Tworzenie punktu odniesienia zarządzania tożsamościami i dostępem

  • 5 min

Zarządzanie tożsamościami i dostępem (IAM) jest kluczem do udzielania dostępu i ulepszania zabezpieczeń zasobów firmowych. Aby zabezpieczać i kontrolować zasoby oparte na chmurze, należy zarządzać tożsamościami i dostępem dla administratorów platformy Azure, deweloperów aplikacji i użytkowników aplikacji.

Zalecenia dotyczące zabezpieczeń IAM

W poniższych sekcjach opisano zalecenia dotyczące IAM, które znajdują się w ciS Microsoft Azure Foundations Security Benchmark v. 1.3.0. W przypadku każdej rekomendacji przedstawiono podstawowe kroki, które należy wykonać w witrynie Azure Portal. Należy wykonać te kroki dla własnej subskrypcji i przy użyciu własnych zasobów, aby zweryfikować każde zalecenie dotyczące zabezpieczeń. Należy pamiętać, że opcje poziomu 2 mogą ograniczać niektóre funkcje lub działania, dlatego należy dokładnie rozważyć opcje zabezpieczeń, które zdecydujesz się wymusić.

Ważne

Aby wykonać niektóre z tych kroków, musisz być administratorem wystąpienia firmy Microsoft Entra.

Ograniczanie dostępu do portalu administracyjnego firmy Microsoft Entra — poziom 1

Użytkownicy, którzy nie są administratorami, nie powinni mieć dostępu do portalu administracyjnego firmy Microsoft Entra, ponieważ dane są poufne i zgodnie z zasadami najniższych uprawnień.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W obszarze Ustawienia użytkownika w obszarze portal Administracja istration upewnij się, że ustawienie Ogranicz dostęp do portalu administracyjnego firmy Microsoft Entra ma wartość Tak. Ustawienie tej wartości na Wartość Tak uniemożliwia wszystkim administratorom uzyskiwanie dostępu do wszystkich danych w portalu administracyjnym firmy Microsoft Entra. To ustawienie nie ogranicza dostępu do programu PowerShell ani innego klienta, takiego jak Visual Studio.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Włączanie uwierzytelniania wieloskładnikowego dla użytkowników firmy Microsoft Entra

  • Włączanie uwierzytelniania wieloskładnikowego dla użytkowników uprzywilejowanych identyfikatorów entra firmy Microsoft — poziom 1
  • Włączanie uwierzytelniania wieloskładnikowego dla użytkowników nieuprzywilejowanych przez firmę Microsoft — poziom 2

Włącz uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników firmy Microsoft Entra.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Na pasku menu Wszyscy użytkownicy wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników.

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. W oknie uwierzytelniania wieloskładnikowego upewnij się, że ustawienie Stan uwierzytelniania wieloskładnikowego ma wartość Włączone dla wszystkich użytkowników. Aby włączyć uwierzytelnianie wieloskładnikowe, wybierz użytkownika. W obszarze Szybkich kroków wybierz pozycję Włącz>włączanie uwierzytelniania wieloskładnikowego.

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

Nie pamiętaj uwierzytelniania wieloskładnikowego na zaufanych urządzeniach — poziom 2

Pamiętanie funkcji uwierzytelniania wieloskładnikowego dla urządzeń i przeglądarek, które są zaufane przez użytkownika, jest bezpłatną funkcją dla wszystkich użytkowników uwierzytelniania wieloskładnikowego. Użytkownicy mogą pominąć kolejne weryfikacje przez określoną liczbę dni po pomyślnym zalogowaniu się do urządzenia przy użyciu uwierzytelniania wieloskładnikowego.

W przypadku naruszenia zabezpieczeń konta lub urządzenia pamiętaj, że uwierzytelnianie wieloskładnikowe dla zaufanych urządzeń może negatywnie wpłynąć na bezpieczeństwo. Zaleceniem zabezpieczeń jest wyłączenie zapamiętania uwierzytelniania wieloskładnikowego dla zaufanych urządzeń.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Na pasku menu Wszyscy użytkownicy wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników.

  4. W oknie uwierzytelniania wieloskładnikowego wybierz użytkownika. W obszarze Szybkich kroków wybierz pozycję Zarządzaj ustawieniami użytkownika.

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. Zaznacz pole wyboru Przywróć uwierzytelnianie wieloskładnikowe na wszystkich zapamiętanych urządzeniach, a następnie wybierz pozycję Zapisz.

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

Brak lub ograniczony dostęp użytkowników-gości — poziom 1

Upewnij się, że żaden użytkownik-gość nie istnieje lub alternatywnie, jeśli firma wymaga użytkowników-gości, upewnij się, że uprawnienia gościa są ograniczone.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Wybierz przycisk Dodaj filtry.

  4. W obszarze Filtry wybierz pozycję Typ użytkownika. W polu Wartość wybierz pozycję Gość. Wybierz pozycję Zastosuj , aby sprawdzić, czy żaden użytkownik-gość nie istnieje.

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Opcje hasła

  • Powiadamianie użytkowników o resetowaniu hasła — poziom 1
  • Powiadamianie wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło — poziom 2
  • Wymaganie dwóch metod resetowania haseł — poziom 1

W przypadku zestawu uwierzytelniania wieloskładnikowego osoba atakująca musiałaby naruszyć bezpieczeństwo obu formularzy uwierzytelniania tożsamości, zanim złośliwie zresetuje hasło użytkownika. Upewnij się, że resetowanie hasła wymaga dwóch form uwierzytelniania tożsamości.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Resetowanie hasła.

  4. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Metody uwierzytelniania.

  5. Ustaw pozycję Liczba metod wymaganych do zresetowania na wartość 2.

  6. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

Ustanawianie interwału ponownego potwierdzania metod uwierzytelniania użytkowników — poziom 1

Jeśli ponowne potwierdzenie uwierzytelniania jest wyłączone, zarejestrowani użytkownicy nie będą monitowani o ponowne potwierdzenie informacji uwierzytelniania. Bezpieczniejszą opcją jest włączenie ponownego potwierdzenia uwierzytelniania dla ustawionego interwału.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W okienku menu po lewej stronie wybierz pozycję Resetowanie hasła.

  4. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Rejestracja.

  5. Upewnij się, że pozycja Liczba dni, po których użytkownicy zostaną poproszeni o ponowne potwierdzenie, że ich informacje uwierzytelniania nieustawione na 0. Wartość domyślna to 180 dni.

  6. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

Ustawienie zaproszenia gościa — poziom 2

Tylko administratorzy powinni mieć możliwość zapraszania użytkowników-gości. Ograniczenie zaproszeń do administratorów gwarantuje, że tylko autoryzowane konta mają dostęp do zasobów platformy Azure.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W okienku Ustawienia użytkownika w obszarze Użytkownicy zewnętrzni wybierz pozycję Zarządzaj ustawieniami współpracy zewnętrznej.

  5. W obszarze Ustawienia współpracy zewnętrznej w obszarze Ustawienia zaproszenia gościa wybierz pozycję Tylko użytkownicy przypisani do określonych ról administracyjnych mogą zapraszać użytkowników-gości.

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Użytkownicy mogą tworzyć grupy zabezpieczeń i zarządzać nimi — poziom 2

Po włączeniu tej funkcji wszyscy użytkownicy w usłudze Microsoft Entra ID mogą tworzyć nowe grupy zabezpieczeń. Tworzenie grupy zabezpieczeń powinno być ograniczone do administratorów.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Grupy.

  3. W okienku Wszystkie grupy w menu po lewej stronie w obszarze Ustawienia wybierz pozycję Ogólne.

  4. W przypadku grup zabezpieczeń upewnij się, że użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portals, interfejsie API lub programie PowerShell ma wartość Nie.

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Włączone samoobsługowe zarządzanie grupami — poziom 2

Jeśli firma nie wymaga delegowania samoobsługowego zarządzania grupami do różnych użytkowników, zaleca się wyłączenie tej funkcji.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Grupy.

  3. W okienku Wszystkie grupy w menu po lewej stronie w obszarze Ustawienia wybierz pozycję Ogólne.

  4. W obszarze Samoobsługowe zarządzanie grupami upewnij się, że wszystkie opcje są ustawione na Nie.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Screenshot that shows Microsoft Entra self-service group options set to No.

Opcje aplikacji — zezwalanie użytkownikom na rejestrowanie aplikacji — poziom 2

Wymagaj od administratorów rejestrowania aplikacji niestandardowych.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz pozycję Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W okienku Ustawienia użytkownika upewnij się, że Rejestracje aplikacji jest ustawiona na Nie.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Screenshot that shows Microsoft Entra users with app registrations set to No.