Sdílet prostřednictvím

Osvědčené postupy pro obnovitelnost

  • Článek

Nechtěné odstranění a chybné konfigurace se stane s vaším tenantem. Pokud chcete minimalizovat dopad těchto nezamýšlených událostí, musíte se připravit na jejich výskyt.

Obnovitelnost je přípravné procesy a funkce, které umožňují vrátit služby do předchozího stavu fungování po nezamýšlené změně. Nezamýšlené změny zahrnují obnovitelné nebo pevné odstranění nebo nesprávnou konfiguraci aplikací, skupin, uživatelů, zásad a dalších objektů ve vašem tenantovi Microsoft Entra.

Obnovitelnost pomáhá vaší organizaci být odolnější. Odolnost, i když souvisí, se liší. Odolnost je schopnost vydržet přerušení systémových komponent a zotavit se s minimálním dopadem na vaši firmu, uživatele, zákazníky a provoz. Další informace o tom, jak zajistit, aby vaše systémy byly odolnější, najdete v tématu Vytváření odolnosti vůči správě identit a přístupu pomocí Microsoft Entra ID.

Tento článek popisuje osvědčené postupy při přípravě na odstranění a chybné konfigurace, aby se minimalizovaly nezamýšlené důsledky pro firmu vaší organizace.

Odstranění a chybné konfigurace

Odstranění a chybné konfigurace mají různé dopady na vašeho tenanta.

Deletions

Dopad odstranění závisí na typu objektu.

Uživatele, Skupiny Microsoft 365 a aplikace je možné obnovitelně odstranit. Obnovitelné odstraněné položky se odešlou do koše Microsoft Entra ID. V koši nejsou položky k dispozici pro použití. Zachovají si ale všechny své vlastnosti a je možné je obnovit pomocí volání rozhraní Microsoft Graph API nebo na webu Azure Portal. Položky ve stavu obnovitelného odstranění, které se neobnoví do 30 dnů, se trvale nebo pevně odstraní.

Diagram znázorňující, že uživatelé, Skupiny Microsoft 365 a aplikace jsou obnovitelné odstranění a po 30 dnech je pevně odstraněné.

Důležité

Všechny ostatní typy objektů se okamžitě odstraní, když jsou vybrány k odstranění. Když je objekt pevně odstraněný, nedá se obnovit. Musí se znovu vytvořit a překonfigurovat.

Další informace o odstraněních a o tom, jak se z nich zotavit, naleznete v tématu Obnovení z odstranění.

Nesprávné konfigurace

Chybné konfigurace jsou konfigurace prostředků nebo zásad, které se liší od zásad organizace nebo plánů a způsobují nezamýšlené nebo nežádoucí důsledky. Chybná konfigurace nastavení pro celého tenanta nebo zásad podmíněného přístupu může vážně ovlivnit zabezpečení a veřejnou image vaší organizace. Chybné konfigurace můžou:

  • Změňte způsob interakce správců, uživatelů tenantů a externích uživatelů s prostředky ve vašem tenantovi.
  • Změňte schopnost uživatelů pracovat s ostatními tenanty a externími uživateli, kteří můžou s vaším tenantem pracovat.
  • Příčina odepření služby
  • Rozdělte závislosti mezi daty, systémy a aplikacemi.

Další informace o chybných konfiguracích a o tom, jak se z nich zotavit, naleznete v tématu Obnovení z chybných konfigurací.

Společná odpovědnost

Obnovitelnost je sdílená odpovědnost mezi Microsoftem jako vaším poskytovatelem cloudových služeb a vaší organizací.

Diagram znázorňující sdílené odpovědnosti mezi Microsoftem a zákazníky pro plánování a obnovení

Nástroje a služby, které Microsoft poskytuje, můžete použít k přípravě na odstranění a chybné konfigurace.

Plánování provozní kontinuity a havárie

Obnovení pevně odstraněné nebo chybně nakonfigurované položky je proces náročný na prostředky. Prostředky potřebné plánováním můžete minimalizovat. Zvažte možnost mít konkrétní tým správců, kteří mají na starosti obnovení.

Otestování procesu obnovení

Projděte si proces obnovení pro různé typy objektů a komunikaci, která bude v důsledku toho ven. Nezapomeňte si vyzkoušet testovací objekty, ideálně v testovacím tenantovi.

Testování plánu vám může pomoct určit:

  • Platnost a úplnost dokumentace ke stavu objektu.
  • Typický čas k vyřešení.
  • Vhodná komunikace a jejich cílové skupiny.
  • Očekávané úspěchy a potenciální výzvy.

Vytvoření procesu komunikace

Vytvořte proces předdefinované komunikace, aby ostatní věděli o problému a časové ose pro obnovení. Do plánu komunikace obnovení uveďte následující body:

  • Typy komunikace, které mají jít ven. Zvažte vytvoření předdefinovaných šablon.

  • Účastníci, kteří mají přijímat komunikaci. Podle potřeby uveďte následující skupiny:

    • Ovlivnění vlastníci firmy.
    • Provozní správci, kteří budou provádět obnovení
    • Obchodní a technické schvalovatele.
    • Ovlivnění uživatelé.

  • Definujte události, které aktivují komunikaci, například:

    • Počáteční odstranění
    • Posouzení dopadu
    • Čas na vyřešení.
    • Obnovení.

Dokument známých dobrých stavů

Zdokumentujte stav vašeho tenanta a jeho objektů pravidelně. Pokud dojde k pevnému odstranění nebo chybné konfiguraci, máte plán obnovení. Následující nástroje vám můžou pomoct dokumentovat aktuální stav:

  • Rozhraní Microsoft Graph API je možné použít k exportu aktuálního stavu mnoha konfigurací Microsoft Entra.
  • Microsoft Entra Exportér je nástroj, který můžete použít k exportu nastavení konfigurace.
  • Microsoft 365 Desired State Configuration je modul architektury PowerShell Desired State Configuration. Můžete ho použít k exportu konfigurací pro referenci a použití předchozího stavu mnoha nastavení.
  • Rozhraní API podmíněného přístupu se dají použít ke správě zásad podmíněného přístupu jako kódu.

Běžně používané rozhraní Microsoft Graph API

Pomocí rozhraní Microsoft Graph API můžete exportovat aktuální stav mnoha konfigurací Microsoft Entra. Rozhraní API se týkají většiny scénářů, kdy referenční materiály o předchozím stavu nebo schopnost použít tento stav z exportované kopie může být zásadní pro udržení chodu vaší firmy.

Rozhraní Microsoft Graph API jsou vysoce přizpůsobitelná na základě potřeb vaší organizace. Pokud chcete implementovat řešení pro zálohy nebo referenční materiály, musí vývojáři analyzovat kód, který bude dotazovat, ukládat a zobrazovat data. Mnoho implementací používá v rámci této funkce online úložiště kódu.

Užitečná rozhraní API pro obnovení

Typy zdrojů Referenční odkazy
Uživatelé, skupiny a další objekty adresáře directoryObject API
Role adresáře rozhraní DIRECTORYRole API
Zásady podmíněného přístupu Rozhraní API zásad podmíněného přístupu
Zařízení rozhraní API pro zařízení
Domény Rozhraní API pro domény
Jednotky pro správu rozhraní API pro správu)
Odstraněná* rozhraní API deletedItems

*Bezpečně uložte tyto exporty konfigurace s přístupem poskytnutým omezenému počtu správců.

Microsoft Entra Exportér může poskytnout většinu dokumentace, kterou potřebujete:

  • Ověřte, že jste implementovali požadovanou konfiguraci.
  • Pomocí vývozce zachyťte aktuální konfigurace.
  • Projděte si export, seznamte se s nastavením tenanta, který se neexportuje, a ručně je zdokumentujte.
  • Uložte výstup do zabezpečeného umístění s omezeným přístupem.

Poznámka:

Nastavení na starším portálu pro vícefaktorové ověřování pro proxy aplikací a nastavení federace se nemusí exportovat pomocí nástroje Microsoft Entra Exportér nebo rozhraní Microsoft Graph API. Modul Microsoft 365 Desired State Configuration používá Microsoft Graph a PowerShell k načtení stavu mnoha konfigurací v Microsoft Entra ID. Tyto informace lze použít jako referenční informace nebo pomocí skriptování PowerShellu Desired State Configuration k opětovnému použití známého dobrého stavu.

Použití rozhraní Graph API podmíněného přístupu ke správě zásad, jako je kód. Automatizujte schvalování, která podporují zásady z předprodukčních prostředí, zálohování a obnovení, monitorování změn a plánování před nouzovými situacemi.

Mapování závislostí mezi objekty

Odstranění některých objektů může způsobit efekt ripple z důvodu závislostí. Odstranění skupiny zabezpečení použité pro přiřazení aplikace by například vedlo k tomu, že uživatelé, kteří byli členy této skupiny, nemohli získat přístup k aplikacím, ke kterým byla skupina přiřazena.

Běžné závislosti

Object type Potenciální závislosti
Objekt aplikace Instanční objekt (podniková aplikace).
Skupiny přiřazené k aplikaci.
Zásady podmíněného přístupu ovlivňující aplikaci
Instanční objekty Objekt aplikace.
Zásady podmíněného přístupu Uživatelé přiřazení k zásadě.
Skupiny přiřazené k zásadě.
Instanční objekt (podniková aplikace) cílená zásadou.
Jiné skupiny než Skupiny Microsoft 365 Uživatelé přiřazení ke skupině.
Zásady podmíněného přístupu, ke kterým je skupina přiřazená.
Aplikace, ke kterým má skupina přiřazený přístup.

Monitorování a uchovávání dat

Protokol auditu Microsoft Entra obsahuje informace o všech operacích odstranění a konfigurace provedených ve vašem tenantovi. Tyto protokoly doporučujeme exportovat do nástroje pro správu bezpečnostních informací a událostí, jako je Microsoft Sentinel. Pomocí Microsoft Graphu můžete také auditovat změny a vytvořit vlastní řešení pro monitorování rozdílů v průběhu času. Další informace o hledání odstraněných položek pomocí Microsoft Graphu najdete v tématu Seznam odstraněných položek – Microsoft Graph v1.0.

Protokoly auditu

Protokol auditu vždy zaznamenává událost Delete <object>, když je objekt v tenantovi odebrán z aktivního stavu, buď z aktivního do obnovitelného odstranění, nebo aktivní k pevnému odstranění.

Snímek obrazovky znázorňující podrobnosti protokolu auditu

Událost Odstranění pro aplikace, instanční objekty, uživatele a Skupiny Microsoft 365 je obnovitelné odstranění. U jakéhokoli jiného typu objektu se jedná o pevný odstranění.

Object type Aktivita v protokolu Výsledek
Aplikace Odstranění aplikace a instančního objektu Obnovitelné odstranění
Aplikace Aplikace s pevným odstraněním Pevné odstranění
Instanční objekt Odstranění instančního objektu Obnovitelné odstranění
Instanční objekt Pevný odstranění instančního objektu Pevné odstranění
Uživatelská Odstranění uživatele Obnovitelné odstranění
Uživatelská Uživatel s pevným odstraněním Pevné odstranění
Microsoft 365 Groups Odstranění skupiny Obnovitelné odstranění
Microsoft 365 Groups Pevně odstranit skupinu Pevné odstranění
Všechny ostatní objekty Odstranit objectType Pevné odstranění

Poznámka:

Protokol auditu nerozlišuje typ skupiny odstraněné skupiny. Pouze Skupiny Microsoft 365 jsou obnovitelné odstranění. Pokud se zobrazí položka Odstranit skupinu, může se jednat o obnovitelné odstranění skupiny Microsoftu 365 nebo o pevný odstranění jiného typu skupiny. Vaše dokumentace ke známému dobrému stavu by měla obsahovat typ skupiny pro každou skupinu ve vaší organizaci.

Informace o monitorování změn konfigurace naleznete v tématu Obnovení z chybných konfigurací.

Sledování změn konfigurace pomocí sešitů

Sešity Azure Monitoru vám můžou pomoct monitorovat změny konfigurace.

Sešit sestavy citlivých operací může pomoct identifikovat podezřelou aktivitu aplikace a instančního objektu, které můžou značit ohrožení zabezpečení, mezi které patří:

  • Upravené přihlašovací údaje aplikace nebo instančního objektu nebo metody ověřování.
  • Nová oprávnění udělená instančním objektům
  • Aktualizace členství v adresáři a členství ve skupinách pro instanční objekty
  • Upravená nastavení federace

Sešit aktivit přístupu mezi tenanty vám může pomoct sledovat, které aplikace v externích tenantech vaši uživatelé přistupují a ke kterým aplikacím ve vašem tenantovi přistupují externí uživatelé. Tento sešit slouží k vyhledání neobvyklých změn v příchozím nebo odchozím přístupu k aplikacím napříč tenanty.

Provozní zabezpečení

Zabránění nežádoucím změnám je mnohem obtížnější, než je potřeba znovu vytvořit a znovu nakonfigurovat objekty. Do procesů správy změn zahrňte následující úlohy, které minimalizují nehody:

  • Použijte model s nejnižšími oprávněními. Ujistěte se, že každý člen vašeho týmu má nejnižší oprávnění potřebná k dokončení obvyklých úkolů. Vyžadovat proces pro eskalaci oprávnění pro neobvyklejší úlohy.
  • Správa istrativní řízení objektu umožňuje konfiguraci a odstranění. Pro úlohy, které nevyžadují operace k vytvoření, aktualizaci nebo odstranění (CRUD), použijte méně privlegovaných rolí, jako je čtenář zabezpečení. Pokud jsou vyžadovány operace CRUD, použijte role specifické pro objekty, pokud je to možné. Například uživatelé Správa istrátory mohou odstranit pouze uživatele a aplikace Správa istrátory mohou odstranit pouze aplikace. Tyto omezenější role používejte, kdykoli je to možné.
  • Použijte Privileged Identity Management (PIM). PIM umožňuje eskalaci oprávnění za běhu k provádění úloh, jako je pevné odstranění. PIM můžete nakonfigurovat tak, aby oznámení nebo schválení eskalace oprávnění měla.

Další kroky