditionella metoden för att kräva tvåstegsverifiering. Det fungerar med både Microsoft Entra multifaktorautentisering i molnet och Azure Multi-Factor Authentication Server. Med den här metoden måste användarna utföra tvåstegsverifiering varje gång de loggar in och åsidosätter principer för villkorsstyrd åtkomst.

Information om var multifaktorautentisering måste aktiveras finns i Vilken version av Microsoft Entra multifaktorautentisering är rätt för min organisation?.

Alternativ 3: Aktivera multifaktorautentisering med principer för villkorsstyrd åtkomst.
Förmån: Med det här alternativet kan du fråga efter tvåstegsverifiering under specifika villkor med hjälp av villkorsstyrd åtkomst. Specifika villkor kan vara användarinloggning från olika platser, ej betrodda enheter eller program som du anser vara riskfyllda. Genom att definiera specifika villkor där du behöver tvåstegsverifiering kan du undvika ständiga frågor till dina användare, vilket kan vara en obehaglig användarupplevelse.

Det här är det mest flexibla sättet att aktivera tvåstegsverifiering för dina användare. Aktivering av en princip för villkorsstyrd åtkomst fungerar endast för Microsoft Entra multifaktorautentisering i molnet och är en premiumfunktion i Microsoft Entra-ID. Mer information om den här metoden finns i Distribuera molnbaserad Microsoft Entra multifaktorautentisering.

Alternativ 4: Aktivera multifaktorautentisering med principer för villkorsstyrd åtkomst genom att utvärdera riskbaserade principer för villkorsstyrd åtkomst.
Förmån: Med det här alternativet kan du:

• Identifiera potentiella sårbarheter som påverkar organisationens identiteter.
• Konfigurera automatiserade svar på identifierade misstänkta åtgärder som är relaterade till organisationens identiteter.
• Undersök misstänkta incidenter och vidta lämpliga åtgärder för att lösa dem.

Den här metoden använder riskbedömningen för Microsoft Entra ID Protection för att avgöra om tvåstegsverifiering krävs baserat på användar- och inloggningsrisk för alla molnprogram. Den här metoden kräver Microsoft Entra ID P2-licensiering. Mer information om den här metoden finns i Microsoft Entra ID Protection.

Kommentar

Alternativ 2, som aktiverar multifaktorautentisering genom att ändra användartillståndet, åsidosätter principer för villkorsstyrd åtkomst. Eftersom alternativ 3 och 4 använder principer för villkorsstyrd åtkomst kan du inte använda alternativ 2 med dem.

Organisationer som inte lägger till extra lager av identitetsskydd, till exempel tvåstegsverifiering, är mer mottagliga för stöld av autentiseringsuppgifter. En stöld av autentiseringsuppgifter kan leda till dataintrång.

Använd rollbaserad åtkomstkontroll

Åtkomsthantering för molnresurser är viktigt för alla organisationer som använder molnet. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till Azure-resurser, vad de kan göra med dessa resurser och vilka områden de har åtkomst till.

Genom att utse grupper eller enskilda roller som ansvarar för specifika funktioner i Azure kan du undvika förvirring som kan leda till mänskliga fel och automatiseringsfel som skapar säkerhetsrisker. Det är absolut nödvändigt för organisationer som vill tillämpa säkerhetsprinciper för dataåtkomst att begränsa åtkomsten baserat på behovet av att känna till och minst privilegierade säkerhetsprinciper.

Säkerhetsteamet behöver insyn i dina Azure-resurser för att kunna bedöma och åtgärda risker. Om säkerhetsteamet har operativa ansvarsområden behöver de ytterligare behörigheter för att utföra sina jobb.

Du kan använda Azure RBAC för att tilldela behörigheter till användare, grupper och program i ett visst omfång. Omfånget för en rolltilldelning kan vara en prenumeration, en resursgrupp eller en enskild resurs.

Bästa praxis: Separera uppgifter inom ditt team och bevilja endast den mängd åtkomst till användare som de behöver för att utföra sina jobb. I stället för att ge alla obegränsade behörigheter i din Azure-prenumeration eller dina resurser tillåter du endast vissa åtgärder i ett visst omfång.
Information: Använd inbyggda Azure-roller i Azure för att tilldela behörigheter till användare.

Kommentar

Specifika behörigheter skapar onödig komplexitet och förvirring och ackumuleras i en "äldre" konfiguration som är svår att åtgärda utan rädsla för att bryta något. Undvik resursspecifika behörigheter. Använd i stället hanteringsgrupper för företagsomfattande behörigheter och resursgrupper för behörigheter i prenumerationer. Undvik användarspecifika behörigheter. Tilldela i stället åtkomst till grupper i Microsoft Entra-ID.

Bästa praxis: Bevilja säkerhetsteam med Azure-ansvarsbehörighet för att se Azure-resurser så att de kan utvärdera och åtgärda risker.
Information: Bevilja säkerhetsteam rollen Azure RBAC-säkerhetsläsare. Du kan använda rothanteringsgruppen eller segmenthanteringsgruppen, beroende på ansvarsområdet:

• Rothanteringsgrupp för team som ansvarar för alla företagsresurser
• Segmenthanteringsgrupp för team med begränsat omfång (ofta på grund av regelmässiga eller andra organisationsgränser)

Bästa praxis: Bevilja lämpliga behörigheter till säkerhetsteam som har direkt operativt ansvar.
Information: Granska de inbyggda Rollerna i Azure för lämplig rolltilldelning. Om de inbyggda rollerna inte uppfyller organisationens specifika behov kan du skapa anpassade Azure-roller. Precis som med inbyggda roller kan du tilldela anpassade roller till användare, grupper och tjänstens huvudnamn i prenumeration, resursgrupp och resursomfång.

Metodtips: Ge Microsoft Defender för molnet åtkomst till säkerhetsroller som behöver den. Defender för molnet gör det möjligt för säkerhetsteam att snabbt identifiera och åtgärda risker.
Information: Lägg till säkerhetsteam med dessa behov i azure RBAC-säkerhetsadministratörsrollen så att de kan visa säkerhetsprinciper, visa säkerhetstillstånd, redigera säkerhetsprinciper, visa aviseringar och rekommendationer och stänga aviseringar och rekommendationer. Du kan göra detta med hjälp av rothanteringsgruppen eller segmenthanteringsgruppen, beroende på ansvarsområdet.

Organisationer som inte tillämpar dataåtkomstkontroll med hjälp av funktioner som Azure RBAC kan ge användarna fler privilegier än nödvändigt. Detta kan leda till dataintrång genom att tillåta användare att komma åt typer av data (till exempel hög affärspåverkan) som de inte borde ha.

Lägre exponering av privilegierade konton

Att skydda privilegierad åtkomst är ett viktigt första steg för att skydda affärstillgångar. Om du minimerar antalet personer som har åtkomst till säker information eller resurser minskar risken för att en obehörig användare får åtkomst eller att en behörig användare oavsiktligt påverkar en känslig resurs.

Privilegierade konton är konton som administrerar och hanterar IT-system. Cyberangreppare riktar in sig på dessa konton för att få åtkomst till en organisations data och system. För att skydda privilegierad åtkomst bör du isolera konton och system från risken att exponeras för en skadlig användare.

Vi rekommenderar att du utvecklar och följer en översikt för att skydda privilegierad åtkomst mot cyberangreppare. Information om hur du skapar en detaljerad översikt för att skydda identiteter och åtkomst som hanteras eller rapporteras i Microsoft Entra-ID, Microsoft Azure, Microsoft 365 och andra molntjänster finns i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra-ID.

Följande sammanfattar metodtipsen i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra-ID:

Bästa praxis: Hantera, kontrollera och övervaka åtkomst till privilegierade konton.
Information: Aktivera Microsoft Entra Privileged Identity Management. När du har aktiverat Privileged Identity Management får du e-postmeddelanden om privilegierade ändringar i åtkomstrollen. De här meddelandena ger tidig varning när ytterligare användare läggs till i roller med hög behörighet i din katalog.

Bästa praxis: Se till att alla kritiska administratörskonton hanteras av Microsoft Entra-konton. Information: Ta bort alla konsumentkonton från viktiga administratörsroller (till exempel Microsoft-konton som hotmail.com, live.com och outlook.com).

Bästa praxis: Se till att alla viktiga administratörsroller har ett separat konto för administrativa uppgifter för att undvika nätfiske och andra attacker för att kompromettera administrativa privilegier.
Information: Skapa ett separat administratörskonto som har tilldelats de behörigheter som krävs för att utföra de administrativa uppgifterna. Blockera användningen av dessa administrativa konton för dagliga produktivitetsverktyg som Microsoft 365-e-post eller godtycklig webbsurfning.

Bästa praxis: Identifiera och kategorisera konton som har mycket privilegierade roller.
Information: När du har aktiverat Microsoft Entra Privileged Identity Management kan du visa de användare som är globala administratörer, privilegierade rolladministratörer och andra mycket privilegierade roller. Ta bort konton som inte längre behövs i dessa roller och kategorisera de återstående konton som har tilldelats till administratörsroller:

• Tilldelas individuellt till administrativa användare och kan användas för icke-administrativa ändamål (till exempel personlig e-post)
• Individuellt tilldelad till administrativa användare och endast avsedda för administrativa ändamål
• Delas mellan flera användare
• För scenarier med nödåtkomst
• För automatiserade skript
• För externa användare

Bästa praxis: Implementera jit-åtkomst (just-in-time) för att ytterligare minska exponeringstiden för privilegier och öka din insyn i användningen av privilegierade konton.
Information: Med Microsoft Entra Privileged Identity Management kan du:

• Begränsa användare till att endast ta på sig sina privilegier JIT.
• Tilldela roller för en kortare varaktighet med förtroende för att behörigheterna återkallas automatiskt.

Bästa praxis: Definiera minst två konton för nödåtkomst.
Information: Konton för nödåtkomst hjälper organisationer att begränsa privilegierad åtkomst i en befintlig Microsoft Entra-miljö. Dessa konton är mycket privilegierade och tilldelas inte till specifika individer. Konton för nödåtkomst är begränsade till scenarier där normala administrativa konton inte kan användas. Organisationer måste begränsa nödkontots användning till endast den tid som krävs.

Utvärdera de konton som är tilldelade eller berättigade till den globala administratörsrollen. Om du inte ser några molnbaserade konton med hjälp av domänen *.onmicrosoft.com (avsedd för nödåtkomst) skapar du dem. Mer information finns i Hantera administrativa konton för nödåtkomst i Microsoft Entra-ID.

Bästa praxis: Ha en "break glass"-process på plats i händelse av en nödsituation.
Information: Följ stegen i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra-ID.

Bästa praxis: Kräv att alla kritiska administratörskonton är lösenordslösa (rekommenderas) eller kräver multifaktorautentisering.
Information: Använd Microsoft Authenticator-appen för att logga in på ett Microsoft Entra-konto utan att använda ett lösenord. Precis som Windows Hello för företag använder Microsoft Authenticator nyckelbaserad autentisering för att aktivera en användarautentiseringsuppgift som är kopplad till en enhet och använder biometrisk autentisering eller en PIN-kod.

Kräv Microsoft Entra-multifaktorautentisering vid inloggning för alla enskilda användare som är permanent tilldelade till en eller flera av Microsoft Entra-administratörsrollerna: Global administratör, Privilegierad rolladministratör, Exchange Online-administratör och SharePoint Online-administratör. Aktivera multifaktorautentisering för dina administratörskonton och se till att administratörskontoanvändare har registrerat sig.

Bästa praxis: För kritiska administratörskonton har du en administratörsarbetsstation där produktionsaktiviteter inte tillåts (till exempel surfning och e-post). Detta skyddar dina administratörskonton från attackvektorer som använder surfning och e-post och avsevärt minskar risken för en större incident.
Information: Använd en administratörsarbetsstation. Välj en nivå av arbetsstationssäkerhet:

• Högsäkerhetsenheter ger avancerad säkerhet för surfning och andra produktivitetsuppgifter.
• Paws (Privileged Access Workstations) tillhandahåller ett dedikerat operativsystem som skyddas mot Internetattacker och hotvektorer för känsliga uppgifter.

Bästa praxis: Avetablera administratörskonton när anställda lämnar organisationen.
Information: Ha en process på plats som inaktiverar eller tar bort administratörskonton när anställda lämnar organisationen.

Bästa praxis: Testa regelbundet administratörskonton med hjälp av aktuella attacktekniker.
Information: Använd Microsoft 365 Attack Simulator eller ett erbjudande från tredje part för att köra realistiska attackscenarier i din organisation. Detta kan hjälpa dig att hitta sårbara användare innan en verklig attack inträffar.

Bästa praxis: Vidta åtgärder för att minimera de vanligaste angripna teknikerna.
Information: Identifiera Microsoft-konton i administrativa roller som måste bytas till arbets- eller skolkonton

Se till att separata användarkonton och vidarebefordran av e-post för globala administratörskonton

Kontrollera att lösenorden för administrativa konton nyligen har ändrats

Aktivera synkronisering av lösenordshash

Kräv multifaktorautentisering för användare i alla privilegierade roller samt exponerade användare

Hämta din Säkerhetspoäng för Microsoft 365 (om du använder Microsoft 365)

Läs säkerhetsvägledningen för Microsoft 365 (om du använder Microsoft 365)

Konfigurera Microsoft 365-aktivitetsövervakning (om du använder Microsoft 365)

Upprätta ägare av incident-/katastrofhanteringsplan

Skydda lokala privilegierade administrativa konton

Om du inte skyddar privilegierad åtkomst kan du upptäcka att du har för många användare i mycket privilegierade roller och är mer sårbara för attacker. Skadliga aktörer, inklusive cyberangreppare, riktar ofta in sig på administratörskonton och andra delar av privilegierad åtkomst för att få åtkomst till känsliga data och system med hjälp av stöld av autentiseringsuppgifter.

Kontrollera platser där resurser skapas

Det är mycket viktigt att göra det möjligt för molnoperatörer att utföra uppgifter samtidigt som de hindras från att bryta mot konventioner som behövs för att hantera organisationens resurser. Organisationer som vill styra de platser där resurser skapas bör hårdkoda dessa platser.

Du kan använda Azure Resource Manager för att skapa säkerhetsprinciper vars definitioner beskriver de åtgärder eller resurser som uttryckligen nekas. Du tilldelar dessa principdefinitioner i önskat omfång, till exempel prenumerationen, resursgruppen eller en enskild resurs.

Kommentar

Säkerhetsprinciper är inte samma som Azure RBAC. De använder faktiskt Azure RBAC för att auktorisera användare att skapa dessa resurser.

Organisationer som inte styr hur resurser skapas är mer mottagliga för användare som kan missbruka tjänsten genom att skapa fler resurser än de behöver. Att härda resursskapandeprocessen är ett viktigt steg för att skydda ett scenario med flera klientorganisationer.

Aktivt övervaka misstänkta aktiviteter

Ett aktivt system för identitetsövervakning kan snabbt identifiera misstänkt beteende och utlösa en avisering för ytterligare undersökning. I följande tabell visas Microsoft Entra-funktioner som kan hjälpa organisationer att övervaka sina identiteter:

Bästa praxis: Ha en metod för att identifiera:

• Försöker logga in utan att spåras.
• Råstyrkeattacker mot ett visst konto.
• Försöker logga in från flera platser.
• Inloggningar från infekterade enheter.
• Misstänkta IP-adresser.

Information: Använd Microsoft Entra ID P1- eller P2-avvikelserapporter. Ha processer och procedurer på plats för IT-administratörer för att köra dessa rapporter dagligen eller på begäran (vanligtvis i ett incidenthanteringsscenario).

Bästa praxis: Ha ett aktivt övervakningssystem som meddelar dig om risker och kan justera risknivån (hög, medelhög eller låg) efter dina affärsbehov.
Information: Använd Microsoft Entra ID Protection, som flaggar de aktuella riskerna på sin egen instrumentpanel och skickar dagliga sammanfattningsmeddelanden via e-post. För att skydda organisationens identiteter kan du konfigurera riskbaserade principer som automatiskt svarar på identifierade problem när en angiven risknivå nås.

Organisationer som inte aktivt övervakar sina identitetssystem riskerar att få användarautentiseringsuppgifter komprometterade. Utan vetskap om att misstänkta aktiviteter sker via dessa autentiseringsuppgifter kan organisationer inte minimera den här typen av hot.

Använda Microsoft Entra-ID för lagringsautentisering

Azure Storage stöder autentisering och auktorisering med Microsoft Entra-ID för Blob Storage och Queue Storage. Med Microsoft Entra-autentisering kan du använda den rollbaserade åtkomstkontrollen i Azure för att bevilja specifika behörigheter till användare, grupper och program ned till omfånget för en enskild blobcontainer eller kö.

Vi rekommenderar att du använder Microsoft Entra-ID för att autentisera åtkomst till lagring.

Gå vidare

Se Metodtips och mönster för Säkerhet i Azure för mer metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.