规划标识保护部署

Microsoft Entra ID 保护会检测基于标识的风险并报告它们,让管理员进行调查和修正,确保组织安全且受到保护。 风险数据可以进一步馈送给条件访问等工具,供其制定访问决策,也可以馈送到安全信息和事件管理 (SIEM) 工具,以进行深入分析和调查。

此部署计划扩展了条件访问部署计划中介绍的概念。

先决条件

让合适的利益干系人参与

如果技术项目失败,它们通常是由于在影响、结果和责任方面不符合预期而导致的。 若要避免这些问题,请确保吸引适当的利益干系人,并通过阐述利益干系人及其项目输入和责任,来充分了解项目中的利益干系人角色。

传达更改

沟通对于任何新功能的成功都至关重要。 应主动与用户交流,告知他们的体验将如何更改、何时会更改以及在遇到问题时如何获取支持。

步骤 1:审阅现有报表

在部署基于风险的条件访问策略之前,请务必审阅 ID 保护报告。 此评审提供了调查任何现有可疑行为的机会。 可以选择消除风险,或者如果确定这些用户没有风险,则确认这些用户处于安全状态。

为了提高效率,建议允许用户通过步骤 3 中讨论的策略进行自我修正。

步骤 2:规划条件访问风险策略

ID 保护向条件访问发送风险信号,以制定决策并强制执行组织策略。 这些策略可能要求用户执行多重身份验证或安全密码更改。 在创建策略之前,组织应规划几个事项。

策略排除项

条件访问策略是功能强大的工具,建议从策略中排除以下帐户:

  • 紧急访问中断 帐户,以防止由于策略配置错误而锁定。 在不太可能的情况下,所有管理员都被锁定,可以使用紧急访问管理帐户登录并采取措施恢复访问权限。
  • 服务帐户 和服务 主体,例如Microsoft Entra Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用,以便可以对应用程序进行编程访问,不过也会用于登录系统以进行管理。 范围限定为用户的条件访问策略将不会阻止由服务主体进行的调用。 对工作负载标识使用条件访问来定义面向服务主体的策略。
    • 如果组织在脚本或代码中使用这些帐户,请考虑将其替换为托管标识

多重身份验证

如果用户需要自行修正风险,必须先注册 Microsoft Entra 多重身份验证,否则就会有风险。 有关详细信息,请参阅规划 Microsoft Entra 多重身份验证部署一文。

已知网络位置

请务必配置条件访问中的命名位置,并将 VPN 范围添加到Defender for Cloud 应用。 从命名位置(标记为受信任或已知)登录可提高 ID 保护风险计算的准确性。 当用户从标记为受信任或已知的位置进行身份验证时,这些登录可降低用户的风险。 这种做法可减少环境中某些检测的误报。

仅报告模式

仅报告模式是一种条件访问策略状态,可使管理员能够在其环境中强制实施条件访问策略之前对其影响进行评估。

步骤 3:配置策略

ID 保护 MFA 注册策略

使用 ID 保护多重身份验证注册策略可帮助用户在需要使用 Microsoft Entra 多重身份验证之前进行注册。 按照如何:配置 Microsoft Entra 多重身份验证注册策略一文中的步骤启用此策略。

条件访问策略

登录风险–大多数用户都有可以跟踪的正常行为,如果其行为超出常规,则允许他们登录可能有风险。 你可能需要阻止该用户,或者要求其执行多重身份验证,证明他们真的是其所宣称的用户。 首先将这些策略范围限定为用户的子集。

用户风险–Microsoft 会与研究人员、执法机构、各种 Microsoft 安全团队以及其他受信任的源合作,以查找泄露的用户名和密码对。 检测到这些易受攻击的用户时,建议要求用户执行多重身份验证,然后重置其密码。

配置和启用风险策略一文提供了创建条件访问策略以解决这些风险的指导。

步骤 4:监视和持续操作需求

电子邮件通知

启用通知,以便在用户被标记为有风险时做出响应。 这些通知允许你立即开始调查。 还可以设置每周摘要电子邮件,以便大致了解该周的风险。

监视和调查

基于风险的访问策略的影响分析工作簿可帮助管理员在创建基于风险的条件访问策略前了解用户的影响。

ID 保护工作簿可帮助监视和查找租户中的模式。 监视此工作簿的趋势以及“仅条件访问报告”模式的结果,以查看是否需要进行任何更改,例如,添加命名位置。

Microsoft Defender for Cloud Apps 提供了组织可以用作起点的调查框架。 有关详细信息,请参阅如何调查异常情况检测警报一文。

还可以使用 ID 保护 API 将风险信息导出到其他工具,以便安全团队可以监视风险事件并发出警报。

在测试期间,可能需要模拟一些威胁来测试调查过程。

后续步骤

什么是风险?