Microsoft Entra işlemleri başvuru kılavuzunun bu bölümünde, Microsoft Entra Id'nin genel işlemlerini iyileştirmek için gerçekleştirmeniz gereken denetimler ve eylemler açıklanmaktadır.
Not
Bu öneriler yayımlama tarihinden itibaren geçerlidir ancak zaman içinde değişebilir. Microsoft ürün ve hizmetleri zaman içinde geliştikçe kuruluşların operasyonel uygulamalarını sürekli değerlendirmesi gerekir.
Önemli işletimsel süreçler
Önemli görevlere sahip atama
Microsoft Entra Id'yi yönetmek için önemli işletimsel görevlerin ve işlemlerin sürekli yürütülmesi gerekir ve bu da bir dağıtım projesinin parçası olmayabilir. Ortamınızı iyileştirmek için bu görevleri ayarlamanız yine de önemlidir. Önemli görevler ve bunların önerilen sahipleri şunlardır:
Görev
Sahibi
Kimlik Güvenli Puanı üzerinde Sürücü Geliştirmeleri
InfoSec İşletim Ekibi
Microsoft Entra Bağlan Sunucularını Koruma
IAM Operasyon Ekibi
IdFix Raporlarını düzenli olarak yürütme ve önceliklendirme
IAM Operasyon Ekibi
Eşitleme ve AD FS için Microsoft Entra Bağlan Sistem Durumu Uyarılarını Önceliklendirme
IAM Operasyon Ekibi
Microsoft Entra Bağlan Health kullanmıyorsa müşterinin özel altyapıyı izlemek için eşdeğer süreç ve araçları vardır
IAM Operasyon Ekibi
AD FS kullanılmıyorsa müşterinin özel altyapıyı izlemek için eşdeğer süreç ve araçları vardır
IAM Operasyon Ekibi
Karma Günlükleri İzleme: Microsoft Entra özel ağ bağlayıcıları
Karma Günlükleri İzleme: Parola Geri Yazma Hizmeti
IAM Operasyon Ekibi
Karma Günlükleri İzleme: Şirket içi parola koruma ağ geçidi
IAM Operasyon Ekibi
Karma Günlükleri İzleme: Microsoft Entra çok faktörlü kimlik doğrulaması NPS Uzantısı (varsa)
IAM Operasyon Ekibi
Listenizi gözden geçirirken, sahip eksik görevler için sahip atamanız veya yukarıdaki önerilerle uyumlu olmayan sahiplerle görevlerin sahipliğini ayarlamanız gerektiğini fark edebilirsiniz.
Şirket içi bileşenlerin en güncel sürümlerine sahip olmak, müşteriye ortamı daha da basitleştirmeye yardımcı olabilecek en son güvenlik güncelleştirmelerini, performans iyileştirmelerini ve işlevselliğini sağlar. Çoğu bileşenin otomatik yükseltme ayarı vardır ve bu ayar yükseltme işlemini otomatikleştirir.
Bu bileşenler şunlardır:
Microsoft Entra Connect
Microsoft Entra özel ağ bağlayıcıları
Microsoft Entra doğrudan kimlik doğrulama aracıları
Microsoft Entra Bağlan Sistem Durumu Aracıları
Henüz oluşturulmadıysa, bu bileşenleri yükseltmeye yönelik bir işlem tanımlamanız ve mümkün olduğunda otomatik yükseltme özelliğine güvenmeniz gerekir. Altı veya daha fazla ay geride kalan bileşenler bulursanız, en kısa sürede yükseltmeniz gerekir.
Kuruluşlar, Microsoft Entra Bağlan ve AD FS'nin izlenmesi ve raporlanması için Microsoft Entra Bağlan Health dağıtmalıdır. Microsoft Entra Bağlan ve AD FS, yaşam döngüsü yönetimini ve kimlik doğrulamasını bozabilen ve bu nedenle kesintilere yol açabilen kritik bileşenlerdir. Microsoft Entra Bağlan Health, şirket içi kimlik altyapınızı izlemenize ve içgörüler elde etmenize yardımcı olur, böylece ortamınızın güvenilirliğini sağlar.
Ortamınızın durumunu izlerken, yüksek önem derecesi uyarılarını ve ardından daha düşük önem derecesi uyarılarını hemen gidermeniz gerekir.
Bazı kimlik ve erişim yönetimi hizmetleri, karma senaryoları etkinleştirmek için şirket içi aracılar gerektirir. Örnek olarak parola sıfırlama, geçiş kimlik doğrulaması (PTA), Microsoft Entra uygulama ara sunucusu ve Microsoft Entra çok faktörlü kimlik doğrulaması NPS uzantısı verilebilir. System Center Operations Manager veya SIEM gibi çözümleri kullanarak bileşen aracısı günlüklerini arşivleyip analiz ederek işlem ekibinin temel aldığı ve bu bileşenlerin sistem durumunu izlemesi önemlidir. Infosec İşlemleri ekibinizin veya yardım masanızın hata desenlerinin nasıl giderilirini anlaması da aynı derecede önemlidir.
En iyi yöntemleri benimsemek, şirket içi aracıların en iyi şekilde çalışmasına yardımcı olabilir. Aşağıdaki en iyi yöntemleri göz önünde bulundurun:
Proxy uygulamalarına erişirken tek hata noktalarından kaçınarak sorunsuz yük dengeleme ve yüksek kullanılabilirlik sağlamak için bağlayıcı grubu başına birden çok Microsoft Entra özel ağ bağlayıcısı önerilir. Şu anda bir bağlayıcı grubunda üretimdeki uygulamaları işleyen tek bir bağlayıcınız varsa, yedeklilik için en az iki bağlayıcı dağıtmanız gerekir.
Hata ayıklama amacıyla özel bir ağ bağlayıcısı grubu oluşturmak ve kullanmak, sorun giderme senaryolarında ve yeni şirket içi uygulamaları eklerken yararlı olabilir. Bağlayıcı makinelerine İleti Çözümleyicisi ve Fiddler gibi ağ araçlarının yüklenmesini de öneririz.
Kimlik doğrulama akışı sırasında tek hata noktasını önleyerek sorunsuz yük dengeleme ve yüksek kullanılabilirlik sağlamak için birden çok doğrudan kimlik doğrulama aracısının kullanılması önerilir. Yedeklilik için en az iki geçişli kimlik doğrulama aracısını dağıttığınıza emin olun.
Kimlik güvenliği puanı, kuruluşunuzun güvenlik duruşunun ölçülebilir bir ölçüsünü sağlar. Bildirilen bulguları sürekli gözden geçirmek ve ele almak ve mümkün olan en yüksek puana sahip olmak için çaba göstermek önemlidir. Puanın yardımıyla:
Kimlik güvenliği duruşunuzu nesnel olarak ölçebilirsiniz
Kuruluşunuzun Şu anda Kimlik Güvenli Puanı'ndaki değişiklikleri izlemek için bir programı yoksa, bir plan uygulamanız ve iyileştirme eylemlerini izlemek ve yönlendirmek için sahipler atamanız önerilir. Kuruluşlar, puan etkisi 30'un üzerinde olan iyileştirme eylemlerini en kısa sürede düzeltmelidir.
Notifications
Microsoft, hizmetteki çeşitli değişiklikleri, gerekli yapılandırma güncelleştirmelerini ve yönetici müdahalesi gerektiren hataları bildirmek için yöneticilere e-posta iletişimleri gönderir. Müşterilerin bildirim e-posta adreslerini, bildirimlerin tüm bildirimleri kabul edip üzerinde işlem yapabilecek uygun ekip üyelerine gönderilmesi için ayarlamaları önemlidir. İleti Merkezi'ne birden çok alıcı eklemenizi ve bildirimlerin (Microsoft Entra Bağlan Health bildirimleri dahil) bir dağıtım listesine veya paylaşılan posta kutusuna gönderilmesini istemenizi öneririz. E-posta adresi olan tek bir Genel Yönetici istrator hesabınız varsa, en az iki e-posta özellikli hesap yapılandırdığınızdan emin olun.
Microsoft Entra akıllı kilitlemeden doğrudan Microsoft Entra ID avantajında kimlik doğrulaması yapmak için uygulamaları yapılandıran kuruluşlar. Windows Server 2012 R2'de AD FS kullanıyorsanız AD FS extranet kilitleme koruması uygulayın. Windows Server 2016 veya sonraki sürümlerde AD FS kullanıyorsanız extranet akıllı kilitleme uygulayın. Extranet kilitlemeyi en azından şirket içi Active Directory karşı deneme yanılma saldırısı riskini içerecek şekilde etkinleştirmenizi öneririz. Ancak, Windows 2016 veya üzeri sürümlerde AD FS'niz varsa, parola spreyi saldırılarını azaltmaya yardımcı olacak extranet akıllı kilitlemeyi de etkinleştirmeniz gerekir.
AD FS yalnızca Microsoft Entra federasyonu için kullanılıyorsa, saldırı yüzeyi alanını en aza indirmek için kapatılabilir bazı uç noktalar vardır. Örneğin, AD FS yalnızca Microsoft Entra Id için kullanılıyorsa, kullanıcı adı karma ve windowstransport için etkinleştirilen uç noktalar dışındaki WS-Trust uç noktalarını devre dışı bırakmanız gerekir.
Şirket içi kimlik bileşenlerine sahip makinelere erişim
Kuruluşlar, şirket içi karma bileşenleri olan makinelere erişimi şirket içi etki alanınızla aynı şekilde kilitlemelidir. Örneğin, bir yedekleme operatörü veya Hyper-V yöneticisinin kuralları değiştirmek için Microsoft Entra Bağlan Server'da oturum açamaması gerekir.
Active Directory yönetim katmanı modeli, Ortam 'ın tam denetimi (Katman 0) ile saldırganların sıklıkla ele geçirildiği yüksek riskli iş istasyonu varlıkları arasında bir dizi arabellek bölgesi kullanarak kimlik sistemlerini korumak için tasarlanmıştır.
Katman modeli üç düzeyden oluşur ve standart kullanıcı hesaplarını değil yalnızca yönetim hesaplarını içerir.
Katman 0: Ortamdaki kuruluş kimliklerinin Doğrudan Denetimi. Katman 0 Active Directory ormanının, etki alanlarının veya etki alanı denetleyicilerinin ve içindeki tüm varlıkların doğrudan ya da dolaylı yönetimsel denetimine sahip hesapları, grupları ve diğer varlıkları içerir. Tüm Katman 0 varlıklarının güvenlik duyarlılığı, birbirlerinin denetiminde etkili bir şekilde olduklarından eşdeğerdir.
Katman 1: Kuruluş sunucuları ve uygulamalarının denetimi. Katman 1 varlıklarına sunucu işletim sistemleri, bulut hizmetleri ve kuruluş uygulamaları dahildir. Katman 1 yönetim hesapları, bu varlıklar üzerinde barındırılan önemli miktarda iş değeri üzerinde yönetimsel denetime sahiptir. Yaygın olarak kullanılan bir rol örneği, bu işletim sistemlerinin bakımını yapan ve tüm kuruluş hizmetlerini etkileme imkanına sahip olan sunucu yöneticileridir.
Katman 2: Kullanıcı iş istasyonları ve cihazlarının denetimi. Katman 2 yönetim hesapları, kullanıcı iş istasyonları ve cihazları üzerinde barındırılan önemli miktarda iş değeri üzerinde yönetimsel denetime sahiptir. Örnek olarak neredeyse tüm kullanıcı verilerinin bütünlüğünü etkileyebilecek Yardım Masası ve bilgisayar destek yöneticileri verilebilir.
Microsoft Entra Bağlan, AD FS ve SQL hizmetleri gibi şirket içi kimlik bileşenlerine erişimi etki alanı denetleyicilerinde olduğu gibi kilitleyin.
Özet
Güvenli kimlik altyapısının yedi yönü vardır. Bu liste, Microsoft Entra Id işlemlerini iyileştirmek için gerçekleştirmeniz gereken eylemleri bulmanıza yardımcı olur.
Anahtar görevlere sahip atama.
Şirket içi karma bileşenler için yükseltme işlemini otomatikleştirin.
Microsoft Entra Bağlan ve AD FS'yi izlemek ve raporlamak için Microsoft Entra Bağlan Health'i dağıtın.
System Center Operations Manager veya SIEM çözümünü kullanarak bileşen aracısı günlüklerini arşivleyip analiz ederek şirket içi karma bileşenlerin durumunu izleyin.
Kimlik Güvenli Puanı ile güvenlik duruşunuzu ölçerek güvenlik geliştirmeleri uygulayın.
AD FS'i kilitleyin.
Şirket içi kimlik bileşenlerine sahip makinelere erişimi kilitleyin.
Microsoft Entra ID içindeki denetim ve tanılama günlükleri, kullanıcıların Azure çözümünüzle nasıl eriştiğine yönelik zengin bir görünüm sağlar. Oturum açma verilerini izlemeyi, sorun gidermeyi ve çözümlemeyi öğrenin.