Megosztás a következőn keresztül:

A Microsoft Entra hitelesítéskezelési műveleteinek referencia-útmutatója

  • Cikk

A Microsoft Entra üzemeltetési referenciaútmutatójának ez a szakasza ismerteti a hitelesítő adatok védelme és kezelése, a hitelesítés (AuthN) felhasználói élményének meghatározása, a hozzárendelés delegálása, a használat mérése és a vállalati biztonsági helyzeten alapuló hozzáférési szabályzatok definiálása érdekében szükséges ellenőrzéseket és műveleteket.

Feljegyzés

Ezek a javaslatok a közzététel dátumától kezdve aktuálisak, de idővel változhatnak. A szervezeteknek folyamatosan értékelniük kell identitáskezelési gyakorlataikat, ahogy a Microsoft termékei és szolgáltatásai idővel fejlődnek.

Főbb üzemeltetési folyamatok

Tulajdonosok hozzárendelése a fő feladatokhoz

A Microsoft Entra-azonosító kezeléséhez szükség van a fő operatív feladatok és folyamatok folyamatos végrehajtására, amelyek nem feltétlenül részei egy bevezetési projektnek. Továbbra is fontos, hogy ezeket a feladatokat a környezet optimalizálásához állítsa be. A legfontosabb feladatok és azok javasolt tulajdonosai a következők:

Task Tulajdonos
Egyszeri bejelentkezés (SSO) konfiguráció életciklusának kezelése a Microsoft Entra ID-ban Identitás- és hozzáférés-kezelési (IAM) műveleti csapat
Feltételes hozzáférési szabályzatok tervezése Microsoft Entra-alkalmazásokhoz InfoSec architektúra csapat
Bejelentkezési tevékenység archiválása biztonsági információs és eseménykezelő (SIEM) rendszerben InfoSec Operations Team
Kockázati események archiválása SIEM-rendszerben InfoSec Operations Team
Biztonsági jelentések osztályozása és vizsgálata InfoSec Operations Team
Kockázati események osztályozása és vizsgálata InfoSec Operations Team
A Microsoft Entra ID-védelem kockázati és biztonságirés-jelentéseivel megjelölt felhasználók osztályozása és vizsgálata InfoSec Operations Team

Feljegyzés

Microsoft Entra ID-védelem Microsoft Entra ID P2 licencre van szükség. A követelményeknek megfelelő licencet a Microsoft Entra ID Free és a Microsoft Entra ID P1 vagy P2 kiadások általánosan elérhető funkcióinak összehasonlítása című témakörben találja.

A lista áttekintése során előfordulhat, hogy tulajdonost kell hozzárendelnie azokhoz a tevékenységekhez, amelyek nem rendelkeznek tulajdonossal, vagy módosítania kell a tulajdonjogot olyan tevékenységekhez, amelyek nem összhangban vannak a fenti javaslatokkal.

Hitelesítő adatok kezelése

Jelszószabályzatok

A jelszavak biztonságos kezelése az identitás- és hozzáférés-kezelés egyik legkritikusabb része, és gyakran a támadások legnagyobb célpontja. A Microsoft Entra ID számos olyan funkciót támogat, amelyek segíthetnek megakadályozni a támadás sikeres voltát.

Az alábbi táblázat segítségével megtalálhatja az ajánlott megoldást a megoldandó probléma enyhítésére:

Probléma Ajánlás
Nincs mechanizmus a gyenge jelszavak elleni védelemre A Microsoft Entra ID önkiszolgáló jelszó-visszaállítás (SSPR) és jelszóvédelem engedélyezése
Nincs mechanizmus a kiszivárgott jelszavak észlelésére A jelszókivonat-szinkronizálás (PHS) engedélyezése az elemzésekhez
Az AD FS használata, és nem lehet áttérni a felügyelt hitelesítésre Az AD FS extranetes intelligens zárolásának és/vagy a Microsoft Entra intelligens zárolásának engedélyezése
A jelszóházirend összetettségen alapuló szabályokat használ, például hossz, több karakterkészlet vagy lejárat Gondolja át a Microsoft ajánlott eljárásait , és váltson a jelszókezelésre, és helyezze üzembe a Microsoft Entra jelszóvédelmét.
A felhasználók nincsenek regisztrálva a többtényezős hitelesítés használatára Regisztrálja a felhasználó összes biztonsági információját , hogy az mechanizmusként használható legyen a felhasználó identitásának és jelszavának ellenőrzésére
A felhasználói kockázat alapján nem lehet visszavonni a jelszavakat A Microsoft Entra Identity Protection felhasználói kockázati szabályzatainak üzembe helyezése a jelszómódosítások kényszerítéséhez a kiszivárgott hitelesítő adatokon az SSPR használatával
Nincs intelligens zárolási mechanizmus a rosszindulatú hitelesítés védelmére az azonosított IP-címekről érkező rossz szereplőktől Felhőalapú hitelesítés üzembe helyezése jelszókivonat-szinkronizálással vagy átmenő hitelesítéssel (PTA)

Önkiszolgáló jelszó-visszaállítás és jelszóvédelem engedélyezése

Az ügyfélszolgálati hívások mennyiségének és költségének egyik legnagyobb forrása, hogy a felhasználóknak módosítaniuk vagy alaphelyzetbe kell állítaniuk a jelszavukat. A költségek mellett a jelszó eszközként való módosítása a felhasználói kockázat csökkentése érdekében alapvető lépés a szervezet biztonsági helyzetének javításában.

Legalább ajánlott a Microsoft Entra ID önkiszolgáló jelszó-visszaállítás (SSPR) és a helyszíni jelszóvédelem üzembe helyezése a következő célok érdekében:

  • Az ügyfélszolgálati hívások átirányítása.
  • Cserélje le az ideiglenes jelszavak használatát.
  • Cserélje le a meglévő, helyszíni megoldásra támaszkodó önkiszolgáló jelszókezelési megoldást.
  • A gyenge jelszavak kiküszöbölése a szervezetben.

Feljegyzés

A Microsoft Entra ID P2-előfizetéssel rendelkező szervezetek számára ajánlott az SSPR üzembe helyezése és használata az Identity Protection felhasználói kockázati szabályzatának részeként.

Erős hitelesítő adatok kezelése

A jelszavak önmagukban nem elég biztonságosak ahhoz, hogy megakadályozzák, hogy a rossz szereplők hozzáférjenek a környezethez. Legalább minden kiemelt fiókkal rendelkező felhasználónak engedélyeznie kell a többtényezős hitelesítést. Ideális esetben engedélyeznie kell a kombinált regisztrációt , és minden felhasználónak regisztrálnia kell a többtényezős hitelesítésre és az SSPR-re a kombinált regisztrációs felület használatával. Végül azt javasoljuk, hogy fogadjon el egy stratégiát, amely rugalmasságot biztosít a váratlan körülmények miatti kimaradás kockázatának csökkentése érdekében.

A felhasználói élmény kombinált folyamata

Helyszíni kimaradás hitelesítésének rugalmassága

Az egyszerűség és a kiszivárgott hitelesítő adatok észlelésének engedélyezése mellett a Microsoft Entra Password Hash Sync (PHS) és a Microsoft Entra többtényezős hitelesítés lehetővé teszi a felhasználók számára, hogy szolgáltatásként (SaaS) alkalmazásokhoz és a Microsoft 365-höz férhessenek hozzá a helyszíni kibertámadások, például a NotPetya miatt. A PHS az összevonással együtt is engedélyezhető. A PHS engedélyezése lehetővé teszi a hitelesítés visszavételét, ha az összevonási szolgáltatások nem érhetők el.

Ha a helyszíni szervezet nem rendelkezik kimaradás-rugalmassági stratégiával, vagy olyannal rendelkezik, amely nincs integrálva a Microsoft Entra ID-val, telepítse a Microsoft Entra PHS-t, és definiáljon egy phS-t tartalmazó vészhelyreállítási tervet. A Microsoft Entra PHS engedélyezése lehetővé teszi a felhasználók számára a Microsoft Entra-azonosítón való hitelesítést, ha a helyi Active Directory nem érhetők el.

jelszókivonat szinkronizálási folyamata

A hitelesítési lehetőségek jobb megismeréséhez olvassa el a Microsoft Entra hibrid identitáskezelési megoldás megfelelő hitelesítési módszerének kiválasztása című témakört.

Hitelesítő adatok programozott használata

A PowerShellt vagy a Microsoft Graph API-t használó alkalmazásokat használó Microsoft Entra ID-szkriptek biztonságos hitelesítést igényelnek. A szkripteket és eszközöket végrehajtó rossz hitelesítő adatok kezelése növeli a hitelesítő adatok ellopásának kockázatát. Ha olyan szkripteket vagy alkalmazásokat használ, amelyek kemény kódú jelszavakra vagy jelszókérésekre támaszkodnak, először tekintse át a konfigurációs fájlokban vagy a forráskódban szereplő jelszavakat, majd cserélje le ezeket a függőségeket, és amikor csak lehetséges, használja az Azure Managed Identityes, az Integrált Windows-hitelesítés vagy a tanúsítványok használatát. Az olyan alkalmazások esetében, ahol a korábbi megoldások nem lehetségesek, fontolja meg az Azure Key Vault használatát.

Ha megállapítja, hogy vannak jelszó-hitelesítő adatokkal rendelkező szolgáltatásnevek, és nem tudja, hogy a jelszó hitelesítő adatait hogyan védik szkriptek vagy alkalmazások, forduljon az alkalmazás tulajdonosához a használati minták jobb megismeréséhez.

A Microsoft azt is javasolja, hogy vegye fel a kapcsolatot az alkalmazás tulajdonosaival, hogy megismerje a használati mintákat, ha vannak olyan szolgáltatásnevek, amelyekhez jelszó hitelesítő adatok tartoznak.

Hitelesítési élmény

Helyszíni hitelesítés

Az összevont hitelesítés integrált Windows-hitelesítéssel (IWA) vagy közvetlen egyszeri bejelentkezéssel (SSO) felügyelt hitelesítés jelszókivonat-szinkronizálással vagy átmenő hitelesítéssel a legjobb felhasználói élmény a vállalati hálózaton belül, a helyszíni tartományvezérlőkhöz vezető látóvonallal. Minimálisra csökkenti a hitelesítő adatok gyors kimerülését, és csökkenti annak kockázatát, hogy a felhasználók adathalász támadások áldozatává kerüljenek. Ha már használ felhőalapú hitelesítést PHS-sel vagy PTA-val, de a felhasználóknak továbbra is be kell gépelniük a jelszót a helyszíni hitelesítéskor, akkor azonnal üzembe kell helyeznie a közvetlen egyszeri bejelentkezést. Ha azonban jelenleg összevonta a felhő által felügyelt hitelesítésre való migrálásra vonatkozó terveket, akkor a migrálási projekt részeként zökkenőmentes egyszeri bejelentkezést kell implementálnia.

Eszközmegbízhatósági hozzáférési szabályzatok

A szervezet felhasználójához hasonlóan az eszköz is egy alapvető identitás, amelyet védeni szeretne. Az eszköz identitásával bármikor és bárhonnan megvédheti erőforrásait. Az eszköz hitelesítése és megbízhatósági típusának nyilvántartása a következőkkel javítja a biztonsági helyzetet és a használhatóságot:

  • A súrlódás elkerülése, például többtényezős hitelesítés esetén, ha az eszköz megbízható
  • Nem megbízható eszközök hozzáférésének letiltása
  • Windows 10-eszközök esetén zökkenőmentesen biztosítson egyszeri bejelentkezést a helyszíni erőforrásokra.

Ezt a célt az eszközidentitások Microsoft Entra-azonosítóban való kezelésével hajthatja végre az alábbi módszerek egyikével:

  • A szervezetek a Microsoft Intune használatával kezelhetik az eszközt, és érvényesíthetik a megfelelőségi szabályzatokat, ellenőrizhetik az eszköz állapotát, és feltételes hozzáférési szabályzatokat állíthatnak be annak alapján, hogy az eszköz megfelelő-e. A Microsoft Intune képes kezelni az iOS-eszközöket, a Mac asztali számítógépeket (JAMF-integráción keresztül), a Windows-asztalokat (natív módon a Windows 10-hez készült Mobile Eszközkezelés, valamint a Microsoft Configuration Managerrel való közös felügyeletet) és az Android rendszerű mobileszközöket.
  • A Microsoft Entra hibrid illesztés csoportházirendekkel vagy Microsoft Configuration Managerrel való felügyeletet biztosít az Active Directory tartományhoz csatlakoztatott számítógépekkel rendelkező környezetben. A szervezetek a közvetlen egyszeri bejelentkezéssel rendelkező PHS vagy PTA használatával is üzembe helyezhetnek felügyelt környezetet. Az eszközök Microsoft Entra-azonosítóhoz való csatlakoztatása maximalizálja a felhasználói hatékonyságot az egyszeri bejelentkezéssel a felhőben és a helyszíni erőforrásokban, miközben lehetővé teszi a felhőhöz és a helyszíni erőforrásokhoz való hozzáférést feltételes hozzáféréssel egyidejűleg.

Ha olyan tartományhoz csatlakoztatott Windows-eszközökkel rendelkezik, amelyek nincsenek regisztrálva a felhőben, vagy a tartományhoz csatlakoztatott Windows-eszközök, amelyek a felhőben vannak regisztrálva, de feltételes hozzáférési szabályzatok nélkül, akkor regisztrálnia kell a nem regisztrált eszközöket, és mindkét esetben a Microsoft Entra hibrid illesztést kell használnia vezérlőként a feltételes hozzáférési szabályzatokban.

Képernyőkép a feltételes hozzáférési szabályzat hibrid eszközt igénylő engedélyezéséről

Ha MDM-sel vagy Microsoft Intune-nal kezeli az eszközöket, de nem használja az eszközvezérlőket a feltételes hozzáférési szabályzatokban, akkor azt javasoljuk, hogy az eszköznek megfelelőként való megjelölése kötelező legyen ezekben a szabályzatokban.

Képernyőkép az eszközmegfelelést igénylő feltételes hozzáférési szabályzat megadásáról

Vállalati Windows Hello

A Windows 10-ben Vállalati Windows Hello a jelszavakat erős kéttényezős hitelesítésre cseréli a számítógépeken. Vállalati Windows Hello egyszerűbb többtényezős hitelesítést tesz lehetővé a felhasználók számára, és csökkenti a jelszavaktól való függőséget. Ha még nem kezdte meg a Windows 10-eszközök üzembe helyezését, vagy csak részben telepítette őket, javasoljuk, hogy frissítsen a Windows 10-re, és engedélyezze a Vállalati Windows Hello minden eszközön.

Ha többet szeretne megtudni a jelszó nélküli hitelesítésről, tekintse meg a Microsoft Entra-azonosítóval rendelkező, jelszó nélküli világot.

Alkalmazáshitelesítés és -hozzárendelés

Egyszeri bejelentkezés alkalmazásokhoz

A standardizált egyszeri bejelentkezési mechanizmus biztosítása a teljes vállalat számára elengedhetetlen a legjobb felhasználói élmény, a kockázat csökkentése, a jelentéskészítés és a szabályozás szempontjából. Ha olyan alkalmazásokat használ, amelyek támogatják az egyszeri bejelentkezést a Microsoft Entra-azonosítóval, de jelenleg helyi fiókok használatára vannak konfigurálva, akkor ezeket az alkalmazásokat újrakonfigurálnia kell, hogy az egyszeri bejelentkezést a Microsoft Entra-azonosítóval használják. Hasonlóképpen, ha olyan alkalmazásokat használ, amelyek támogatják az egyszeri bejelentkezést a Microsoft Entra ID-val, de egy másik identitásszolgáltatót használnak, akkor ezeket az alkalmazásokat újrakonfigurálnia kell, hogy az egyszeri bejelentkezést a Microsoft Entra-azonosítóval is használhassa. Az olyan alkalmazások esetében, amelyek nem támogatják az összevonási protokollokat, de támogatják az űrlapalapú hitelesítést, javasoljuk, hogy konfigurálja az alkalmazást jelszótároló használatára a Microsoft Entra alkalmazásproxyval.

AppProxy jelszóalapú bejelentkezés

Feljegyzés

Ha nem rendelkezik a szervezet nem felügyelt alkalmazásainak felderítésére szolgáló mechanizmussal, javasoljuk, hogy implementáljon egy felderítési folyamatot egy felhőalkalmazás-biztonsági közvetítővel (CASB), például Felhőhöz készült Microsoft Defender Apps használatával.

Végül, ha rendelkezik Microsoft Entra alkalmazáskatalógussal, és olyan alkalmazásokat használ, amelyek támogatják az egyszeri bejelentkezést a Microsoft Entra-azonosítóval, javasoljuk, hogy sorolja fel az alkalmazást az alkalmazáskatalógusban.

AD FS-alkalmazások migrálása a Microsoft Entra-azonosítóba

Az alkalmazások AD FS-ről Microsoft Entra-azonosítóra való migrálása további biztonsági képességeket, konzisztensebb kezelhetőséget és jobb együttműködési élményt tesz lehetővé. Ha az AD FS-ben olyan alkalmazások vannak konfigurálva, amelyek támogatják az egyszeri bejelentkezést a Microsoft Entra-azonosítóval, akkor újra kell konfigurálnia ezeket az alkalmazásokat, hogy az egyszeri bejelentkezést a Microsoft Entra-azonosítóval használják. Ha az AD FS-ben olyan alkalmazások vannak konfigurálva, amelyek nem gyakori konfigurációkat támogatnak a Microsoft Entra ID által, forduljon az alkalmazás tulajdonosaihoz, hogy megtudják, hogy a speciális konfiguráció az alkalmazás abszolút követelménye-e. Ha ez nem kötelező, akkor újra kell konfigurálnia az alkalmazást, hogy az egyszeri bejelentkezést a Microsoft Entra-azonosítóval használja.

Elsődleges identitásszolgáltatóként a Microsoft Entra ID

Feljegyzés

A Microsoft Entra Csatlakozás Health for AD FS segítségével összegyűjtheti az egyes alkalmazások konfigurációs adatait, amelyek esetleg migrálhatók a Microsoft Entra-azonosítóba.

Felhasználók hozzárendelése alkalmazásokhoz

A felhasználók alkalmazásokhoz való hozzárendelése csoportok használatával a legjobban megfeleltethető, mivel nagyobb rugalmasságot és nagyobb mértékű felügyeletet tesznek lehetővé. A csoportok használatának előnyei közé tartozik az attribútumalapú dinamikus csoporttagság és az alkalmazástulajdonosok delegálása. Ezért ha már használ és kezel csoportokat, javasoljuk, hogy a következő műveleteket hajtsa végre a nagy léptékű felügyelet javítása érdekében:

Másrészt, ha olyan alkalmazásokat talál, amelyek az egyes felhasználókhoz vannak hozzárendelve, mindenképpen implementálja az adott alkalmazásokra vonatkozó szabályozást .

Hozzáférési szabályzatok

Nevesített helyek

A Microsoft Entra ID névvel ellátott helyeivel megbízható IP-címtartományokat címkézhet a szervezetében. A Microsoft Entra ID nevesített helyeket használ a következő célokra:

  • A kockázati események hamis pozitív értékének megakadályozása. A megbízható hálózati helyről való bejelentkezés csökkenti a felhasználó bejelentkezési kockázatát.
  • Helyalapú feltételes hozzáférés konfigurálása.

Névvel ellátott helyek

A prioritás alapján az alábbi táblázattal megtalálhatja a szervezet igényeinek leginkább megfelelő megoldást:

Priority (Prioritás) Forgatókönyv Ajánlás
0 Ha PHS-t vagy PTA-t használ, és a névvel ellátott helyek nincsenek meghatározva Megnevezett helyek definiálása a kockázati események észlelésének javítása érdekében
2 Ha összevont, és nem használja az "insideCorporateNetwork" jogcímet és a megnevezett helyeket nem definiálta Megnevezett helyek definiálása a kockázati események észlelésének javítása érdekében
3 Ha nem használ elnevezett helyeket a feltételes hozzáférési szabályzatokban, és nincs kockázat- vagy eszközvezérlő a feltételes hozzáférési szabályzatokban A feltételes hozzáférési szabályzat konfigurálása elnevezett helyek belefoglalására
4 Ha összevont, és használja az "insideCorporateNetwork" jogcímet és a megnevezett helyeket nem definiálta Megnevezett helyek definiálása a kockázati események észlelésének javítása érdekében
5 Ha többtényezős hitelesítéssel rendelkező megbízható IP-címeket használ nevesített helyek helyett, és megbízhatóként jelöli meg őket Megnevezett helyek definiálása és megbízhatóként való megjelölése a kockázati események észlelésének javítása érdekében

Kockázatalapú hozzáférési szabályzatok

A Microsoft Entra ID ki tudja számítani minden bejelentkezés és minden felhasználó kockázatát. A kockázati feltételek hozzáférési szabályzatokban való használata jobb felhasználói élményt biztosíthat, például kevesebb hitelesítési kérést és nagyobb biztonságot, például csak szükség esetén kéri a felhasználókat, és automatizálhatja a választ és a szervizelést.

Bejelentkezési kockázati szabályzat

Ha már rendelkezik olyan Microsoft Entra-azonosítójú P2-licencekkel, amelyek támogatják a hozzáférési szabályzatokban a kockázat használatát, de nem használják őket, javasoljuk, hogy kockázattal bővítse a biztonsági helyzetet.

Ügyfélalkalmazás hozzáférési szabályzatai

A Microsoft Intune Application Management (MAM) lehetővé teszi az olyan adatvédelmi vezérlők leküldését, mint a tárolótitkosítás, a PIN-kód, a távoli tárterület törlése stb. kompatibilis ügyfél-mobilalkalmazásokhoz, például az Outlook Mobile-hoz. Emellett feltételes hozzáférési szabályzatok is létrehozhatók, amelyek korlátozzák a felhőszolgáltatásokhoz, például az Exchange Online-hoz való hozzáférést jóváhagyott vagy kompatibilis alkalmazásokból.

Ha az alkalmazottak MAM-kompatibilis alkalmazásokat, például Office-mobilalkalmazásokat telepítenek a vállalati erőforrások, például az Exchange Online vagy a SharePoint eléréséhez a Microsoft 365-ben, és ön is támogatja a BYOD -t (saját eszközét használja), javasoljuk, hogy telepítsen alkalmazás MAM-szabályzatokat az alkalmazáskonfiguráció MDM-regisztráció nélküli, személyes tulajdonú eszközökön való kezelésére, majd frissítse a feltételes hozzáférési szabályzatokat, hogy csak a MAM-kompatibilis ügyfelekről engedélyezze a hozzáférést.

Feltételes hozzáférés engedélyezése vezérlő

Ha az alkalmazottak MAM-kompatibilis alkalmazásokat telepítenek a vállalati erőforrásokra, és a hozzáférés korlátozott az Intune által felügyelt eszközökön, akkor érdemes lehet alkalmazás MAM-szabályzatokat üzembe helyezni a személyes eszközök alkalmazáskonfigurációjának kezeléséhez, és frissíteni a feltételes hozzáférési szabályzatokat, hogy csak MAM-kompatibilis ügyfelekről engedélyezze a hozzáférést.

Feltételes hozzáférés implementálása

A feltételes hozzáférés nélkülözhetetlen eszköz a szervezet biztonsági helyzetének javításához. Ezért fontos, hogy kövesse az alábbi ajánlott eljárásokat:

  • Győződjön meg arról, hogy minden SaaS-alkalmazáshoz legalább egy szabályzat van alkalmazva
  • A zárolási kockázat elkerülése érdekében ne kombinálja a Minden alkalmazás szűrőt a blokkvezérlővel
  • Kerülje a Minden felhasználó szűrőként való használatát, és véletlenül vegye fel a vendégeket
  • Az összes "örökölt" szabályzat migrálása az Azure Portalra
  • A felhasználókra, eszközökre és alkalmazásokra vonatkozó összes feltétel elfogása
  • Feltételes hozzáférési szabályzatok használata többtényezős hitelesítés implementálásához felhasználónkénti MFA használata helyett
  • Több alkalmazásra alkalmazható alapvető szabályzatok kis halmazával rendelkezik
  • Üres kivételcsoportok definiálása és hozzáadása a szabályzathoz kivételstratégiához
  • Üvegtöréses fiókok tervezése többtényezős hitelesítési vezérlők nélkül
  • Konzisztens felhasználói élmény biztosítása a Microsoft 365-ügyfélalkalmazások között, például a Teamsben, a OneDrive-on, az Outlookban stb.) a Microsoft 365-höz hasonló szolgáltatások, például az Exchange Online és a SharePoint vezérlőinek implementálásával
  • A szabályzatokhoz való hozzárendelést csoportokon keresztül kell végrehajtani, nem egyéneken keresztül
  • Rendszeresen tekintse át a szabályzatokban használt kivételcsoportokat annak érdekében, hogy a felhasználók ne legyenek biztonsági állapotban. Ha a Microsoft Entra ID P2-t használja, akkor hozzáférési felülvizsgálatokkal automatizálhatja a folyamatot

Hozzáférés a felülethez

Régi hitelesítés

Az erős hitelesítő adatok, például a többtényezős hitelesítés nem tudják megvédeni az alkalmazásokat az örökölt hitelesítési protokollokkal, ami a rosszindulatú szereplők által előnyben részesített támadási vektorsá teszi. Az örökölt hitelesítés zárolása kulcsfontosságú a hozzáférés biztonsági helyzetének javításához.

Az örökölt hitelesítés egy olyan kifejezés, amely az alkalmazások által használt hitelesítési protokollokra vonatkozik, például:

  • Régebbi, nem modern hitelesítést használó Office-ügyfelek (például Office 2010-ügyfél)
  • Az olyan levelezési protokollokat használó ügyfelek, mint az Internet Message Access Protocol (IMAP)/Simple Mail Transfer Protocol (SMTP)/jelenléti pont (POP)

A támadók határozottan előnyben részesítik ezeket a protokollokat – valójában a jelszóspray-támadások közel 100%-a régi hitelesítési protokollokat használ! A támadók örökölt hitelesítési protokollokat használnak, mert nem támogatják az interaktív bejelentkezést, ami további biztonsági kihívásokhoz, például a többtényezős hitelesítéshez és az eszközhitelesítéshez szükséges.

Ha a környezetében széles körben használják az örökölt hitelesítést, a lehető leghamarabb tervezze meg az örökölt ügyfelek migrálását a modern hitelesítést támogató ügyfelekre. Ugyanebben a jogkivonatban, ha egyes felhasználók már használnak modern hitelesítést, de vannak olyan felhasználók, akik továbbra is régi hitelesítést használnak, az örökölt hitelesítési ügyfelek zárolásához hajtsa végre az alábbi lépéseket:

  1. A bejelentkezési tevékenységjelentések segítségével azonosíthatja azokat a felhasználókat, akik továbbra is régi hitelesítést használnak, és tervezik a szervizelést:

    1. Frissítsen modern hitelesítésre képes ügyfelekre az érintett felhasználók számára.

    2. Tervezze meg az átállási időkeretet az alábbi lépésenkénti zároláshoz.

    3. Annak azonosítása, hogy mely örökölt alkalmazások függenek keményen az örökölt hitelesítéshez. Lásd az alábbi 3. lépést.

  2. Tiltsa le az örökölt protokollokat a forrásban (például Exchange Postaláda) azon felhasználók esetében, akik nem használnak örökölt hitelesítést a további kitettség elkerülése érdekében.

  3. A fennmaradó fiókok (ideális esetben nem emberi identitások, például szolgáltatásfiókok) esetében a feltételes hozzáféréssel korlátozhatja az örökölt protokollokat a hitelesítés után.

Tiltott hozzájárulás megadására irányuló támadás esetén a támadó létrehoz egy Regisztrált Microsoft Entra-alkalmazást, amely hozzáférést kér az olyan adatokhoz, mint a kapcsolattartási adatok, az e-mailek vagy a dokumentumok. Előfordulhat, hogy a felhasználók adathalász támadásokkal engedélyezik a rosszindulatú alkalmazásokhoz való hozzájárulást, amikor rosszindulatú webhelyekre érkeznek.

Az alábbiakban felsoroljuk azokat az alkalmazásokat, amelyek engedélyeivel érdemes lehet ellenőrizni a Microsoft Cloud Servicest:

  • Alkalmazással vagy delegált *-nal rendelkező alkalmazások. ReadWrite-engedélyek
  • A delegált engedélyekkel rendelkező alkalmazások e-maileket olvashatnak, küldhetnek vagy kezelhetnek a felhasználó nevében
  • Az alábbi engedélyekkel rendelkező alkalmazások:
Erőforrás Engedély
Exchange Online EAS. AccessAsUser.All
EWS. AccessAsUser.All
Mail.Read
Microsoft Graph API Mail.Read
Mail.Read.Shared
Mail.ReadWrite
  • Az alkalmazások teljes felhasználói megszemélyesítést kaptak a bejelentkezett felhasználótól. Példa:
Erőforrás Engedély
Microsoft Graph API Directory.AccessAsUser.All
Azure REST API user_impersonation

A forgatókönyv elkerülése érdekében tekintse meg az Office 365 tiltott hozzájárulási támogatásának észlelését és szervizelését, hogy azonosítsa és kijavítsa azokat a tiltott támogatásokkal vagy alkalmazásokkal rendelkező alkalmazásokat, amelyek a szükségesnél több támogatást kapnak. Ezután távolítsa el teljesen az önkiszolgáló szolgáltatást, és hozzon létre szabályozási eljárásokat. Végül ütemezze az alkalmazásengedélyek rendszeres felülvizsgálatát, és távolítsa el őket, ha nincs rájuk szükség.

Felhasználói és csoportbeállítások

Az alábbiakban azokat a felhasználói és csoportbeállításokat találja, amelyek zárolhatók, ha nincs explicit üzleti igény:

Felhasználói beállítások

  • Külső felhasználók – a külső együttműködés organikus módon történhet a vállalaton belül olyan szolgáltatásokkal, mint a Teams, a Power BI, a Microsoft 365 SharePoint és az Azure Information Protection. Ha explicit megkötései vannak a felhasználó által kezdeményezett külső együttműködés szabályozására, javasoljuk, hogy engedélyezze a külső felhasználókat a Microsoft Entra Jogosultságkezelés vagy egy ellenőrzött művelet, például a segélyszolgálat segítségével. Ha nem szeretné engedélyezni a szolgáltatások organikus külső együttműködését, letilthatja , hogy a tagok teljesen meghívják a külső felhasználókat. Másik lehetőségként engedélyezheti vagy letilthatja az adott tartományokat külső felhasználói meghívókban.
  • Alkalmazásregisztrációk – ha Alkalmazásregisztrációk engedélyezve vannak, a végfelhasználók maguk is elővehetik az alkalmazásokat, és hozzáférést biztosíthatnak adataikhoz. Az alkalmazásregisztráció tipikus példája az Outlook beépülő modulokat vagy hangsegédeket, például Alexa és Siri, hogy elolvassák az e-mailjeiket és a naptárukat, vagy e-maileket küldjenek a nevükben. Ha az ügyfél úgy dönt, hogy kikapcsolja az alkalmazásregisztrációt, az InfoSec és az IAM csapatoknak részt kell venniük a kivételek kezelésében (az üzleti követelményeknek megfelelően szükséges alkalmazásregisztrációk), mivel az alkalmazásokat rendszergazdai fiókkal kell regisztrálniuk, és valószínűleg egy folyamat megtervezésére van szükség a folyamat üzembe helyezéséhez.
  • Rendszergazda istration Portal – a szervezetek zárolhatják a Microsoft Entra panelt az Azure Portalon, így a nem rendszergazdák nem férhetnek hozzá a Microsoft Entra felügyeletéhez az Azure Portalon, és összezavarodhatnak. A hozzáférés korlátozásához lépjen a Microsoft Entra felügyeleti portál felhasználói beállításaira:

Rendszergazda istration portál korlátozott hozzáférése

Feljegyzés

A nem rendszergazdák továbbra is hozzáférhetnek a Microsoft Entra felügyeleti felületéhez parancssori és más programozott felületeken keresztül.

Csoportbeállítások

Önkiszolgáló csoportkezelés / A felhasználók biztonsági csoportokat hozhatnak létre / Microsoft 365-csoportokat. Ha nincs aktuális önkiszolgáló kezdeményezés a felhőbeli csoportok számára, az ügyfelek dönthetnek úgy, hogy kikapcsolják, amíg nem állnak készen a funkció használatára.

Váratlan helyekről érkező forgalom

A támadók a világ különböző részeiről származnak. Ezt a kockázatot feltételes hozzáférési szabályzatok feltételként megadott helyével kezelheti. A feltételes hozzáférési szabályzat helyfeltétele lehetővé teszi a hozzáférés letiltását olyan helyeken, ahonnan nincs üzleti ok a bejelentkezésre.

Új névvel ellátott hely létrehozása

Ha elérhető, egy biztonsági információ- és eseménykezelési (SIEM) megoldással elemezheti és megkeresheti a régiók közötti hozzáférési mintákat. Ha nem használ SIEM-terméket, vagy nem a Microsoft Entra-azonosítóból származó hitelesítési adatokat használja, javasoljuk, hogy az Azure Monitor használatával azonosítsa a régiók közötti hozzáférési mintákat.

Hozzáférés a használathoz

A Microsoft Entra naplói archiválva és integrálva vannak incidenskezelési tervekkel

A Microsoft Entra ID bejelentkezési tevékenységéhez, auditjaihoz és kockázati eseményeihez való hozzáférés kulcsfontosságú a hibaelhárításhoz, a használatelemzéshez és a kriminalisztikai vizsgálatokhoz. A Microsoft Entra ID korlátozott megőrzési időtartamú REST API-kon keresztül biztosít hozzáférést ezekhez a forrásokhoz. A biztonsági információ- és eseménykezelési (SIEM) rendszer vagy azzal egyenértékű archiválási technológia kulcsfontosságú az auditok hosszú távú tárolásához és a támogatottsághoz. A Microsoft Entra-naplók hosszú távú tárolásának engedélyezéséhez fel kell vennie őket a meglévő SIEM-megoldásba, vagy az Azure Monitort kell használnia. Archiválási naplók, amelyek az incidensmegoldási tervek és a vizsgálatok részeként használhatók.

Összegzés

A biztonságos identitásinfrastruktúra 12 aspektusból áll. Ez a lista segít a hitelesítő adatok további védelmében és kezelésében, a hitelesítési élmény meghatározásában, a hozzárendelés delegálásában, a használat mérésében és a hozzáférési szabályzatok vállalati biztonsági helyzeten alapuló meghatározásában.

  • Tulajdonosok hozzárendelése a fő feladatokhoz.
  • Megoldásokat valósíthat meg a gyenge vagy kiszivárgott jelszavak észlelésére, a jelszókezelés és -védelem javítására, valamint az erőforrásokhoz való felhasználói hozzáférés további biztonságossá tételére.
  • Az eszközök identitásának kezelése az erőforrások bármikor és bármely helyről történő védelméhez.
  • Jelszó nélküli hitelesítés implementálása.
  • Szabványosított egyszeri bejelentkezési mechanizmus biztosítása a szervezeten belül.
  • Az alkalmazások áttelepítése az AD FS-ről a Microsoft Entra-azonosítóra a jobb biztonság és konzisztensebb kezelhetőség érdekében.
  • Felhasználók hozzárendelése alkalmazásokhoz csoportok használatával a nagyobb rugalmasság és a nagy léptékű kezelés lehetősége érdekében.
  • Kockázatalapú hozzáférési szabályzatok konfigurálása.
  • Az örökölt hitelesítési protokollok zárolása.
  • A tiltott hozzájárulási támogatások észlelése és elhárításuk.
  • Felhasználói és csoportbeállítások zárolása.
  • A Microsoft Entra-naplók hosszú távú tárolásának engedélyezése hibaelhárítási, használati elemzési és kriminalisztikai vizsgálatokhoz.

Következő lépések

Ismerkedés az identitásszabályozási operatív ellenőrzésekkel és műveletekkel.