Plánování nasazení služby Identity Protection

Microsoft Entra ID Protection detekuje rizika založená na identitě, hlásí je a umožňuje správcům prošetřit a napravit tato rizika, aby organizace zůstaly v bezpečí a zabezpečené. Rizika mohou být dále předána do nástrojů, jako je podmíněný přístup, aby bylo možné učinit rozhodnutí o přístupu nebo je přenést zpět do nástroje pro správu bezpečnostních informací a událostí (SIEM) pro účely dalšího šetření.

Tento plán nasazení rozšiřuje koncepty zavedené v plánu nasazení podmíněného přístupu.

Požadavky

• Funkční tenant Microsoft Entra s povoleným Microsoft Entra ID P2 nebo zkušební licencí. V případě potřeby si ho vytvořte zdarma.
  • Microsoft Entra ID P2 se vyžaduje k zahrnutí rizika služby Identity Protection do zásad podmíněného přístupu.
• Správa istrátory, kteří pracují se službou Identity Protection, musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí. Pokud chcete postupovat podle nulová důvěra (Zero Trust) principu nejnižšího oprávnění, zvažte použití pim (Privileged Identity Management) k aktivaci přiřazení privilegovaných rolí za běhu.
  • Čtení zásad a konfigurací podmíněného přístupu a ochrany identit
    • Čtenář zabezpečení
    • Globální čtenář
  • Správa služby Identity Protection
    • Operátor zabezpečení
    • Správce zabezpečení
  • Vytvoření nebo úprava zásad podmíněného přístupu
    • Podmíněný přístup Správa istrator
    • Správce zabezpečení
• Testovací uživatel (nesprávce), který umožňuje ověřit, jestli zásady fungují podle očekávání, než je nasadíte skutečným uživatelům. Pokud potřebujete vytvořit uživatele, přečtěte si článek Rychlý start: Přidání nových uživatelů do Microsoft Entra ID.
• Skupina, ve které je uživatel bez oprávnění správce členem. Pokud potřebujete vytvořit skupinu, přečtěte si téma Vytvoření skupiny a přidání členů v Microsoft Entra ID.

Zapojení správných zúčastněných stran

Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně vlivu, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, zajistěte, abyste se zapojili do správných zúčastněných stran a aby role účastníků v projektu byly dobře srozumitelné tím, že zdokumentují zúčastněné strany, jejich vstupy do projektu a odpovědnost.

Komunikace se změnou

Komunikace je důležitá pro úspěch všech nových funkcí. Měli byste proaktivně komunikovat se svými uživateli, jak se jejich změny mění, kdy se mění, a jak získat podporu, pokud dojde k problémům.

Krok 1: Kontrola existujících sestav

Před nasazením zásad podmíněného přístupu na základě rizik je důležité zkontrolovat sestavy služby Identity Protection. Tato kontrola poskytuje příležitost prozkoumat stávající podezřelé chování, které jste mohli zmeškat, a potvrdit nebo potvrdit, že tito uživatelé jsou v bezpečí, pokud jste zjistili, že nejsou ohroženi.

• Zkoumání detekcí rizik
• Náprava rizik a odblokování uživatelů
• Hromadné změny pomocí Microsoft Graph PowerShellu

Kvůli efektivitě doporučujeme uživatelům umožnit samoobslužnou nápravu prostřednictvím zásad, které jsou popsány v kroku 3.

Krok 2: Plánování zásad rizik podmíněného přístupu

Služba Identity Protection odesílá do podmíněného přístupu rizikové signály, aby se mohli rozhodovat a vynucovat zásady organizace, jako je vyžadování vícefaktorového ověřování nebo změny hesla. Před vytvořením zásad by organizace měly naplánovat několik položek.

Vyloučení zásad

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet Microsoft Entra Připojení Sync. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Vícefaktorové ověřování

Aby uživatelé mohli sami napravit riziko, musí se však zaregistrovat k vícefaktorové ověřování Microsoft Entra, než se stanou rizikovými. Další informace najdete v článku Plánování nasazení vícefaktorového ověřování Microsoft Entra.

Známá síťová umístění

Je důležité nakonfigurovat pojmenovaná umístění v podmíněném přístupu a přidat rozsahy VPN do Defenderu for Cloud Apps. Přihlášení z pojmenovaných umístění označených jako důvěryhodná nebo známá zlepšují přesnost výpočtů rizik microsoft Entra ID Protection. Tato přihlášení snižují riziko uživatele při ověřování z umístění označeného jako důvěryhodné nebo známé. Tento postup snižuje falešně pozitivní výsledky některých detekcí ve vašem prostředí.

Režim pouze sestavy

Režim pouze sestav je stav zásad podmíněného přístupu, který správcům umožňuje vyhodnotit účinek zásad podmíněného přístupu předtím, než je vynutí ve svém prostředí.

Krok 3: Konfigurace zásad

Zásady služby Identity Protection pro registraci vícefaktorového ověřování

Pomocí zásad registrace vícefaktorového ověřování Identity Protection můžete uživatelům před použitím pomoct zaregistrovat vícefaktorové ověřování Microsoft Entra. Postupujte podle kroků v článku Postupy: Konfigurace zásad registrace vícefaktorového ověřování Microsoft Entra pro povolení této zásady.

Zásady podmíněného přístupu

Riziko přihlášení – Většina uživatelů má normální chování, které je možné sledovat, když spadne mimo tuto normu, může být rizikové, aby se mohli přihlásit. Můžete ho chtít zablokovat nebo ho požádat, aby provedl vícefaktorové ověřování, aby prokázal, že je skutečně tím, kdo je. Možná budete chtít začít tím, že tyto zásady založíte jenom na správce.

Riziko uživatelů – Microsoft spolupracuje s výzkumníky, prosazováním práva, různými bezpečnostními týmy v Microsoftu a dalšími důvěryhodnými zdroji, aby zjistil únik párů uživatelských jmen a hesel. Po zjištění těchto ohrožených uživatelů doporučujeme požadovat, aby uživatelé provedli vícefaktorové ověřování, a pak resetovali heslo.

Článek Konfigurace a povolení zásad rizik obsahuje pokyny k vytvoření zásad podmíněného přístupu pro řešení těchto rizik.

Krok 4: Monitorování a průběžné provozní potřeby

E-mailová oznámení

Povolte oznámení , abyste mohli reagovat, když je uživatel označený příznakem rizika, abyste mohli okamžitě začít prošetřovat. Můžete také nastavit týdenní e-maily s přehledem rizik pro daný týden.

Monitorování a zkoumání

Sešit Identity Protection vám může pomoct monitorovat a hledat vzory ve vašem tenantovi. Monitorujte tento sešit a sledujte trendy a také výsledky režimu Sestava podmíněného přístupu a zjistěte, jestli je potřeba provést nějaké změny, například přidání do pojmenovaných umístění.

Microsoft Defender for Cloud Apps poskytuje organizacím architektury šetření, které můžou používat jako výchozí bod. Další informace najdete v článku Postup zkoumání upozornění detekce anomálií.

K exportu rizikových informací do jiných nástrojů můžete použít také rozhraní API služby Identity Protection, aby váš bezpečnostní tým mohl monitorovat a upozorňovat na rizikové události.

Během testování můžete chtít simulovat některé hrozby pro testování procesů vyšetřování.

Další kroky

Co je riziko?