Co jsou výchozí nastavení zabezpečení?

Správa zabezpečení může být obtížná díky běžným útokům souvisejícím s identitami, jako jsou útoky password spray, replay a phishing, které jsou stále oblíbenější. Výchozí nastavení zabezpečení usnadňují ochranu vaší organizace před těmito útoky pomocí předkonfigurovaných nastavení zabezpečení:

  • Vyžadování registrace všech uživatelů pro službu Azure AD Multi-Factor Authentication
  • Vyžadování, aby správci prováděi vícefaktorové ověřování
  • Blokování starších ověřovacích protokolů
  • Vyžadování, aby uživatelé v případě potřeby prováděi vícefaktorové ověřování
  • Ochrana privilegovaných aktivit, jako je přístup k Azure Portal.

Snímek obrazovky Azure Portal s přepínačem pro povolení výchozích hodnot zabezpečení

Další podrobnosti o tom, proč jsou k dispozici výchozí nastavení zabezpečení, najdete v blogovém příspěvku Alexe Weinerta Představujeme výchozí nastavení zabezpečení.

Dostupnost

Microsoft z zpřístupnění výchozích hodnot zabezpečení všem. Cílem je zajistit, aby všechny organizace měly základní úroveň zabezpečení povolenou bez dalších nákladů. Výchozí nastavení zabezpečení zapnete v Azure Portal. Pokud se váš tenant vytvořil 22. října 2019 nebo po tomto datu, může být ve vašem tenantovi povolené výchozí nastavení zabezpečení. Aby se chránili všichni naši uživatelé, při vytváření se do nových tenantů zakvaluje výchozí nastavení zabezpečení.

Kdo je to pro vás?

  • Pokud jste organizace, která chce zvýšit svůj postoj k zabezpečení, ale nevíte, jak nebo kde začít, jsou výchozí nastavení zabezpečení pro vás.
  • Pokud jste organizace, která používá bezplatnou úroveň Azure Active Directory, jsou výchozí nastavení zabezpečení pro vás.

Kdo byste použít podmíněný přístup?

  • Pokud jste organizace, která v současnosti používá zásady podmíněného přístupu ke shromadění signálů, rozhodování a vynucování organizačních zásad, výchozí nastavení zabezpečení pro vás pravděpodobně není správné.
  • Pokud jste organizace s Azure Active Directory Premium licencemi, výchozí nastavení zabezpečení pravděpodobně není pro vás správné.
  • Pokud má vaše organizace složité požadavky na zabezpečení, měli byste zvážit podmíněný přístup.

Vynucené zásady

Sjednocená registrace služby Multi-Factor Authentication

Všichni uživatelé ve vašem tenantovi se musí zaregistrovat pro vícefaktorové ověřování (MFA) ve formě služby Azure AD Multi-Factor Authentication. Uživatelé mají 14 dnů na registraci služby Azure AD Multi-Factor Authentication pomocí Microsoft Authenticator aplikace. Po uplynutí 14 dnů se uživatel nemůže přihlásit, dokud se registrace nedokončí. 14denní období uživatele začíná po prvním úspěšném interaktivním přihlášení po povolení výchozích hodnot zabezpečení.

Ochrana správců

Uživatelé s privilegovaný přístup mají vyšší přístup k vašemu prostředí. Vzhledem k výkonu, který tyto účty mají, byste s nimi měli zacházet se zvláštní opatrností. Jednou z běžných metod, jak zlepšit ochranu privilegovaných účtů, je vyžadovat silnější formu ověření účtu pro přihlášení. Ve službě Azure AD můžete získat silnější ověření účtu tím, že budete vyžadovat vícefaktorové ověřování.

Po dokončení registrace do služby Azure AD Multi-Factor Authentication se bude pokaždé, když se přihlásí, požadováno další ověření následujícími rolemi správce Azure AD:

  • Globální správce
  • Správce aplikací
  • Správce ověřování
  • Správce fakturace
  • Správce cloudových aplikací
  • Správce podmíněného přístupu
  • Správce Exchange
  • Správce technické podpory
  • Správce hesel
  • Správce privilegovaného ověřování
  • Správce zabezpečení
  • Správce SharePointu
  • Správce uživatelů

Upozornění

Ujistěte se, že váš adresář má alespoň dva účty s přiřazenými oprávněními globálního správce. To vám pomůže v případě, že je jeden globální správce uzamčený. Další podrobnosti najdete v článku Správa účtů pro nouzový přístup v Azure AD.

Ochrana všech uživatelů

Máme tendenci si myslet, že účty správce jsou jediné účty, které potřebují další vrstvy ověřování. Správci mají široký přístup k citlivým informacím a můžou provádět změny nastavení v rámci celého předplatného. Útočníci ale často cílí na koncové uživatele.

Jakmile tito útočníci získají přístup, mohou požádat původního držitele účtu o přístup k privilegovaných informacím. Může dokonce stáhnout celý adresář a provést útok phishingu na celou organizaci.

Jednou z běžných metod, jak zlepšit ochranu pro všechny uživatele, je vyžadovat silnější formu ověření účtu, jako je vícefaktorové ověřování, pro všechny. Jakmile uživatelé dokončí registraci služby Multi-Factor Authentication, zobrazí se jim v případě potřeby výzva k dalšímu ověření. Uživatelům se zobrazí výzva především při ověřování pomocí nového zařízení nebo aplikace nebo při provádění důležitých rolí a úloh. Tato funkce chrání všechny aplikace zaregistrované v Azure AD, včetně aplikací SaaS.

Blokování starší verze ověřování

Aby vaši uživatelé snadno přistupovali ke cloudovým aplikacím, Azure AD podporuje různé ověřovací protokoly, včetně starší verze ověřování. Starší verze ověřování je termín, který odkazuje na žádost o ověření od:

  • Klienti, kteří používají moderní ověřování (například klient Office 2010).
  • Libovolný klient, který používá starší e-mailové protokoly, jako jsou IMAP, SMTP nebo POP3.

V současné době většina pokusů o přihlášení kompromituje starší verzi ověřování. Starší verze ověřování nepodporuje vícefaktorové ověřování. I když máte ve svém adresáři povolené zásady vícefaktorového ověřování, útočník se může ověřit pomocí staršího protokolu a obejít službu Multi-Factor Authentication.

Jakmile ve vašem tenantovi povolíte výchozí nastavení zabezpečení, zablokují se všechny požadavky na ověření provedené starším protokolem. Výchozí nastavení zabezpečení blokuje Exchange ověřování aktivní synchronizace.

Upozornění

Než povolíte výchozí nastavení zabezpečení, ujistěte se, že vaši správci používají starší ověřovací protokoly. Další informace najdete v tématu Jak přejít od starší verze ověřování.

Ochrana privilegovaných akcí

Organizace používají různé služby Azure spravované prostřednictvím rozhraní API Azure Resource Manager, včetně:

  • portál Azure
  • Azure PowerShell
  • Azure CLI

Použití Azure Resource Manager ke správě služeb je vysoce privilegovaná akce. Azure Resource Manager můžete změnit konfigurace pro celého tenanta, jako je nastavení služby a fakturace předplatného. Jednofaktorové ověřování je zranitelné vůči různým útokům, jako jsou phishing a password spray.

Je důležité ověřit identitu uživatelů, kteří chtějí mít přístup k Azure Resource Manager a aktualizovat konfigurace. Před povolením přístupu ověříte jejich identitu tím, že vyžadujete další ověření.

Jakmile ve svém tenantovi povolíte výchozí nastavení zabezpečení, bude muset každý uživatel, který přistupuje k Azure Portal, Azure PowerShell nebo Azure CLI, dokončit další ověřování. Tato zásada platí pro všechny uživatele, kteří přistupují Azure Resource Manager, ať už jsou to správci nebo uživatelé.

Poznámka

Tenanti tenantů Exchange Online před Exchange Online 2017 mají ve výchozím nastavení zakázané moderní ověřování. Abyste se vyhnuli možné smyčce přihlášení při ověřování prostřednictvím těchto tenantů, musíte povolit moderní ověřování.

Poznámka

Účet synchronizace Připojení Azure AD je vyloučený z výchozích hodnot zabezpečení a nebude vyzván k registraci nebo provádění vícefaktorového ověřování. Organizace by tento účet neměly používat k jiným účelům.

Aspekty nasazování

Následující důležité informace se týkají nasazení výchozích hodnot zabezpečení.

Metody ověřování

Tyto bezplatné výchozí nastavení zabezpečení umožňují registraci a používání služby Azure AD Multi-Factor Authentication pouze pomocí Microsoft Authenticator pomocí oznámení. Podmíněný přístup umožňuje použít jakoukoli metodu ověřování, která se správce rozhodne povolit.

Metoda Výchozí nastavení zabezpečení Podmíněný přístup
Oznámení prostřednictvím mobilní aplikace × ×
Ověřovací kód z mobilní aplikace nebo hardwarového tokenu × * * ×
Textová zpráva na telefon ×
Zavolat na telefon ×
Hesla aplikací × * * *
      • uživatelé můžou používat ověřovací kódy z aplikace Microsoft Authenticator, ale můžou se registrovat jenom pomocí možnosti oznámení.
  • Hesla aplikací jsou k dispozici pouze v případě MFA pro jednotlivé uživatele se staršími scénáři ověřování, pokud jsou povolena správci.

Upozornění

Pokud používáte výchozí hodnoty zabezpečení, nezakažte metody vaší organizace. Zakázání metod může způsobit, že se vaše tenant zamkne sami. Ponechte všechny metody dostupné pro uživatele, kteří jsou povoleni na portálu nastavení služby MFA.

Stav zakázaného MFA

Pokud je vaše organizace předchozí uživatel Multi-Factor Authentication Azure AD založeného na uživatelích, nebudete se s tím, že se podíváte na stránku stavu vícefaktorového ověřování, nezobrazila výzva k nezobrazení uživatelů v povoleném nebo vyřízeném stavu. Disabled (zakázáno ) je odpovídající stav pro uživatele, kteří používají výchozí hodnoty zabezpečení nebo Multi-Factor Authentication Azure AD založené na podmíněném přístupu.

Podmíněný přístup

Podmíněný přístup můžete použít ke konfiguraci zásad, které se podobají výchozím hodnotám zabezpečení, ale s větší členitosti včetně vylučování uživatelů, které nejsou dostupné ve výchozím nastavení zabezpečení. Pokud používáte podmíněný přístup a ve vašem prostředí máte povolené zásady podmíněného přístupu, výchozí nastavení zabezpečení nebude k dispozici. Pokud máte licenci, která poskytuje podmíněný přístup, ale nemáte ve svém prostředí povolené žádné zásady podmíněného přístupu, budete mít k dispozici výchozí nastavení zabezpečení, dokud nepovolíte Zásady podmíněného přístupu. Další informace o licencování Azure AD najdete na stránce s cenami služby Azure AD.

Zpráva s upozorněním, že je možné použít výchozí nastavení zabezpečení nebo podmíněný přístup ne obojí

Tady jsou podrobné návody, jak pomocí podmíněného přístupu nakonfigurovat sadu zásad, které tvoří dobrý výchozí bod pro ochranu identit:

Povolení výchozích hodnot zabezpečení

Povolení výchozích hodnot zabezpečení v adresáři:

  1. Přihlaste se k Azure Portal   jako správce zabezpečení, správce podmíněného přístupu nebo globální správce.
  2. přejděte na Azure Active Directory   >  vlastnosti.
  3. Vyberte Spravovat výchozí nastavení zabezpečení.
  4. Nastavte přepínač Povolit výchozí hodnoty zabezpečení na Ano.
  5. Vyberte Uložit.

Zakazování výchozích hodnot zabezpečení

Organizace, které se rozhodnou implementovat zásady podmíněného přístupu, které nahrazují výchozí hodnoty zabezpečení, musí zakázat výchozí nastavení zabezpečení.

Zpráva upozornění zakázat výchozí nastavení zabezpečení pro povolení podmíněného přístupu

Zakázání výchozích hodnot zabezpečení v adresáři:

  1. Přihlaste se k Azure Portal   jako správce zabezpečení, správce podmíněného přístupu nebo globální správce.
  2. přejděte na Azure Active Directory   >  vlastnosti.
  3. Vyberte Spravovat výchozí nastavení zabezpečení.
  4. Nastavte přepínač Povolit výchozí hodnoty zabezpečení na ne.
  5. Vyberte Uložit.

Další kroky

Společné zásady podmíněného přístupu