Postupy: konfigurace a povolení zásad rizik

  • Článek
  • 3 min ke čtení

Jak jsme se naučili v předchozím článku, Zásady ochrany identit máme dvě rizikové zásady, které můžeme v našem adresáři povolit.

  • Zásady rizik přihlašování
  • Zásady rizik uživatelů

Stránka s přehledem zabezpečení pro povolení zásad rizik uživatelů a přihlašování

Obě zásady pracují na automatizaci reakcí na detekci rizik ve vašem prostředí a umožňují uživatelům, aby při zjištění rizika prováděli vlastní nápravu.

Výběr přípustných úrovní rizika

Organizace musí rozhodnout, jakou úroveň rizika mají přibírat uživatelské prostředí pro vyrovnávání zatížení a stav zabezpečení.

Doporučení Microsoftu je nastavit prahovou hodnotu zásad rizika pro uživatele na hodnotu Vysoká a na střední a vyšší rizikové zásady a umožní vám možnost automatického opravení. Pokud se rozhodnete blokovat přístup, místo toho, aby se povolily možnosti nápravy, jako je změna hesla a vícefaktorové ověřování, bude mít vliv na uživatele a správce. Tuto volbu zvažte při konfiguraci zásad.

Výběr vysoké prahové hodnoty snižuje počet aktivovaných zásad a minimalizuje dopad na uživatele. Z těchto zásad ale nevylučuje detekci nízkých a středních rizik, což nemusí útočníkovi zabránit v zneužití ohrožené identity. Výběr nízké prahové hodnoty zavádí větší přerušení uživatele.

Nakonfigurovaná důvěryhodná Síťová umístění jsou používána ochranou identity v některých detekcích rizik k omezení falešně pozitivních hodnot.

Náprava rizika

Organizace se můžou rozhodnout blokovat přístup, když se zjistí riziko. Blokování někdy brání legitimním uživatelům v tom, co potřebují. Lepším řešením je umožnění automatické nápravy pomocí služby Azure AD Multi-Factor Authentication (MFA) a samoobslužného resetování hesla (SSPR).

  • Když se aktivují zásady rizik uživatelů:
    • Správci můžou vyžadovat zabezpečené resetování hesla. vyžaduje se Azure AD MFA, než uživatel vytvoří nové heslo s SSPR a resetuje riziko pro uživatele.
  • Při triggerech rizikové zásady přihlašování:
    • Je možné aktivovat Azure AD MFA, což uživateli umožňuje prokázat, že je používá některou ze svých registrovaných metod ověřování a resetuje riziko přihlašování.

Upozornění

Uživatelé se musí zaregistrovat pro Azure AD MFA a SSPR dřív, než čelí situaci, která vyžaduje nápravu. Uživatelé, kteří nejsou registrováni, jsou zablokováni a vyžadují zásah správce.

Změna hesla (vím, že heslo znáte a chcete ho změnit na něco nového), které nesplňuje požadavky na zabezpečené resetování hesla.

Vyloučení

Zásady umožňují vyloučit uživatele, jako jsou například účty pro nouzový přístup nebo správce rozbití. Organizace mohou v závislosti na způsobu použití účtů vyloučit další účty z konkrétních zásad. Vyloučení by se měla pravidelně kontrolovat a zjistit, jestli jsou pořád k dispozici.

Povolit zásady

Existují dvě místa, kde tyto zásady můžou být nakonfigurované, podmíněný přístup a ochrana identity. Upřednostňovanou metodou je konfigurace pomocí zásad podmíněného přístupu, která poskytuje další kontext, včetně těchto:

  • Rozšířená diagnostická data
  • Integrace v režimu pouze sestavy
  • podpora Graph API
  • Použití dalších atributů podmíněného přístupu v zásadách

Než povolíte zásady oprav, můžou organizace prozkoumat a opravit všechna aktivní rizika.

Riziko uživatele s podmíněným přístupem

  1. Přihlaste se k Azure Portal jako globální správce, správce zabezpečení nebo správce podmíněného přístupu.
  2. vyhledejte Azure Active Directory > > podmíněný přístup zabezpečení.
  3. Vyberte nové zásady.
  4. Zadejte název zásady. Pro názvy svých zásad doporučujeme organizacím vytvořit smysluplný Standard.
  5. V části Přiřazení vyberte Uživatelé a skupiny.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo rozklad vaší organizace.
    3. Vyberte Hotovo.
  6. V části cloudové aplikace nebo akce > vyberte všechny cloudové aplikace.
  7. V části podmínky > rizika uživatele nastavte Konfigurovat na Ano.
    1. V části konfigurovat úrovně rizika uživatele potřebné pro vymáhání zásad vysoká vyberte vysoké.
    2. Vyberte Hotovo.
  8. V části řízení přístupu > udělení oprávnění.
    1. Vyberte udělit přístup, vyžadovat změnu hesla.
    2. Vyberte Vybrat.
  9. Potvrďte nastavení a nastavte možnost povolit zásadu na zapnuto.
  10. Vyberte vytvořit a vytvořte tak, aby se zásady povolily.

Přihlaste se pomocí podmíněného přístupu.

  1. Přihlaste se k Azure Portal jako globální správce, správce zabezpečení nebo správce podmíněného přístupu.
  2. vyhledejte Azure Active Directory > > podmíněný přístup zabezpečení.
  3. Vyberte nové zásady.
  4. Zadejte název zásady. Pro názvy svých zásad doporučujeme organizacím vytvořit smysluplný Standard.
  5. V části Přiřazení vyberte Uživatelé a skupiny.
    1. V části Zahrnout vyberte Všichni uživatelé.
    2. V části vyloučit vyberte Uživatelé a skupiny a zvolte účty pro nouzový přístup nebo rozklad vaší organizace.
    3. Vyberte Hotovo.
  6. V části cloudové aplikace nebo akce > vyberte všechny cloudové aplikace.
  7. V části podmínky > přihlášení nastavte nastavit na Ano. V části Vyberte úroveň rizika přihlašování, na kterou se budou tyto zásady vztahovat .
    1. Vyberte vysoké a střední.
    2. Vyberte Hotovo.
  8. V části řízení přístupu > udělení oprávnění.
    1. Vyberte udělit přístup, vyžadovat službu Multi-Factor Authentication.
    2. Vyberte Vybrat.
  9. Potvrďte nastavení a nastavte možnost povolit zásadu na zapnuto.
  10. Vyberte vytvořit a vytvořte tak, aby se zásady povolily.

Další kroky