Biztonsági alapértékek a Azure AD

A Microsoft mindenki számára elérhetővé teszi az alapértelmezett biztonsági beállításokat, mert a biztonság kezelése nehézkes lehet. A mai környezetben gyakoriak az identitással kapcsolatos támadások, például a jelszófeltörés, a visszajátszás és az adathalászat. Az identitással kapcsolatos támadások több mint 99,9%-át többtényezős hitelesítéssel (MFA) leállítják, és blokkolják az örökölt hitelesítést. A cél annak biztosítása, hogy minden szervezetnek legyen legalább egy alapszintű biztonsági szintje, amely pluszköltség nélkül engedélyezve van.

Az alapértelmezett biztonsági beállítások megkönnyítik a szervezet védelmét az identitással kapcsolatos támadások ellen az előre konfigurált biztonsági beállításokkal:

Who?

  • Azok a szervezetek, akik növelni szeretnék a biztonsági helyzetüket, de nem tudják, hogyan és hol kezdjenek hozzá.
  • Az ingyenes Azure Active Directory licencelést használó szervezetek.

Who feltételes hozzáférést kell használnia?

  • Ha Ön jelenleg feltételes hozzáférési szabályzatokat használó szervezet, akkor a biztonsági alapértelmezések valószínűleg nem megfelelőek Önnek.
  • Ha Ön prémium szintű Azure Active Directory licenccel rendelkező szervezet, akkor a biztonsági alapértékek valószínűleg nem megfelelőek Önnek.
  • Ha szervezete összetett biztonsági követelményekkel rendelkezik, érdemes megfontolnia a feltételes hozzáférést.

Alapértelmezett biztonsági beállítások engedélyezése

Ha a bérlőt 2019. október 22-én vagy azt követően hozták létre, a biztonsági alapértelmezések engedélyezve lehetnek a bérlőben. Az összes felhasználó védelme érdekében a biztonsági alapértelmezések a létrehozáskor az összes új bérlőre ki lesznek állítva.

Az alapértelmezett biztonsági beállítások engedélyezése a címtárban:

  1. Jelentkezzen be a Azure Portal biztonsági rendszergazdaként, feltételes hozzáférési rendszergazdaként vagy globális rendszergazdaként.
  2. Tallózással keresse meg a Azure Active Directory>Tulajdonságok gombra.
  3. Válassza az Alapértelmezett biztonsági beállítások kezelése lehetőséget.
  4. Állítsa az Alapértelmezett biztonsági beállítások engedélyezése kapcsolót Igen értékre.
  5. Kattintson a Mentés gombra.

Screenshot of the Azure portal with the toggle to enable security defaults

Kikényszerített biztonsági szabályzatok

Az összes felhasználó regisztrálásának megkövetelése Azure AD Multi-Factor Authenticationre

A bérlő összes felhasználójának regisztrálnia kell a többtényezős hitelesítésre (MFA) a Azure AD Multi-Factor Authentication formájában. A felhasználóknak 14 napjuk van arra, hogy regisztráljanak a Azure AD Multi-Factor Authenticationre a Microsoft Authenticator alkalmazással. A 14 nap leteltével a felhasználó nem tud bejelentkezni a regisztráció befejezéséig. A felhasználó 14 napos időszaka az alapértelmezett biztonsági beállítások engedélyezése után az első sikeres interaktív bejelentkezés után kezdődik.

Többtényezős hitelesítés megkövetelése a rendszergazdáktól

A rendszergazdák nagyobb hozzáféréssel rendelkeznek a környezethez. Ezeknek a kiemelt jogosultságú fiókoknak az ereje miatt különös gondossággal kell kezelnie őket. A kiemelt jogosultságú fiókok védelmének javításának egyik gyakori módszere a fiókellenőrzés erősebb formája a bejelentkezéshez. A Azure AD többtényezős hitelesítés megkövetelésével erősebb fiókellenőrzést kaphat.

Tipp

Javasoljuk, hogy külön fiókokat használjon az adminisztrációs és a standard hatékonyságnövelő feladatokhoz, hogy jelentősen csökkentse a rendszergazdák MFA-kéréseinek számát.

A Azure AD Multi-Factor Authentication regisztrációjának befejezése után a következő Azure AD rendszergazdai szerepköröknek kell további hitelesítést végezniük minden bejelentkezéskor:

  • Globális rendszergazda
  • Alkalmazásadminisztrátor
  • Hitelesítési rendszergazda
  • Számlázási adminisztrátor
  • Felhőalkalmazás-rendszergazda
  • Feltételes hozzáférési rendszergazda
  • Exchange-rendszergazda
  • Ügyfélszolgálati rendszergazda
  • Jelszókezelő
  • Emelt szintű hitelesítés rendszergazdája
  • Biztonsági rendszergazda
  • SharePoint-rendszergazda
  • Felhasználói rendszergazda

Többtényezős hitelesítés megkövetelése a felhasználóktól, ha szükséges

Általában úgy gondoljuk, hogy csak a rendszergazdai fiókok igényelnek további hitelesítési rétegeket. A rendszergazdák széles körű hozzáféréssel rendelkeznek a bizalmas információkhoz, és módosíthatják az előfizetésre vonatkozó beállításokat. A támadók azonban gyakran célba érik a végfelhasználókat.

Miután ezek a támadók hozzáférést kapnak, hozzáférést kérhetnek az eredeti fióktulajdonos kiemelt adataihoz. Akár a teljes könyvtárat is letölthetik, hogy adathalász támadást hajtsanak végre az egész szervezeten.

A felhasználók védelmének javításának egyik gyakori módja, ha mindenki számára erősebb fiókhitelesítésre van szükség, például többtényezős hitelesítésre. Miután a felhasználók befejezték a Multi-Factor Authentication regisztrációját, a rendszer szükség esetén egy másik hitelesítést fog kérni. Azure AD eldönti, hogy a rendszer mikor kéri a felhasználótól a többtényezős hitelesítést olyan tényezők alapján, mint a hely, az eszköz, a szerepkör és a feladat. Ez a funkció a Azure AD regisztrált összes alkalmazást védi, beleértve az SaaS-alkalmazásokat is.

Örökölt hitelesítési protokollok blokkolása

Annak érdekében, hogy a felhasználók könnyen hozzáférjenek a felhőalkalmazásaihoz, Azure AD támogatja a különböző hitelesítési protokollokat, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés olyan kifejezés, amely a következő által küldött hitelesítési kérésre vonatkozik:

  • A modern hitelesítést nem használó ügyfelek (például egy Office 2010-ügyfél).
  • Minden olyan ügyfél, amely régebbi levelezési protokollokat használ, mint például az IMAP, az SMTP vagy a POP3.

Napjainkban a legtöbb veszélyeztető bejelentkezési kísérlet örökölt hitelesítésből származik. Az örökölt hitelesítés nem támogatja a Többtényezős hitelesítést. A támadók akkor is hitelesíthetik magukat egy régebbi protokoll használatával, és megkerülhetik a Multi-Factor Authenticationt, ha engedélyezve van a többtényezős hitelesítési szabályzat a címtárban.

Ha a bérlőben engedélyezve vannak az alapértelmezett biztonsági beállítások, a régebbi protokollok által küldött összes hitelesítési kérés le lesz tiltva. A biztonsági alapértelmezések letiltják Exchange Active Sync alapszintű hitelesítését.

Figyelmeztetés

Az alapértelmezett biztonsági beállítások engedélyezése előtt győződjön meg arról, hogy a rendszergazdák nem használnak régebbi hitelesítési protokollokat. További információ: Áttérés az örökölt hitelesítésről.

Emelt szintű tevékenységek, például a Azure Portal

A szervezetek az Azure Resource Manager API-n keresztül felügyelt különböző Azure-szolgáltatásokat használnak, többek között a következőket:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Az Azure Resource Manager használata a szolgáltatások kezeléséhez magas jogosultsági szintű művelet. Az Azure Resource Manager módosíthatja a bérlőszintű konfigurációkat, például a szolgáltatásbeállításokat és az előfizetés számlázását. Az egytényezős hitelesítés sebezhető a különböző támadások, például az adathalászat és a jelszófeltörés ellen.

Fontos ellenőrizni azOknak a felhasználóknak a személyazonosságát, akik hozzá szeretnének férni az Azure Resource Manager és frissíteni szeretnék a konfigurációkat. A hozzáférés engedélyezése előtt további hitelesítésre van szükség az identitásuk ellenőrzéséhez.

Miután engedélyezte az alapértelmezett biztonsági beállításokat a bérlőben, a következő szolgáltatásokat elérő összes felhasználónak többtényezős hitelesítést kell végeznie:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Ez a szabályzat minden olyan felhasználóra vonatkozik, aki hozzáfér az Azure Resource Manager-szolgáltatásokhoz, legyen az rendszergazda vagy felhasználó.

Megjegyzés

A 2017 előtti Exchange Online bérlőknél alapértelmezés szerint le van tiltva a modern hitelesítés. Annak érdekében, hogy elkerülje a bejelentkezési hurok lehetőségét a bérlőkön keresztüli hitelesítés során, engedélyeznie kell a modern hitelesítést.

Megjegyzés

A Azure AD Csatlakozás szinkronizálási fiók nem szerepel az alapértelmezett biztonsági beállítások között, és a rendszer nem kéri a többtényezős hitelesítésre való regisztrálást vagy a hitelesítést. A szervezetek nem használhatják ezt a fiókot más célokra.

Telepítési szempontok

Hitelesítési módszerek

Alapértelmezés szerint a felhasználóknak regisztrálniuk kell a Azure AD Multi-Factor Authentication szolgáltatásra, és értesítéseket kell használniuk a Microsoft Authenticator alkalmazással. A felhasználók használhatják az Microsoft Authenticator alkalmazás ellenőrzőkódjait, de csak az értesítési beállítással regisztrálhatnak.

2022 júliusától bárkinek, aki globális rendszergazdai szerepkörrel rendelkezik, regisztrálnia kell egy telefonalapú módszert, például hívást vagy szöveget biztonsági mentési módszerként.

Figyelmeztetés

Ne tiltsa le a szervezeti módszereket, ha biztonsági alapértelmezett beállításokat használ. A módszerek letiltása a bérlőből való kizáráshoz vezethet. Hagyja engedélyezve az összes metódust a felhasználók számára az MFA szolgáltatásbeállítási portálján.

Backup rendszergazdai fiókok

Minden szervezetnek legalább két biztonsági mentési rendszergazdai fiókkal kell rendelkeznie. Ezeket a segélyhívási fiókokat hívjuk.

Ezek a fiókok olyan esetekben használhatók, amikor a normál rendszergazdai fiókok nem használhatók. Például: A legutóbbi globális rendszergazdai hozzáféréssel rendelkező személy elhagyta a szervezetet. Azure AD megakadályozza az utolsó globális rendszergazdai fiók törlését, de nem akadályozza meg a fiók helyszíni törlését vagy letiltását. Bármelyik helyzet miatt előfordulhat, hogy a szervezet nem tudja helyreállítani a fiókot.

A vészhelyzeti hozzáférési fiókok a következők:

  • Globális rendszergazdai jogosultságok hozzárendelése Azure AD.
  • Nem használjuk napi rendszerességgel.
  • Hosszú, összetett jelszó védi.

Ezeknek a vészhelyzeti hozzáférési fiókoknak a hitelesítő adatait offline, biztonságos helyen, például tűzálló széfben kell tárolni. Ezekhez a hitelesítő adatokhoz csak jogosult személyek férhetnek hozzá.

Vészhelyzeti hozzáférési fiók létrehozása:

  1. Jelentkezzen be a Azure Portal meglévő globális rendszergazdaként.
  2. Tallózással keresse meg a Azure Active Directory>Felhasználókat.
  3. Válassza az Új felhasználó lehetőséget.
  4. Válassza a Felhasználó létrehozása lehetőséget.
  5. Adjon felhasználónevet a fióknak.
  6. Nevezze el a fiókot.
  7. Hozzon létre egy hosszú és összetett jelszót a fiókhoz.
  8. A Szerepkörök területen rendelje hozzá a globális rendszergazdai szerepkört.
  9. A Használati hely területen válassza ki a megfelelő helyet.
  10. Válassza a Létrehozás lehetőséget.

Dönthet úgy, hogy letiltja a jelszavak lejáratát ezeknél a fiókoknál Azure AD PowerShell használatával.

A segélyhívási fiókokról további információt a segélyhívási fiókok kezelése Azure AD című cikkben talál.

Letiltott MFA-állapot

Ha a szervezet felhasználónkénti Azure AD Multi-Factor Authentication korábbi felhasználója, ne aggódjon, ha a Multi-Factor Auth állapotlapon tekinti meg az Engedélyezett vagy Kényszerített állapotú felhasználókat. A Letiltva a megfelelő állapot azoknak a felhasználóknak, akik biztonsági alapértékeket vagy feltételes hozzáférés-alapú Azure AD Multi-Factor Authenticationt használnak.

Feltételes hozzáférés

A feltételes hozzáféréssel a biztonsági alapértelmezésekhez hasonló szabályzatokat konfigurálhat, de részletesebben, többek között más hitelesítési módszerek kiválasztásával és a felhasználók kizárásának lehetőségével, amelyek nem érhetők el a biztonsági alapértelmezésekben. Ha jelenleg feltételes hozzáférést használ a környezetében, a biztonsági alapértelmezések nem lesznek elérhetők.

Warning message that you can have security defaults or Conditional Access not both

Ha engedélyezni szeretné a feltételes hozzáférést olyan szabályzatok konfigurálásához, amelyek jó kiindulási pontot képeznek az identitások védelméhez:

Alapértelmezett biztonsági beállítások letiltása

Azoknak a szervezeteknek, amelyek a biztonsági alapértelmezéseket felülíró feltételes hozzáférési szabályzatokat implementálnak, le kell tiltaniuk a biztonsági alapértelmezéseket.

Warning message disable security defaults to enable Conditional Access

A címtár alapértelmezett biztonsági beállításainak letiltása:

  1. Jelentkezzen be a Azure Portal biztonsági rendszergazdaként, feltételes hozzáférési rendszergazdaként vagy globális rendszergazdaként.
  2. Tallózással keresse meg a Azure Active Directory>Tulajdonságok gombra.
  3. Válassza az Alapértelmezett biztonsági beállítások kezelése lehetőséget.
  4. Állítsa az Alapértelmezett biztonsági beállítások engedélyezése kapcsolót Nem értékre.
  5. Kattintson a Mentés gombra.

Következő lépések