Vad är standardinställningar för säkerhet?

  • Artikel
  • 7 minuter för att läsa

Det kan vara svårt att hantera säkerheten eftersom vanliga identitetsrelaterade attacker som lösenordsattacker, återuppspelning och nätfiske blir allt populärare. Standardinställningarna för säkerhet gör det enklare att skydda din organisation från dessa attacker med förkonfigurerade säkerhetsinställningar:

  • Kräva att alla användare registrerar sig för Azure AD Multi-Factor Authentication.
  • Kräva att administratörer gör multifaktorautentisering.
  • Blockera äldre autentiseringsprotokoll.
  • Kräva att användarna gör multifaktorautentisering vid behov.
  • Skydda privilegierade aktiviteter som åtkomst till Azure Portal.

Skärmbild av Azure Portal med växlingsknappen för att aktivera standardinställningar för säkerhet

Mer information om varför standardinställningar för säkerhet görs tillgängliga finns i Alex Weinerts blogginlägg, Introducing security defaults.

Tillgänglighet

Microsoft gör standardvärdena för säkerhet tillgängliga för alla. Målet är att säkerställa att alla organisationer har en grundläggande säkerhetsnivå aktiverad utan extra kostnad. Du aktiverar standardvärden för säkerhet i Azure Portal. Om din klientorganisation skapades den 22 oktober 2019 eller senare kan standardinställningarna för säkerhet vara aktiverade i din klientorganisation. För att skydda alla våra användare distribueras standardvärden för säkerhet till nya klienter när de skapas.

Vem är det för?

  • Om du är en organisation som vill öka din säkerhetsstatus men inte vet hur eller var du ska börja är standardvärdena för säkerhet något för dig.
  • Om du är en organisation som använder den kostnadsfria nivån av Azure Active Directory licensiering är standardvärdena för säkerhet för dig.

Vem du använda villkorlig åtkomst?

  • Om du är en organisation som för närvarande använder principer för villkorsstyrd åtkomst för att samla signaler, fatta beslut och genomdriva organisationsprinciper är säkerhetsstandarder förmodligen inte rätt för dig.
  • Om du är en organisation med Azure Active Directory Premium licenser är standardinställningarna för säkerhet förmodligen inte rätt för dig.
  • Om din organisation har komplexa säkerhetskrav bör du överväga villkorlig åtkomst.

Framtvingade principer

Registrering av enhetlig multifaktorautentisering

Alla användare i din klientorganisation måste registrera sig för multifaktorautentisering (MFA) i form av Azure AD Multi-Factor Authentication. Användarna har 14 dagar på sig att registrera sig för Azure AD Multi-Factor Authentication med Microsoft Authenticator appen. När de 14 dagarna har passerat kan användaren inte logga in förrän registreringen har slutförts. En användares 14-dagars period börjar efter den första interaktiva inloggningen efter aktivering av standardvärden för säkerhet.

Skydda administratörer

Användare med privilegierad åtkomst har ökad åtkomst till din miljö. På grund av den kraft som dessa konton har bör du behandla dem med särskild försiktighet. En vanlig metod för att förbättra skyddet av privilegierade konton är att kräva en starkare form av kontoverifiering för inloggning. I Azure AD kan du få en starkare kontoverifiering genom att kräva multifaktorautentisering.

När registreringen med Azure AD Multi-Factor Authentication är klar måste följande Azure AD-administratörsroller göra extra autentisering varje gång de loggar in:

  • Global administratör
  • Programadministratör
  • Autentiseringsadministratör
  • Faktureringsadministratör
  • Molnprogramadministratör
  • Administratör för villkorsstyrd åtkomst
  • Exchange-administratör
  • Supportadministratör
  • Lösenordsadministratör
  • Privilegierad autentiseringsadministratör
  • Säkerhetsadministratör
  • SharePoint-administratör
  • Användaradministratör

Varning

Se till att din katalog har minst två konton med tilldelade behörigheter som global administratör. Detta hjälper om en global administratör är utelåst. Mer information finns i artikeln Hantera konton för åtkomst vid akutfall i Azure AD.

Skydda alla användare

Vi tenderar att tro att administratörskonton är de enda konton som behöver extra lager av autentisering. Administratörer har bred åtkomst till känslig information och kan göra ändringar i inställningarna för hela prenumerationen. Angripare riktar sig dock ofta mot slutanvändare.

När angriparen har fått åtkomst kan de begära åtkomst till privilegierad information för den ursprungliga kontoinnehavaren. De kan till och med ladda ned hela katalogen för att göra en nätfiskeattack mot hela organisationen.

En vanlig metod för att förbättra skyddet för alla användare är att kräva en starkare form av kontoverifiering, till exempel Multi-Factor Authentication, för alla. När användarna har slutfört multifaktorautentiseringsregistreringen uppmanas de att ange en annan autentisering när det behövs. Användarna uppmanas främst när de autentiseras med en ny enhet eller ett nytt program, eller när de utför kritiska roller och uppgifter. Den här funktionen skyddar alla program som är registrerade i Azure AD, inklusive SaaS-program.

Blockera äldre autentisering

Azure AD stöder olika autentiseringsprotokoll, inklusive äldre autentisering, för att ge användarna enkel åtkomst till dina molnappar. Äldre autentisering är en term som refererar till en autentiseringsbegäran som görs av:

  • Klienter som inte använder modern autentisering (till exempel en Office 2010-klient).
  • Alla klienter som använder äldre e-postprotokoll som IMAP, SMTP eller POP3.

Idag kommer de flesta kvarvarande inloggningsförsök från äldre autentisering. Äldre autentisering stöder inte Multi-Factor Authentication. Även om du har en multifaktorautentiseringsprincip aktiverad i din katalog kan en angripare autentisera med hjälp av ett äldre protokoll och kringgå Multi-Factor Authentication.

När standardvärdena för säkerhet har aktiverats i klientorganisationen blockeras alla autentiseringsförfrågningar som görs av ett äldre protokoll. Standardvärden för säkerhet blockerar Exchange Active Sync grundläggande autentisering.

Varning

Innan du aktiverar standardinställningar för säkerhet bör du se till att dina administratörer inte använder äldre autentiseringsprotokoll. Mer information finns i Så här flyttar du från äldre autentisering.

Skydda privilegierade åtgärder

Organisationer använder olika Azure-tjänster som hanteras via Azure Resource Manager API, inklusive:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Att Azure Resource Manager hantera dina tjänster är en mycket privilegierad åtgärd. Azure Resource Manager kan ändra konfigurationer för hela klientorganisationen, till exempel tjänstinställningar och prenumerationsfakturering. Enfaktorautentisering är sårbar för olika attacker som nätfiske och lösenordsattacker.

Det är viktigt att verifiera identiteten för användare som vill komma åt Azure Resource Manager och uppdatera konfigurationer. Du verifierar deras identitet genom att kräva mer autentisering innan du tillåter åtkomst.

När du aktiverar standardinställningar för säkerhet i din klientorganisation måste alla användare som har åtkomst till Azure Portal, Azure PowerShell eller Azure CLI slutföra fler autentiseringar. Den här principen gäller för alla användare som har Azure Resource Manager åtkomst, oavsett om de är administratör eller användare.

Anteckning

Före 2017 Exchange Online-klientorganisationen modern autentisering inaktiverad som standard. För att undvika risken för en inloggningsloop vid autentisering via dessa klienter måste du aktivera modern autentisering.

Anteckning

Azure AD Anslut synkroniseringskontot undantas från standardinställningarna för säkerhet och uppmanas inte att registrera sig för eller utföra multifaktorautentisering. Organisationer bör inte använda det här kontot för andra ändamål.

Distributionsöverväganden

Följande extra överväganden gäller distribution av standardinställningar för säkerhet.

Autentiseringsmetoder

Dessa standardinställningar för kostnadsfri säkerhet tillåter registrering och användning av Azure AD Multi-Factor Authentication med hjälp av endast Microsoft Authenticator-appen med hjälp av meddelanden. Villkorlig åtkomst tillåter att alla autentiseringsmetoder som administratören väljer att aktivera används.

Metod Standardinställningar för säkerhet Villkorlig åtkomst
Meddelande via mobilapp X X
Verifieringskod från mobilapp eller maskinvarutoken X** X
SMS till telefon X
Ring till telefon X
Applösenord X***
  • ** Användare kan använda verifieringskoder från Microsoft Authenticator appen men kan bara registrera sig med aviseringsalternativet.
  • Applösenord är endast tillgängliga i MFA per användare med äldre autentiseringsscenarier endast om de har aktiverats av administratörer.

Varning

Inaktivera inte metoder för din organisation om du använder standardvärden för säkerhet. Om du inaktiverar metoder kan du låsa ute dig själv från din klientorganisation. Lämna alla metoder tillgängliga för användare aktiverade i MFA-tjänstinställningsportalen.

Inaktiverad MFA-status

Om din organisation är en tidigare användare av per användare-baserad Azure AD Multi-Factor Authentication ska du inte bli orolig över att inte se användare med statusen Aktiverad eller Framtvingad om du tittar på statussidan för Multi-Factor Auth. Inaktiverad är lämplig status för användare som använder standardinställningar för säkerhet eller villkorsstyrd åtkomst baserat på Azure AD Multi-Factor Authentication.

Villkorlig åtkomst

Du kan använda villkorsstyrd åtkomst för att konfigurera principer som liknar standardvärden för säkerhet, men med mer kornighet, inklusive användar exkludering, som inte är tillgängliga i standardinställningarna för säkerhet. Om du använder villkorsstyrd åtkomst och har principer för villkorsstyrd åtkomst aktiverade i din miljö är standardvärdena för säkerhet inte tillgängliga för dig. Om du har en licens som tillhandahåller villkorsstyrd åtkomst men inte har några principer för villkorlig åtkomst aktiverade i din miljö, är du välkommen att använda standardinställningar för säkerhet tills du aktiverar principer för villkorlig åtkomst. Mer information om Azure AD-licensiering finns på prissättningssidan för Azure AD.

Varningsmeddelande om att du kan ha standardinställningar för säkerhet eller villkorlig åtkomst, inte båda

Här är stegvisa guider om hur du kan använda villkorlig åtkomst för att konfigurera en uppsättning principer, som utgör en bra utgångspunkt för att skydda dina identiteter:

Aktivera standardinställningar för säkerhet

Så här aktiverar du standardinställningar för säkerhet i din katalog:

  1. Logga in på Azure Portal   som säkerhetsadministratör, administratör för villkorlig åtkomst eller global administratör.
  2. Bläddra till Azure Active Directory   >  Egenskaper.
  3. Välj Hantera standardinställningar för säkerhet.
  4. Ställ in Aktivera standardinställningar för säkerhetJa.
  5. Välj Spara.

Inaktivera standardinställningar för säkerhet

Organisationer som väljer att implementera principer för villkorsstyrd åtkomst som ersätter standardinställningar för säkerhet måste inaktivera standardvärden för säkerhet.

Varningsmeddelande om att inaktivera standardinställningar för säkerhet för att aktivera villkorlig åtkomst

Så här inaktiverar du standardinställningar för säkerhet i din katalog:

  1. Logga in på Azure Portal   som säkerhetsadministratör, administratör för villkorlig åtkomst eller global administratör.
  2. Bläddra till Azure Active Directory   >  Egenskaper.
  3. Välj Hantera standardinställningar för säkerhet.
  4. Ställ in Aktivera standardinställningar för säkerhetNej.
  5. Välj Spara.

Nästa steg

Vanliga principer för villkorsstyrd åtkomst