A Microsoft Entra általános üzemeltetési útmutatója
A Microsoft Entra műveleti referenciaútmutatójának ez a szakasza ismerteti a Microsoft Entra ID általános műveleteinek optimalizálása érdekében végrehajtandó ellenőrzéseket és műveleteket.
Feljegyzés
Ezek a javaslatok a közzététel dátumától kezdve aktuálisak, de idővel változhatnak. A szervezeteknek folyamatosan értékelniük kell működési gyakorlataikat, ahogy a Microsoft termékei és szolgáltatásai idővel fejlődnek.
Főbb üzemeltetési folyamatok
Tulajdonosok hozzárendelése a fő feladatokhoz
A Microsoft Entra ID kezeléséhez szükség van a fő operatív feladatok és folyamatok folyamatos végrehajtására, amelyek nem feltétlenül részei a bevezetési projektnek. Továbbra is fontos, hogy ezeket a feladatokat a környezet optimalizálásához állítsa be. A legfontosabb feladatok és azok javasolt tulajdonosai a következők:
| Task | Tulajdonos |
|---|---|
| Az identitásbiztonsági pontszám fejlesztései | InfoSec Operations Team |
| Microsoft Entra Csatlakozás-kiszolgálók karbantartása | IAM Operations Team |
| IdFix-jelentések rendszeres végrehajtása és osztályozása | IAM Operations Team |
| Triage Microsoft Entra Csatlakozás Állapotriasztások szinkronizáláshoz és AD FS-hez | IAM Operations Team |
| Ha nem használja a Microsoft Entra Csatlakozás Health szolgáltatást, akkor az ügyfél egyenértékű folyamattal és eszközökkel rendelkezik az egyéni infrastruktúra monitorozásához | IAM Operations Team |
| Ha nem használja az AD FS-t, akkor az ügyfél egyenértékű folyamattal és eszközökkel rendelkezik az egyéni infrastruktúra monitorozásához | IAM Operations Team |
| Hibrid naplók monitorozása: Microsoft Entra privát hálózati összekötők | IAM Operations Team |
| Hibrid naplók monitorozása: Átengedő hitelesítési ügynökök | IAM Operations Team |
| Hibrid naplók figyelése: Jelszóvisszaíró szolgáltatás | IAM Operations Team |
| Hibrid naplók monitorozása: Helyszíni jelszóvédelmi átjáró | IAM Operations Team |
| Hibrid naplók monitorozása: Microsoft Entra többtényezős hitelesítési NPS-bővítmény (ha van) | IAM Operations Team |
A lista áttekintése során előfordulhat, hogy tulajdonost kell hozzárendelnie azokhoz a tevékenységekhez, amelyek nem rendelkezik tulajdonossal, vagy módosítania kell a tulajdonjogot olyan tevékenységekhez, amelyek nem összhangban vannak a fenti javaslatokkal.
A tulajdonosok ajánlott olvasmányai
Hibrid felügyelet
A helyszíni összetevők legújabb verziói
A helyszíni összetevők legújabb verzióinak használata biztosítja az ügyfél számára a legújabb biztonsági frissítéseket, teljesítménybeli fejlesztéseket és funkciókat, amelyek segíthetnek a környezet további leegyszerűsítésében. A legtöbb összetevő automatikus frissítési beállítással rendelkezik, amely automatizálja a frissítési folyamatot.
Ezek az összetevők a következők:
- Microsoft Entra Csatlakozás
- Microsoft Entra privát hálózati összekötők
- Microsoft Entra átmenő hitelesítési ügynökök
- Microsoft Entra Csatlakozás Health Agents
Ha nem lett létrehozva ilyen, meg kell határoznia egy folyamatot ezeknek az összetevőknek a frissítéséhez, és amikor csak lehetséges, az automatikus frissítési funkcióra kell támaszkodnia. Ha hat vagy több hónappal lemaradó összetevőket talál, a lehető leghamarabb frissítsen.
A hibrid felügyelet ajánlott olvasása
- Microsoft Entra Csatlakozás: Automatikus frissítés
- A Microsoft Entra magánhálózati összekötőinek ismertetése | Automatikus frissítések
Microsoft Entra Csatlakozás Állapotriasztás alapkonfigurációja
A szervezeteknek telepítenie kell a Microsoft Entra Csatlakozás Health szolgáltatást a Microsoft Entra Csatlakozás és az AD FS monitorozásához és jelentéséhez. A Microsoft Entra Csatlakozás és az AD FS kritikus fontosságú összetevők, amelyek megszakíthatják az életciklus felügyeletét és hitelesítését, és ezért kimaradásokhoz vezethetnek. A Microsoft Entra Csatlakozás Health segít a helyszíni identitásinfrastruktúra monitorozásában és elemzésében, így biztosítva a környezet megbízhatóságát.
A környezet állapotának monitorozása során azonnal foglalkoznia kell a magas súlyosságú riasztásokkal, majd az alacsonyabb súlyossági riasztásokkal.
A Microsoft Entra Csatlakozás Health ajánlott olvasása
Helyszíni ügynökök naplói
Egyes identitás- és hozzáférés-kezelési szolgáltatásokhoz helyszíni ügynökökre van szükség a hibrid forgatókönyvek engedélyezéséhez. Ilyen például a jelszó alaphelyzetbe állítása, az átmenő hitelesítés (PTA), a Microsoft Entra alkalmazásproxy és a Microsoft Entra többtényezős hitelesítés NPS-bővítménye. Kulcsfontosságú, hogy az operatív csapat alapkonfigurációt végez, és figyelje ezeknek az összetevőknek az állapotát az összetevő-ügynök naplóinak archiválásával és elemzésével olyan megoldásokkal, mint a System Center Operations Manager vagy az SIEM. Ugyanilyen fontos, hogy az Infosec operations csapata vagy ügyfélszolgálata megértse, hogyan háríthatja el a hibák mintáit.
A helyszíni ügynökök naplóinak ajánlott olvasása
- Alkalmazásproxy hibaelhárítása
- Önkiszolgáló jelszó-visszaállítás hibaelhárítása
- A Microsoft Entra magánhálózati összekötőinek ismertetése
- Microsoft Entra Csatlakozás: Átmenő hitelesítés hibaelhárítása
- A Microsoft Entra többtényezős hitelesítési NPS-bővítmény hibakódjainak hibaelhárítása
Helyszíni ügynökök kezelése
Az ajánlott eljárások bevezetése segíthet a helyszíni ügynökök optimális működésében. Vegye figyelembe az alábbi ajánlott eljárásokat:
- Összekötőcsoportonként több Microsoft Entra magánhálózati összekötő használata javasolt a zökkenőmentes terheléselosztás és a magas rendelkezésre állás érdekében, mivel a proxyalkalmazások elérésekor elkerülheti az egy meghibásodási pontot. Ha jelenleg csak egy összekötő van egy olyan összekötőcsoportban, amely éles környezetben kezeli az alkalmazásokat, legalább két összekötőt kell üzembe helyeznie a redundancia érdekében.
- A magánhálózati összekötők csoport létrehozása és használata hibakeresési célokra hasznos lehet hibaelhárítási forgatókönyvek esetén és új helyszíni alkalmazások előkészítésekor. Azt is javasoljuk, hogy telepítsen olyan hálózati eszközöket, mint a Message Analyzer és a Fiddler az összekötő gépeken.
- Több átmenő hitelesítési ügynök használata ajánlott, hogy zökkenőmentes terheléselosztást és magas rendelkezésre állást biztosítson azáltal, hogy elkerüli a hitelesítési folyamat során előforduló egyetlen meghibásodási pontot. Győződjön meg arról, hogy legalább két átmenő hitelesítési ügynököt helyez üzembe a redundancia érdekében.
Helyszíni ügynökök kezelése ajánlott olvasás
- A Microsoft Entra magánhálózati összekötőinek ismertetése
- Microsoft Entra átmenő hitelesítés – rövid útmutató
Nagy léptékű felügyelet
Identitásbiztonság pontszám
Az identitásbiztonsági pontszám számszerűsíthető mértéke a szervezet biztonsági helyzetének. Kulcsfontosságú, hogy folyamatosan áttekintsük és kezeljük a jelentett eredményeket, és törekedjünk arra, hogy a lehető legmagasabb pontszámot kapjuk. A pontszám az alábbiakban nyújt segítséget:
- Az identitásbiztonsági rendszer objektív felmérése
- Identitásbiztonsági fejlesztések tervezése
- A fejlesztések hatásának felmérése
Ha a szervezet jelenleg nem rendelkezik olyan programmal, amely figyeli az Identitásbiztonsági pontszám változásait, javasoljuk, hogy implementáljon egy tervet, és rendeljen tulajdonosokat a fejlesztési műveletek figyeléséhez és megvalósításához. A szervezeteknek a lehető leghamarabb javítaniuk kell a 30-nál nagyobb pontszámmal járó javítási műveleteket.
Notifications
A Microsoft e-mailben értesíti a rendszergazdákat a szolgáltatás különböző változásairól, a szükséges konfigurációs frissítésekről és a rendszergazdai beavatkozást igénylő hibákról. Fontos, hogy az ügyfelek beállíthassák az értesítési e-mail-címeket, hogy az értesítéseket a megfelelő csapattagoknak küldjék el, akik minden értesítést nyugtázhatnak és eljárhatnak. Javasoljuk, hogy adjon hozzá több címzettet az Üzenetközponthoz, és kérje meg, hogy az értesítéseket (beleértve a Microsoft Entra Csatlakozás Health-értesítéseket) küldje el egy terjesztési listára vagy megosztott postaládába. Ha csak egy globális Rendszergazda istrator-fiókkal rendelkezik e-mail-címmel, mindenképpen konfiguráljon legalább két e-mail-kompatibilis fiókot.
A Microsoft Entra ID két "Feladó" címet használ: o365mc@email2.microsoft.comaz Üzenetközpont értesítéseit küldi, és azure-noreply@microsoft.coma következőhöz kapcsolódó értesítéseket küld:
- A Microsoft Entra hozzáférési véleményei
- Microsoft Entra Csatlakozás Health
- Microsoft Entra ID-védelem
- Microsoft Entra Privileged Identity Management
- Vállalati alkalmazás lejáró tanúsítványértesítései
- Vállalati alkalmazáskiépítési szolgáltatás értesítései
Az alábbi táblázatban megismerheti az elküldött értesítések típusát és azok keresésének helyét:
| Értesítés forrása | Az elküldött üzenetek | Hol érdemes ellenőrizni? |
|---|---|---|
| Elérhetőség – technikai | Szinkronizálási hibák | Azure Portal – Tulajdonságok panel |
| Üzenetközpont | Az Identity Services és a Microsoft 365 háttérszolgáltatások incidens- és degradálási értesítései | Office Portal |
| Identity Protection Heti kivonat | Identity Protection Digest | Microsoft Entra ID-védelem panel |
| Microsoft Entra Csatlakozás Health | Riasztási értesítések | Azure Portal – Microsoft Entra Csatlakozás Health panel |
| Vállalati alkalmazások értesítései | Értesítések a tanúsítványok lejáratáról és a kiépítési hibákról | Azure Portal – Nagyvállalati alkalmazás panel (mindegyik alkalmazás saját e-mail-címbeállítással rendelkezik) |
Ajánlott értesítések olvasása
Működési terület
AD FS-zárolás
Azok a szervezetek, amelyek alkalmazásokat konfigurálnak közvetlenül a Microsoft Entra ID-ra való hitelesítésre, a Microsoft Entra intelligens zárolásának előnyeit élvezhetik. Ha AD FS-t használ a Windows Server 2012 R2-ben, implementálja az AD FS extranetes zárolás elleni védelmét. Ha AD FS-t használ Windows Server 2016 vagy újabb rendszeren, implementáljon extranetes intelligens zárolást. Legalább azt javasoljuk, hogy engedélyezze az extranetes zárolást, hogy tartalmazza a helyi Active Directory elleni találgatásos támadások kockázatát. Ha azonban a Windows 2016-ban vagy annál magasabb verziójú AD FS-sel rendelkezik, engedélyeznie kell az intelligens extranetes zárolást is, amely segít csökkenteni a jelszópermet-támadásokat .
Ha az AD FS-t csak a Microsoft Entra-összevonáshoz használják, vannak olyan végpontok, amelyek kikapcsolhatók a támadási felület minimalizálása érdekében. Ha például az AD FS-t csak a Microsoft Entra-azonosítóhoz használják, tiltsa le a WS-Trust végpontokat a felhasználónév ésa windowstransport esetében engedélyezett végpontok kivételével.
Hozzáférés a helyszíni identitásösszetevőkkel rendelkező gépekhez
A szervezeteknek a helyszíni hibrid összetevőkkel rendelkező gépekhez való hozzáférést ugyanúgy kell zárolni, mint a helyszíni tartományt. Egy biztonsági mentési operátornak vagy a Hyper-V-rendszergazdának például nem kell tudnia bejelentkezni a Microsoft Entra Csatlakozás-kiszolgálóra a szabályok módosításához.
Az Active Directory felügyeleti réteg modellje úgy lett kialakítva, hogy a környezet teljes felügyelete (0. szint) és a gyakran feltört magas kockázatú munkaállomás-objektumok között pufferzónák készletével védje meg az identitásrendszereket.
A rétegmodell három szintből áll, és csak rendszergazdai fiókokat tartalmaz, a standard felhasználói fiókokat nem.
- 0. réteg – A vállalati identitások közvetlen ellenőrzése a környezetben. A 0. réteg olyan fiókokat, csoportokat és más elemeket tartalmaz, amelyek közvetlen vagy közvetett ellenőrzéssel rendelkeznek az Active Directory-erdő, -tartomány vagy -tartományvezérlő, valamint a bennük található valamennyi erőforrás felett. A 0. rétegbeli eszközök biztonsági érzékenysége egyenértékű, mivel hatékonyan irányítják egymást.
- 1. réteg – A vállalati kiszolgálók és alkalmazások ellenőrzése. Az 1. réteg erőforrásai közé a kiszolgálói operációs rendszerek, a felhőszolgáltatások és a vállalati alkalmazások tartoznak. Az 1. rétegbeli rendszergazdai fiókok az ezeken az erőforrásokon található jelentős mennyiségű üzleti érték felett gyakorolnak ellenőrzést. Általános példaként említhetjük erre a kiszolgálói rendszergazdák szerepkörét, akik ezeket az operációs rendszereket karbantartják, és az összes vállalati szolgáltatásra hatással lehetnek.
- 2. réteg – A felhasználói munkaállomások és eszközök ellenőrzése. A 2. rétegbeli rendszergazdai fiókok a munkaállomásokon és eszközökön található jelentős mennyiségű üzleti érték felett gyakorolnak ellenőrzést. Példaként említhetők erre az ügyfélszolgálati és számítógép-támogatási rendszergazdák, hiszen ők szinte bármilyen felhasználói adat épségére hatással lehetnek.
A helyszíni identitásösszetevők, például a Microsoft Entra Csatlakozás, az AD FS és az SQL-szolgáltatások hozzáférésének zárolása ugyanúgy, mint a tartományvezérlők esetében.
Összegzés
A biztonságos identitásinfrastruktúra hét aspektusból áll. Ez a lista segít megtalálni azokat a műveleteket, amelyeket a Microsoft Entra-azonosító műveleteinek optimalizálása érdekében el kell végeznie.
- Tulajdonosok hozzárendelése a fő feladatokhoz.
- Automatizálja a helyszíni hibrid összetevők frissítési folyamatát.
- A Microsoft Entra Csatlakozás Health üzembe helyezése a Microsoft Entra Csatlakozás és az AD FS monitorozásához és jelentéséhez.
- A helyszíni hibrid összetevők állapotának monitorozása az összetevő-ügynök naplóinak archiválásával és elemzésével a System Center Operations Manager vagy egy SIEM-megoldás használatával.
- A biztonsági fejlesztések megvalósítása a biztonsági helyzet identitásbiztonsági pontszámmal való mérésével.
- Az AD FS zárolása.
- A helyszíni identitásösszetevőkkel rendelkező gépek hozzáférésének zárolása.
Következő lépések
Tekintse meg a Microsoft Entra üzembe helyezési terveit az üzembe nem helyezett képességek implementálásának részleteiért.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: