Co jsou výchozí nastavení zabezpečení?What are security defaults?

Správa zabezpečení může být obtížné díky běžným útokům souvisejícím s identitou, jako je například postřik hesla, přehrávání a útoky phishing.Managing security can be difficult with common identity-related attacks like password spray, replay, and phishing becoming more and more popular. Výchozí hodnoty zabezpečení usnadňují ochranu vaší organizace před těmito útoky pomocí předem nakonfigurovaných nastavení zabezpečení:Security defaults make it easier to help protect your organization from these attacks with preconfigured security settings:

  • Vyžaduje se, aby se všichni uživatelé zaregistrovali Multi-Factor Authentication služby Azure AD.Requiring all users to register for Azure AD Multi-Factor Authentication.
  • Vyžadování správců k provádění vícefaktorového ověřování.Requiring administrators to perform multi-factor authentication.
  • Blokování protokolů pro ověřování starší verze.Blocking legacy authentication protocols.
  • Vyžaduje, aby uživatelé v případě potřeby prováděli službu Multi-Factor Authentication.Requiring users to perform multi-factor authentication when necessary.
  • Ochrana privilegovaných aktivit, jako je přístup k Azure Portal.Protecting privileged activities like access to the Azure portal.

Snímek obrazovky Azure Portal s přepínačem pro povolení výchozích hodnot zabezpečení

Další podrobnosti o tom, proč jsou k dispozici výchozí hodnoty zabezpečení, najdete v blogovém příspěvku Alex Weinert, představení výchozích hodnot zabezpečení.More details on why security defaults are being made available can be found in Alex Weinert's blog post, Introducing security defaults.

DostupnostAvailability

Microsoft zpřístupňuje výchozí nastavení zabezpečení všem uživatelům.Microsoft is making security defaults available to everyone. Cílem je zajistit, aby měly všechny organizace základní úroveň zabezpečení povoleno bez dalších poplatků.The goal is to ensure that all organizations have a basic level of security enabled at no extra cost. Výchozí nastavení zabezpečení můžete zapnout v Azure Portal.You turn on security defaults in the Azure portal. Pokud se tenant vytvořil v nebo po 22. říjnu 2019, je možné, že ve vašem tenantovi jsou už povolené výchozí hodnoty zabezpečení.If your tenant was created on or after October 22, 2019, it is possible security defaults are already enabled in your tenant. V zájmu ochrany všech našich uživatelů se ve všech nově vytvořených tenantůch zavádějí výchozí hodnoty zabezpečení.In an effort to protect all of our users, security defaults is being rolled out to all new tenants created.

Kdo je pro?Who's it for?

  • Pokud jste organizace, která chce zvýšit zabezpečení stav, ale nevíte, jak nebo kde začít, výchozí nastavení zabezpečení je pro vás.If you are an organization that wants to increase your security posture but you don't know how or where to start, security defaults are for you.
  • Pokud jste organizace s využitím bezplatné úrovně Azure Active Directory licencování, výchozí nastavení zabezpečení je pro vás.If you are an organization utilizing the free tier of Azure Active Directory licensing, security defaults are for you.

Kdo má používat podmíněný přístup?Who should use Conditional Access?

  • Pokud jste v organizaci aktuálně používali zásady podmíněného přístupu, které slouží ke spojování signálů, k rozhodování a vystavování zásad organizace, pro vás nejspíš neplatí výchozí nastavení zabezpečení.If you are an organization currently using Conditional Access policies to bring signals together, to make decisions, and enforce organizational policies, security defaults are probably not right for you.
  • Pokud jste organizace s licencemi Azure Active Directory Premium, výchozí nastavení zabezpečení pro vás pravděpodobně nejsou správná.If you are an organization with Azure Active Directory Premium licenses, security defaults are probably not right for you.
  • Pokud má vaše organizace složité požadavky na zabezpečení, měli byste zvážit podmíněný přístup.If your organization has complex security requirements you should consider Conditional Access.

Zásady se vynutilyPolicies enforced

Registrace sjednocené Multi-Factor AuthenticationUnified Multi-Factor Authentication registration

Všichni uživatelé ve vašem tenantovi musí zaregistrovat službu Multi-Factor Authentication (MFA) ve formě Multi-Factor Authentication služby Azure AD.All users in your tenant must register for multi-factor authentication (MFA) in the form of the Azure AD Multi-Factor Authentication. Uživatelé mají po 14 dnech registraci k Azure AD Multi-Factor Authentication pomocí aplikace Microsoft Authenticator.Users have 14 days to register for Azure AD Multi-Factor Authentication by using the Microsoft Authenticator app. Po uplynutí 14 dnů se uživatel nebude moct přihlásit, dokud se nedokončí registrace.After the 14 days have passed, the user won't be able to sign in until registration is completed. Po dobu 14 dní uživatele začíná po prvním úspěšném interaktivním přihlášení po povolení výchozích hodnot zabezpečení.A user's 14-day period begins after their first successful interactive sign-in after enabling security defaults.

Ochrana správcůProtecting administrators

Uživatelé s privilegovaným přístupem mají větší přístup k vašemu prostředí.Users with privileged access have increased access to your environment. Vzhledem k napájení těchto účtů byste je měli považovat za zvláštní péči.Due to the power these accounts have, you should treat them with special care. Jednou z běžných metod, jak zlepšit ochranu privilegovaných účtů, je vyžadovat pro přihlášení silnější formu ověření účtu.One common method to improve the protection of privileged accounts is to require a stronger form of account verification for sign-in. V Azure AD můžete získat silnější ověření účtu tím, že budete vyžadovat vícefaktorové ověřování.In Azure AD, you can get a stronger account verification by requiring multi-factor authentication.

Po dokončení registrace ve službě Azure AD Multi-Factor Authentication bude nutné při každém přihlášení provést následující devět rolí správce Azure AD:After registration with Azure AD Multi-Factor Authentication is finished, the following nine Azure AD administrator roles will be required to perform additional authentication every time they sign in:

  • Globální správceGlobal administrator
  • Správce SharePointuSharePoint administrator
  • Správce ExchangeExchange administrator
  • Správce podmíněného přístupuConditional Access administrator
  • Správce zabezpečeníSecurity administrator
  • Správce helpdeskuHelpdesk administrator
  • Správce fakturaceBilling administrator
  • Správce uživatelůUser administrator
  • Správce ověřováníAuthentication administrator

Ochrana všech uživatelůProtecting all users

Doporučujeme, abyste si myslíte, že účty správců jsou jedinými účty, které vyžadují další vrstvy ověřování.We tend to think that administrator accounts are the only accounts that need extra layers of authentication. Správci mají rozsáhlý přístup k citlivým informacím a můžou provádět změny nastavení pro celé předplatné.Administrators have broad access to sensitive information and can make changes to subscription-wide settings. Ale útočníci často cílí na koncové uživatele.But attackers frequently target end users.

Po získání přístupu pro tyto útočníky můžou požádat o přístup k privilegovaným informacím jménem původního držitele účtu.After these attackers gain access, they can request access to privileged information on behalf of the original account holder. Můžou si dokonce stáhnout celý adresář a udělat tak útok útoku phishing na celou organizaci.They can even download the entire directory to perform a phishing attack on your whole organization.

Jednou z běžných metod pro zlepšení ochrany pro všechny uživatele je vyžadovat silnější formu ověření účtu, například Multi-Factor Authentication pro každého.One common method to improve protection for all users is to require a stronger form of account verification, such as Multi-Factor Authentication, for everyone. Jakmile se uživatelé dokončí Multi-Factor Authentication registraci, budou vyzváni k dalšímu ověřování, kdykoli to bude nutné.After users complete Multi-Factor Authentication registration, they'll be prompted for additional authentication whenever necessary. Tato funkce chrání všechny aplikace zaregistrované ve službě Azure AD, včetně aplikací SaaS.This functionality protects all applications registered with Azure AD including SaaS applications.

Blokování starších verzí ověřováníBlocking legacy authentication

Aby měli uživatelé snadný přístup k vašim cloudovým aplikacím, Azure AD podporuje nejrůznější ověřovací protokoly, včetně starší verze ověřování.To give your users easy access to your cloud apps, Azure AD supports a variety of authentication protocols, including legacy authentication. Starší verze ověřování je termín, který odkazuje na žádost o ověření, kterou provedla:Legacy authentication is a term that refers to an authentication request made by:

  • Klienti, kteří nepoužívají moderní ověřování (například klienta Office 2010).Clients that don't use modern authentication (for example, an Office 2010 client).
  • Každý klient používající starší e-mailové protokoly, jako jsou IMAP, SMTP nebo POP3.Any client that uses older mail protocols such as IMAP, SMTP, or POP3.

V současné době většina neúspěšných pokusů o přihlášení pocházela ze staršího ověřování.Today, the majority of compromising sign-in attempts come from legacy authentication. Starší verze ověřování nepodporuje Multi-Factor Authentication.Legacy authentication does not support Multi-Factor Authentication. I v případě, že máte ve svém adresáři povolené zásady Multi-Factor Authentication, útočník se může ověřit pomocí staršího protokolu a Multi-Factor Authentication obcházení.Even if you have a Multi-Factor Authentication policy enabled on your directory, an attacker can authenticate by using an older protocol and bypass Multi-Factor Authentication.

Po povolení výchozích hodnot zabezpečení ve vašem tenantovi budou všechny požadavky na ověření provedené starším protokolem blokované.After security defaults are enabled in your tenant, all authentication requests made by an older protocol will be blocked. Výchozí hodnoty zabezpečení blokují Exchange Active Sync základní ověřování.Security defaults blocks Exchange Active Sync basic authentication.

Upozornění

Než povolíte výchozí nastavení zabezpečení, zajistěte, aby vaši správci nepoužívali starší ověřovací protokoly.Before you enable security defaults, make sure your administrators aren't using older authentication protocols. Další informace najdete v tématu Jak přejít pryč ze starší verze ověřování.For more information, see How to move away from legacy authentication.

Ochrana privilegovaných akcíProtecting privileged actions

Organizace používají různé služby Azure spravované prostřednictvím rozhraní Azure Resource Manager API, včetně:Organizations use a variety of Azure services managed through the Azure Resource Manager API, including:

  • portál AzureAzure portal
  • Azure PowerShellAzure PowerShell
  • Azure CLIAzure CLI

Použití Azure Resource Manager ke správě služeb je vysoce privilegovaná akce.Using Azure Resource Manager to manage your services is a highly privileged action. Azure Resource Manager může měnit konfigurace v rámci tenanta, jako je například nastavení služby a fakturace předplatného.Azure Resource Manager can alter tenant-wide configurations, such as service settings and subscription billing. Jednotné vícefaktorové ověřování je zranitelné vůči nejrůznějším útokům, jako je útok phishing a heslo.Single-factor authentication is vulnerable to a variety of attacks like phishing and password spray.

Je důležité ověřit identitu uživatelů, kteří chtějí získat přístup k Azure Resource Manager a aktualizovat konfigurace.It's important to verify the identity of users who want to access Azure Resource Manager and update configurations. Než povolíte přístup, ověříte jejich identitu tím, že budete vyžadovat další ověřování.You verify their identity by requiring additional authentication before you allow access.

Po povolení výchozích hodnot zabezpečení ve vašem tenantovi bude nutné, aby každý uživatel, který přistupuje k Azure Portal, Azure PowerShell nebo rozhraní příkazového řádku Azure CLI, dokončil další ověřování.After you enable security defaults in your tenant, any user who's accessing the Azure portal, Azure PowerShell, or the Azure CLI will need to complete additional authentication. Tato zásada platí pro všechny uživatele, kteří přistupují k Azure Resource Manager, ať už se jedná o správce nebo uživatele.This policy applies to all users who are accessing Azure Resource Manager, whether they're an administrator or a user.

Poznámka

Ve výchozím nastavení je ve výchozím nastavení zakázáno moderní ověřování klientů služby Exchange Online ve více než 2017.Pre-2017 Exchange Online tenants have modern authentication disabled by default. Abyste se vyhnuli možnosti přihlašovací smyčky při ověřování prostřednictvím těchto tenantů, musíte Povolit moderní ověřování.In order to avoid the possibility of a login loop while authenticating through these tenants, you must enable modern authentication.

Poznámka

Účet synchronizace Azure AD Connect je vyloučený z výchozích hodnot zabezpečení a nebude vyzván k registraci nebo provedení vícefaktorového ověřování.The Azure AD Connect synchronization account is excluded from security defaults and will not be prompted to register for or perform multi-factor authentication. Organizace by tento účet neměli používat pro jiné účely.Organizations should not be using this account for other purposes.

Aspekty nasazováníDeployment considerations

K nasazení výchozích hodnot zabezpečení se vztahují následující další požadavky.The following additional considerations are related to deployment of security defaults.

Metody ověřováníAuthentication methods

Tato bezplatná výchozí nastavení zabezpečení umožňují registraci a používání služby Azure AD Multi-Factor Authentication jenom pomocí Microsoft Authenticator aplikace.These free security defaults allow registration and use of Azure AD Multi-Factor Authentication using only the Microsoft Authenticator app using notifications. Podmíněný přístup umožňuje použití libovolné metody ověřování, kterou správce zvolí k povolení.Conditional Access allows the use of any authentication method the administrator chooses to enable.

MetodaMethod Výchozí nastavení zabezpečeníSecurity defaults Podmíněný přístupConditional Access
Oznámení prostřednictvím mobilní aplikaceNotification through mobile app XX XX
Ověřovací kód z mobilní aplikace nebo hardwarového tokenuVerification code from mobile app or hardware token × * *X** XX
Textová zpráva na telefonText message to phone XX
Zavolat na telefonCall to phone XX
Hesla aplikacíApp passwords X * * X**
  • _ * Uživatelé můžou použít ověřovací kódy z aplikace Microsoft Authenticator, ale můžou se zaregistrovat jenom pomocí možnosti oznámení._* Users may use verification codes from the Microsoft Authenticator app but can only register using the notification option.
  • * * _ Hesla aplikací jsou k dispozici pouze v případě MFA pro jednotlivé uživatele se staršími scénáři ověřování, pokud jsou povolena správci.**_ App passwords are only available in per-user MFA with legacy authentication scenarios only if enabled by administrators.

Stav zakázaného MFADisabled MFA status

Pokud je vaše organizace předchozím uživatelem Multi-Factor Authentication Azure AD, který je založený na uživatelích, nebudete budíkem, aby neviděli uživatele v Enabled případě, že se podíváte na stránku stavu multi -Factor auth.If your organization is a previous user of per-user based Azure AD Multi-Factor Authentication, do not be alarmed to not see users in an _ Enabled* or Enforced status if you look at the Multi-Factor Auth status page. Disabled (zakázáno ) je odpovídající stav pro uživatele, kteří používají výchozí hodnoty zabezpečení nebo Multi-Factor Authentication Azure AD založené na podmíněném přístupu.Disabled is the appropriate status for users who are using security defaults or Conditional Access based Azure AD Multi-Factor Authentication.

Podmíněný přístupConditional Access

Podmíněný přístup můžete použít ke konfiguraci zásad, které se podobají výchozím hodnotám zabezpečení, ale s větší členitosti včetně vylučování uživatelů, které nejsou dostupné ve výchozím nastavení zabezpečení.You can use Conditional Access to configure policies similar to security defaults, but with more granularity including user exclusions, which are not available in security defaults. Pokud používáte podmíněný přístup a ve vašem prostředí máte povolené zásady podmíněného přístupu, výchozí nastavení zabezpečení nebude k dispozici.If you're using Conditional Access and have Conditional Access policies enabled in your environment, security defaults won't be available to you. Pokud máte licenci, která poskytuje podmíněný přístup, ale nemáte ve svém prostředí povolené žádné zásady podmíněného přístupu, budete mít k dispozici výchozí nastavení zabezpečení, dokud nepovolíte Zásady podmíněného přístupu.If you have a license that provides Conditional Access but don't have any Conditional Access policies enabled in your environment, you are welcome to use security defaults until you enable Conditional Access policies. Další informace o licencování Azure AD najdete na stránce s cenami služby Azure AD.More information about Azure AD licensing can be found on the Azure AD pricing page.

Zpráva s upozorněním, že je možné použít výchozí nastavení zabezpečení nebo podmíněný přístup ne obojí

Tady jsou podrobné návody, jak pomocí podmíněného přístupu nakonfigurovat ekvivalentní zásady na tyto zásady povolené ve výchozím nastavení zabezpečení:Here are step-by-step guides on how you can use Conditional Access to configure equivalent policies to those policies enabled by security defaults:

Povolení výchozích hodnot zabezpečeníEnabling security defaults

Povolení výchozích hodnot zabezpečení v adresáři:To enable security defaults in your directory:

  1. Přihlaste se k Azure Portal   jako správce zabezpečení, správce podmíněného přístupu nebo globální správce.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Přejděte na Azure Active Directory   >  vlastnosti.Browse to Azure Active Directory > Properties.
  3. Vyberte Spravovat výchozí nastavení zabezpečení.Select Manage security defaults.
  4. Nastavte přepínač Povolit výchozí hodnoty zabezpečení na Ano.Set the Enable security defaults toggle to Yes.
  5. Vyberte Uložit.Select Save.

Zakazování výchozích hodnot zabezpečeníDisabling security defaults

Organizace, které se rozhodnou implementovat zásady podmíněného přístupu, které nahrazují výchozí hodnoty zabezpečení, musí zakázat výchozí nastavení zabezpečení.Organizations that choose to implement Conditional Access policies that replace security defaults must disable security defaults.

Zpráva upozornění zakázat výchozí nastavení zabezpečení pro povolení podmíněného přístupu

Zakázání výchozích hodnot zabezpečení v adresáři:To disable security defaults in your directory:

  1. Přihlaste se k Azure Portal   jako správce zabezpečení, správce podmíněného přístupu nebo globální správce.Sign in to the Azure portal as a security administrator, Conditional Access administrator, or global administrator.
  2. Přejděte na Azure Active Directory   >  vlastnosti.Browse to Azure Active Directory > Properties.
  3. Vyberte Spravovat výchozí nastavení zabezpečení.Select Manage security defaults.
  4. Nastavte přepínač Povolit výchozí hodnoty zabezpečení na ne.Set the Enable security defaults toggle to No.
  5. Vyberte Uložit.Select Save.

Další krokyNext steps

Běžné zásady podmíněného přístupuCommon Conditional Access policies