Azure Identitetshantering och åtkomstkontroll säkerhetsmetoderAzure Identity Management and access control security best practices

I den här artikeln diskuterar vi en samling Azure identity management och säkerhetsmetoder för access control.In this article, we discuss a collection of Azure identity management and access control security best practices. Dessa metodtips härleds från vår erfarenhet av Azure AD och erfarenheter från kunder som dig själv.These best practices are derived from our experience with Azure AD and the experiences of customers like yourself.

För varje rekommenderar förklarar vi:For each best practice, we explain:

  • Vad den bästa metoden ärWhat the best practice is
  • Varför du vill aktivera den bästa praxisWhy you want to enable that best practice
  • Vad kan vara resultatet om du inte aktivera den bästa metodenWhat might be the result if you fail to enable the best practice
  • Möjliga alternativ till den bästa praxisPossible alternatives to the best practice
  • Hur du kan lära dig att aktivera ett metodtipsHow you can learn to enable the best practice

Den här Azure identity management och säkerhet för åtkomstkontroll artikel om bästa praxis baseras på en konsensus åsikter och funktioner för Azure-plattformen och funktioner, som de finns när den här artikeln skrevs.This Azure identity management and access control security best practices article is based on a consensus opinion and Azure platform capabilities and feature sets, as they exist at the time this article was written. Andras åsikter och tekniker som ändras med tiden och den här artikeln kommer att uppdateras regelbundet att återspegla dessa ändringar.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Azure identitet och kontroll säkerhetsmetoder beskrivs i den här artikeln är:Azure identity management and access control security best practices discussed in this article include:

  • Hantera identitet som primär säkerhetsperimeterTreat identity as the primary security perimeter
  • Centralisera IdentitetshanteringCentralize identity management
  • Hantera anslutna klienterManage connected tenants
  • Aktivera enkel inloggningEnable single sign-on
  • Aktivera villkorlig åtkomstTurn on Conditional Access
  • Aktivera lösenordshanteringEnable password management
  • Framtvinga multifaktorverifiering för användareEnforce multi-factor verification for users
  • Använd rollbaserad åtkomstkontrollUse role-based access control
  • Lägre exponering av Privilegierade kontonLower exposure of privileged accounts
  • Kontrollera platser där resurser finnsControl locations where resources are located
  • Använd Azure AD för autentisering för lagringUse Azure AD for storage authentication

Hantera identitet som primär säkerhetsperimeterTreat identity as the primary security perimeter

Många Överväg identitet för att vara primär perimeternätverket för säkerhet.Many consider identity to be the primary perimeter for security. Det här är en förändring jämfört med traditionella fokus på nätverkssäkerhet.This is a shift from the traditional focus on network security. Nätverket perimetrar fortsätta att få mer porös och den perimeterskydd får inte vara så effektiv innan alltfler BYOD enheter och molnprogram.Network perimeters keep getting more porous, and that perimeter defense can’t be as effective as it was before the explosion of BYOD devices and cloud applications.

Azure Active Directory (Azure AD) är Azure-lösning för identitets- och åtkomsthantering.Azure Active Directory (Azure AD) is the Azure solution for identity and access management. Azure AD är en multitenant, molnbaserade företagskatalogen och identitetshanteringen management-tjänst från Microsoft.Azure AD is a multitenant, cloud-based directory and identity management service from Microsoft. Den kombinerar viktiga katalogtjänster, åtkomsthantering för program och identitetsskydd i en enda lösning.It combines core directory services, application access management, and identity protection into a single solution.

I följande avsnitt listas Metodtips för identitets- och säkerhet med hjälp av Azure AD.The following sections list best practices for identity and access security using Azure AD.

Centralisera IdentitetshanteringCentralize identity management

I en hybrididentitet scenario rekommenderar vi att du integrera dina lokala och molnbaserade kataloger.In a hybrid identity scenario we recommend that you integrate your on-premises and cloud directories. Integrering gör det möjligt för IT-teamet och hantera konton från en plats, oavsett var ett konto har skapats.Integration enables your IT team to manage accounts from one location, regardless of where an account is created. Integrering hjälper även användarna att bli mer produktiva genom att tillhandahålla en gemensam identitet för åtkomst till både i molnet och lokala resurser.Integration also helps your users be more productive by providing a common identity for accessing both cloud and on-premises resources.

Bästa praxis: Upprätta en enda Azure AD-instans.Best practice: Establish a single Azure AD instance. Konsekvens och en enda auktoritativa källor ökar tydlighet och minska säkerhetsrisker från mänskliga misstag och konfiguration av komplexitet.Consistency and a single authoritative sources will increase clarity and reduce security risks from human errors and configuration complexity. Information om: Ange en enda Azure AD directory som auktoritativ källa för företagets och organisatoriska konton.Detail: Designate a single Azure AD directory as the authoritative source for corporate and organizational accounts.

Bästa praxis: Integrera dina lokala kataloger med Azure AD.Best practice: Integrate your on-premises directories with Azure AD.
Information om: Använd Azure AD Connect att synkronisera din lokala katalog med din molnkatalog.Detail: Use Azure AD Connect to synchronize your on-premises directory with your cloud directory.

Anteckning

Det finns faktorer som påverkar prestanda för Azure AD Connect.There are factors that affect the performance of Azure AD Connect. Kontrollera Azure AD Connect har tillräckligt med kapacitet för att hålla presterar som förväntat system från hindra säkerhet och produktivitet.Ensure Azure AD Connect has enough capacity to keep underperforming systems from impeding security and productivity. Stora och komplexa organisationer (organisationer etablering mer än 100 000 objekt) bör följa den rekommendationer att optimera sina Azure AD Connect-implementering.Large or complex organizations (organizations provisioning more than 100,000 objects) should follow the recommendations to optimize their Azure AD Connect implementation.

Bästa praxis: Synkronisera inte konton till Azure AD som har höga privilegier i din befintliga Active Directory-instans.Best practice: Don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory instance. Information om: Ändra inte standardvärdet Azure AD Connect-konfigurationen som filtrerar ut dessa konton.Detail: Don’t change the default Azure AD Connect configuration that filters out these accounts. Den här konfigurationen minskar risken med att angripare pivotering från molnet till lokala resurser (vilket kan skapa en större incident).This configuration mitigates the risk of adversaries pivoting from cloud to on-premises assets (which could create a major incident).

Bästa praxis: Aktivera synkronisering av lösenordshash.Best practice: Turn on password hash synchronization.
Information om: Synkronisering av lösenordshash är en funktion som används för att synkronisera användare lösenords-hash från en lokal Active Directory-instans till en molnbaserad Azure AD-instans.Detail: Password hash synchronization is a feature used to synch user password hashes from an on-premises Active Directory instance to a cloud-based Azure AD instance. Den här synkroniseringen hjälper dig för att skydda mot läckta autentiseringsuppgifter som spelas från föregående attacker.This sync helps to protect against leaked credentials being replayed from previous attacks.

Även om du vill använda federation med Active Directory Federation Services (AD FS) eller andra identitetsleverantörer, kan du också ställa in synkronisering av lösenordshash som en säkerhetskopia om dina lokala servrar misslyckas eller bli tillfälligt otillgängliga.Even if you decide to use federation with Active Directory Federation Services (AD FS) or other identity providers, you can optionally set up password hash synchronization as a backup in case your on-premises servers fail or become temporarily unavailable. Den här synkroniseringen gör det möjligt för användare att logga in på tjänsten med hjälp av samma lösenord som de använder för att logga in på sina lokala Active Directory-instans.This sync enables users to sign in to the service by using the same password that they use to sign in to their on-premises Active Directory instance. Det gör också Identity Protection att identifiera avslöjade autentiseringsuppgifter genom att jämföra synkroniserade lösenords-hash med kända äventyras, om en användare har använt samma e-postadress och lösenord för andra tjänster som inte är anslutna till Azure AD-lösenord.It also allows Identity Protection to detect compromised credentials by comparing synchronized password hashes with passwords known to be compromised, if a user has used the same email address and password on other services that aren't connected to Azure AD.

Mer information finns i implementera lösenordshashsynkronisering med Azure AD Connect-synkronisering.For more information, see Implement password hash synchronization with Azure AD Connect sync.

Bästa praxis: För programutveckling, använder du Azure AD för autentisering.Best practice: For new application development, use Azure AD for authentication. Information om: Använd rätt funktioner för att stödja autentisering:Detail: Use the correct capabilities to support authentication:

  • Azure AD för anställdaAzure AD for employees
  • Azure AD B2B för gästanvändare och externa partnersAzure AD B2B for guest users and external partners
  • Azure AD B2C för att styra hur kunderna registrerar jag mig, logga in och hanterar sina profiler när de använder dina programAzure AD B2C to control how customers sign up, sign in, and manage their profiles when they use your applications

Organisationer som inte integrerar sin lokala identitet med sin molnidentitet kan ha fler tillägg i hanteringen av konton.Organizations that don’t integrate their on-premises identity with their cloud identity can have more overhead in managing accounts. Det här arbetet ökar sannolikheten för fel och säkerhetsintrång.This overhead increases the likelihood of mistakes and security breaches.

Anteckning

Du måste välja vilka kritiska konton kommer att finnas i och om administratörsarbetsstation som används är hanteras av nya molntjänster eller befintliga bearbetar kataloger.You need to choose which directories critical accounts will reside in and whether the admin workstation used is managed by new cloud services or existing processes. Med hjälp av befintliga hanterings- och identitet etablering processer kan minska risker, men kan även skapa risken för en angripare att kompromissa med ett lokalt konto och pivotering till molnet.Using existing management and identity provisioning processes can decrease some risks but can also create the risk of an attacker compromising an on-premises account and pivoting to the cloud. Du kanske vill använda en egen strategi för olika roller (till exempel IT-administratörer och business unit-administratörer).You might want to use a different strategy for different roles (for example, IT admins vs. business unit admins). Har du två alternativ.You have two options. Första alternativet är att skapa Azure AD-konton som inte är synkroniserade med din lokala Active Directory-instans.First option is to create Azure AD Accounts that aren’t synchronized with your on-premises Active Directory instance. Anslut din arbetsstation till Azure AD, som du kan hantera och korrigera med hjälp av Microsoft Intune.Join your admin workstation to Azure AD, which you can manage and patch by using Microsoft Intune. Andra alternativ är att använda befintliga konton som synkroniseras till din lokala Active Directory-instans.Second option is to use existing admin accounts by synchronizing to your on-premises Active Directory instance. Använd befintliga arbetsstationer i Active Directory-domänen för hantering och säkerhet.Use existing workstations in your Active Directory domain for management and security.

Hantera anslutna klienterManage connected tenants

Organisationen säkerhet måste synlighet att utvärdera risker och fastställa om principer för din organisation och eventuella regelkrav följs.Your security organization needs visibility to assess risk and to determine whether the policies of your organization, and any regulatory requirements, are being followed. Du bör se till att organisationen säkerhet har insyn i alla prenumerationer som är ansluten till din produktionsmiljö och nätverk (via Azure ExpressRoute eller plats-till-plats VPN).You should ensure that your security organization has visibility into all subscriptions connected to your production environment and network (via Azure ExpressRoute or site-to-site VPN). En Global administratör/företagsadministratör i Azure AD kan utöka sin åtkomst till den administratör för användaråtkomst roll och se alla prenumerationer och hanterade grupper som är ansluten till din miljö.A Global Administrator/Company Administrator in Azure AD can elevate their access to the User Access Administrator role and see all subscriptions and managed groups connected to your environment.

Se utöka behörighet för att hantera alla Azure-prenumerationer och hanteringsgrupper så att du och din säkerhetsgrupp kan visa alla prenumerationer eller hanteringsgrupper som är ansluten till din miljö.See elevate access to manage all Azure subscriptions and management groups to ensure that you and your security group can view all subscriptions or management groups connected to your environment. Du bör ta bort den här utökad åtkomst när du har utvärderat risker.You should remove this elevated access after you’ve assessed risks.

Aktivera enkel inloggningEnable single sign-on

I en mobil- och molnorienterade värld som du vill aktivera enkel inloggning (SSO) till enheter, appar och tjänster från var som helst så att användarna kan vara produktiva oavsett tid och plats.In a mobile-first, cloud-first world, you want to enable single sign-on (SSO) to devices, apps, and services from anywhere so your users can be productive wherever and whenever. När du har flera identitetslösningar att hantera detta blir ett administrativa problem inte bara för IT utan även för användare som behöver komma ihåg flera lösenord.When you have multiple identity solutions to manage, this becomes an administrative problem not only for IT but also for users who have to remember multiple passwords.

Du kan få enkel inloggning med samma ID-lösning för alla dina appar och resurser.By using the same identity solution for all your apps and resources, you can achieve SSO. Och användarna kan använda samma uppsättning autentiseringsuppgifter för att logga in och komma åt resurser som de behöver, oavsett om resurserna kan finnas lokalt eller i molnet.And your users can use the same set of credentials to sign in and access the resources that they need, whether the resources are located on-premises or in the cloud.

Bästa praxis: Aktivera enkel inloggning.Best practice: Enable SSO.
Information om: Azure AD utökar den lokala Active Directory till molnet.Detail: Azure AD extends on-premises Active Directory to the cloud. Användare kan använda sina primära arbets- eller skolkonto för sina domänanslutna enheter, företagets resurser och alla webb- och SaaS-program som de behöver för att få sitt arbete.Users can use their primary work or school account for their domain-joined devices, company resources, and all of the web and SaaS applications that they need to get their jobs done. Användare inte längre komma ihåg flera uppsättningar med användarnamn och lösenord och deras åtkomst till ett program kan vara automatiskt etablerade (eller avetableras) baserat på deras organisation gruppmedlemskap och deras status som en anställd.Users don’t have to remember multiple sets of usernames and passwords, and their application access can be automatically provisioned (or deprovisioned) based on their organization group memberships and their status as an employee. Och du kan kontrollera den åtkomsten för galleriappar eller för dina egna lokala appar som du har utvecklat och publicerat genom Azure AD-programproxy.And you can control that access for gallery apps or for your own on-premises apps that you’ve developed and published through the Azure AD Application Proxy.

Använda SSO för att ge användare åtkomst till sina SaaS-program baserat på deras arbets- eller skolkonto konto i Azure AD.Use SSO to enable users to access their SaaS applications based on their work or school account in Azure AD. Detta gäller inte bara för Microsoft SaaS-appar, men även andra appar som Google Apps och Salesforce.This is applicable not only for Microsoft SaaS apps, but also other apps, such as Google Apps and Salesforce. Du kan konfigurera programmet att använda Azure AD som en SAML-baserad identitet provider.You can configure your application to use Azure AD as a SAML-based identity provider. Som en säkerhetskontroll utfärdar inte Azure AD en token som tillåter användare att logga in till programmet om de har beviljats åtkomst via Azure AD.As a security control, Azure AD does not issue a token that allows users to sign in to the application unless they have been granted access through Azure AD. Du kan bevilja åtkomst direkt eller via en grupp att användare är medlem i.You can grant access directly, or through a group that users are a member of.

Organisationer som inte skapar en gemensam identitet för att upprätta en enkel inloggning för användare och program exponeras mer för scenarier där användarna har flera lösenord.Organizations that don’t create a common identity to establish SSO for their users and applications are more exposed to scenarios where users have multiple passwords. De här scenarierna öka sannolikheten för användare att lösenord eller med hjälp av svaga lösenord.These scenarios increase the likelihood of users reusing passwords or using weak passwords.

Aktivera villkorlig åtkomstTurn on Conditional Access

Användare kan komma åt din organisations resurser med hjälp av en mängd olika enheter och appar från var som helst.Users can access your organization's resources by using a variety of devices and apps from anywhere. Som IT-administratör, som du vill kontrollera att dessa enheter uppfyller dina krav för säkerhet och efterlevnad.As an IT admin, you want to make sure that these devices meet your standards for security and compliance. Bara fokusera på vem som kan komma åt en resurs räcker inte längre.Just focusing on who can access a resource is not sufficient anymore.

För att jämna ut säkerhet och produktivitet, måste du tänka på hur en resurs används innan du kan fatta ett beslut om åtkomstkontroll.To balance security and productivity, you need to think about how a resource is accessed before you can make a decision about access control. Med Azure AD villkorlig åtkomst kan du lösa det här kravet.With Azure AD Conditional Access, you can address this requirement. Du kan göra automatiserade besluten om åtkomstkontroll baserat på villkor för att komma åt dina appar i molnet med villkorlig åtkomst.With Conditional Access, you can make automated access control decisions based on conditions for accessing your cloud apps.

Bästa praxis: Hantera och styr åtkomsten till företagets resurser.Best practice: Manage and control access to corporate resources.
Information om: Konfigurera Azure AD villkorlig åtkomst baserat på en grupp, plats och programmets känslighet för SaaS-appar och Azure AD-anslutna appar.Detail: Configure Azure AD Conditional Access based on a group, location, and application sensitivity for SaaS apps and Azure AD–connected apps.

Bästa praxis: Blockera äldre autentiseringsprotokoll.Best practice: Block legacy authentication protocols. Information om: Angripare utnyttja svagheter i äldre protokoll varje dag, särskilt för lösenord besprutningsmedel attacker.Detail: Attackers exploit weaknesses in older protocols every day, particularly for password spray attacks. Konfigurera villkorlig åtkomst för att blockera äldre protokoll.Configure Conditional Access to block legacy protocols. Se videon Azure AD: Bra att veta för mer information.See the video Azure AD: Do’s and Don’ts for more information.

Aktivera lösenordshanteringEnable password management

Om du har flera klienter eller om du vill att användarna kan återställa sina egna lösenord, är det viktigt att du använder lämpliga säkerhetsprinciper för att förhindra missbruk.If you have multiple tenants or you want to enable users to reset their own passwords, it’s important that you use appropriate security policies to prevent abuse.

Bästa praxis: Konfigurera lösenordsåterställning via självbetjäning (SSPR) för dina användare.Best practice: Set up self-service password reset (SSPR) for your users.
Information om: Använda Azure AD lösenordsåterställning via självbetjäning funktionen.Detail: Use the Azure AD self-service password reset feature.

Bästa praxis: Övervaka hur eller om SSPR som verkligen används.Best practice: Monitor how or if SSPR is really being used.
Information om: Övervaka användare som registrerar med hjälp av Azure AD lösenord återställer registreringen aktivitetsrapporten.Detail: Monitor the users who are registering by using the Azure AD Password Reset Registration Activity report. Rapporteringsfunktionen som Azure AD tillhandahåller kan du besvara frågor med hjälp av fördefinierade rapporter.The reporting feature that Azure AD provides helps you answer questions by using prebuilt reports. Om du har korrekt licens, kan du också skapa egna frågor.If you're appropriately licensed, you can also create custom queries.

Bästa praxis: Utöka molnbaserade lösenordsprinciper till din lokala infrastruktur.Best practice: Extend cloud-based password policies to your on-premises infrastructure. Information om: Förbättra lösenordsprinciper i din organisation genom att utföra samma kontroller för lokala lösenordsändringar som du gör ändringar av molnbaserade lösenord.Detail: Enhance password policies in your organization by performing the same checks for on-premises password changes as you do for cloud-based password changes. Installera Azure AD-lösenordsskydd för Windows Server Active Directory agenter lokalt att utöka listor med förbjudna lösenord till din befintliga infrastruktur.Install Azure AD password protection for Windows Server Active Directory agents on-premises to extend banned password lists to your existing infrastructure. Användare och administratörer som ändrar, ange eller återställa lösenord på plats krävs för att följa principen med samma lösenord som endast molnbaserade användare.Users and admins who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

Framtvinga multifaktorverifiering för användareEnforce multi-factor verification for users

Vi rekommenderar att du kräver tvåstegsverifiering för alla användare.We recommend that you require two-step verification for all of your users. Detta inkluderar administratörer och andra i organisationen som kan ha en betydande inverkan om sitt konto komprometteras (till exempel företagsriskkonsulter).This includes administrators and others in your organization who can have a significant impact if their account is compromised (for example, financial officers).

Det finns flera alternativ för att kräva tvåstegsverifiering.There are multiple options for requiring two-step verification. Det bästa alternativet för dig beror på dina mål och Azure AD-version du kör din licensprogram.The best option for you depends on your goals, the Azure AD edition you’re running, and your licensing program. Se kräva tvåstegsverifiering för en användare att bestämma det bästa alternativet för dig.See How to require two-step verification for a user to determine the best option for you. Se den Azure AD och Azure Multi-Factor Authentication prissidor för mer information om licenser och priser.See the Azure AD and Azure Multi-Factor Authentication pricing pages for more information about licenses and pricing.

Följande är alternativ och fördelar för att aktivera tvåstegsverifiering:Following are options and benefits for enabling two-step verification:

Alternativ 1: Aktivera Multi-Factor Authentication genom att ändra användarens tillstånd.Option 1: Enable Multi-Factor Authentication by changing user state.
Förmånen: Det här är den traditionella metoden för att kräva tvåstegsverifiering.Benefit: This is the traditional method for requiring two-step verification. Det fungerar med både Azure Multi-Factor Authentication i molnet och Azure Multi-Factor Authentication Server.It works with both Azure Multi-Factor Authentication in the cloud and Azure Multi-Factor Authentication Server. Med den här metoden kräver att användare utför en tvåstegsverifiering varje gång de loggar in och åsidosättningar principer för villkorlig åtkomst.Using this method requires users to perform two-step verification every time they sign in and overrides Conditional Access policies.

För att avgöra var Multifaktorautentisering måste vara aktiverat, se vilken version av Azure MFA är rätt för min organisation?.To determine where Multi-Factor Authentication needs to be enabled, see Which version of Azure MFA is right for my organization?.

Alternativ 2: Aktivera Multi-Factor Authentication med principen för villkorlig åtkomst.Option 2: Enable Multi-Factor Authentication with Conditional Access policy. Förmånen: Det här alternativet kan du fråga efter tvåstegsverifiering vissa villkor med hjälp av villkorlig åtkomst.Benefit: This option allows you to prompt for two-step verification under specific conditions by using Conditional Access. Särskilda villkor kan vara användare logga in från olika platser, ej betrodda enheter eller program som du anser vara riskfyllda.Specific conditions can be user sign-in from different locations, untrusted devices, or applications that you consider risky. Definiera särskilda villkor där du kräver tvåstegsverifiering kan du undvika konstant fråga om dina användare, vilket kan vara en otrevlig användarupplevelse.Defining specific conditions where you require two-step verification enables you to avoid constant prompting for your users, which can be an unpleasant user experience.

Det här är det mest flexibla sättet att aktivera tvåstegsverifiering för dina användare.This is the most flexible way to enable two-step verification for your users. När en princip för villkorlig åtkomst fungerar endast för Azure Multi-Factor Authentication i molnet och är en premiumfunktion i Azure AD.Enabling a Conditional Access policy works only for Azure Multi-Factor Authentication in the cloud and is a premium feature of Azure AD. Du hittar mer information om den här metoden i distribuera molnbaserade Azure Multi-Factor Authentication.You can find more information on this method in Deploy cloud-based Azure Multi-Factor Authentication.

Alternativ 3: Aktivera Multi-Factor Authentication med principer för villkorlig åtkomst genom att utvärdera risken för användare och logga in för Azure AD Identity Protection.Option 3: Enable Multi-Factor Authentication with Conditional Access policies by evaluating user and sign-in risk of Azure AD Identity Protection.
Förmånen: Det här alternativet kan du:Benefit: This option enables you to:

  • Identifiera potentiella sårbarheter som påverkar organisationens identiteter.Detect potential vulnerabilities that affect your organization’s identities.
  • Konfigurera automatiska svar till identifierade misstänkta åtgärder som är relaterade till din organisations identiteter.Configure automated responses to detected suspicious actions that are related to your organization’s identities.
  • Undersöka misstänkta incidenter och vidta lämpliga åtgärder du kan åtgärda detta.Investigate suspicious incidents and take appropriate action to resolve them.

Den här metoden används Azure AD Identity Protection riskbedömningen att avgöra om tvåstegsverifiering krävs baserat på användare och inloggningsrisk för alla molnprogram.This method uses the Azure AD Identity Protection risk evaluation to determine if two-step verification is required based on user and sign-in risk for all cloud applications. Den här metoden kräver Azure Active Directory P2 licensiering.This method requires Azure Active Directory P2 licensing. Du hittar mer information om den här metoden i Azure Active Directory Identity Protection.You can find more information on this method in Azure Active Directory Identity Protection.

Anteckning

Alternativ 1, aktivera Multi-Factor Authentication genom att ändra användartillståndet, åsidosätter principer för villkorlig åtkomst.Option 1, enabling Multi-Factor Authentication by changing the user state, overrides Conditional Access policies. Eftersom alternativ 2 och 3 använder principer för villkorlig åtkomst, kan du inte använda alternativ 1 med dem.Because options 2 and 3 use Conditional Access policies, you cannot use option 1 with them.

Organisationer som inte lägger till extra skyddslager för identitet, till exempel tvåstegsverifiering, är mer sårbara för angrepp för stöld av autentiseringsuppgifter.Organizations that don’t add extra layers of identity protection, such as two-step verification, are more susceptible for credential theft attack. En attack med stöld av autentiseringsuppgifter kan leda till kompromettering av data.A credential theft attack can lead to data compromise.

Använd rollbaserad åtkomstkontrollUse role-based access control

Åtkomsthantering för molnresurser är viktigt för alla organisationer som använder molnet.Access management for cloud resources is critical for any organization that uses the cloud. Rollbaserad åtkomstkontroll (RBAC) hjälper dig att hantera vem som har åtkomst till Azure-resurser, vad de kan göra med dessa resurser och vilka områden som de har åtkomst till.Role-based access control (RBAC) helps you manage who has access to Azure resources, what they can do with those resources, and what areas they have access to.

Utse grupper eller enskilda roller ansvarar för specifika funktioner i Azure hjälper dig att undvika förvirring som kan leda till mänskliga och Automatiseringsfel som skapar säkerhetsrisker.Designating groups or individual roles responsible for specific functions in Azure helps avoid confusion that can lead to human and automation errors that create security risks. Begränsa åtkomst baserat på den behöver veta och lägsta behörighet säkerhetsprinciper är mycket viktigt för organisationer som vill tillämpa säkerhetsprinciper för dataåtkomst.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access.

Ditt säkerhetsteam måste insyn i dina Azure-resurser för att utvärdera och åtgärda risker.Your security team needs visibility into your Azure resources in order to assess and remediate risk. Om security-teamet har operativa ansvarsområden, behöver de ytterligare behörighet att utföra sitt arbete.If the security team has operational responsibilities, they need additional permissions to do their jobs.

Du kan använda RBAC att tilldela behörigheter till användare, grupper och program för ett visst omfång.You can use RBAC to assign permissions to users, groups, and applications at a certain scope. Omfattningen för en rolltilldelning kan vara en prenumeration, en resursgrupp eller en enskild resurs.The scope of a role assignment can be a subscription, a resource group, or a single resource.

Bästa praxis: Hålla isär uppgifter i ditt team och bevilja endast mängden åtkomst till användare som de behöver för att utföra sitt arbete.Best practice: Segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Istället för att ge alla kan obegränsade behörigheter i din Azure-prenumeration eller resurser, endast vissa åtgärder i ett visst omfång.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, allow only certain actions at a particular scope. Information om: Använd inbyggda RBAC-roller i Azure för att tilldela behörigheter till användare.Detail: Use built-in RBAC roles in Azure to assign privileges to users.

Anteckning

Specifika behörigheter skapar onödig komplexitet och förvirring kommer innehåll kan sparas i ett ”äldre” konfiguration som är svårare att lösa utan att behöva betala något.Specific permissions create unneeded complexity and confusion, accumulating into a “legacy” configuration that’s difficult to fix without fear of breaking something. Undvik att resurs-specifika behörigheter.Avoid resource-specific permissions. Använd istället hanteringsgrupper för företagsomfattande behörigheter och resursgrupper för behörigheter i prenumerationer.Instead, use management groups for enterprise-wide permissions and resource groups for permissions within subscriptions. Undvik att användarspecifika behörigheter.Avoid user-specific permissions. I stället tilldela åtkomst till grupper i Azure AD.Instead, assign access to groups in Azure AD.

Bästa praxis: Bevilja security team med Azure ansvarsområden åtkomst till finns i Azure-resurser så att de kan utvärdera och åtgärda risker.Best practice: Grant security teams with Azure responsibilities access to see Azure resources so they can assess and remediate risk. Information om: Bevilja security team i RBAC Säkerhetsläsare roll.Detail: Grant security teams the RBAC Security Reader role. Du kan använda roten hanteringsgruppen eller hanteringsgruppen segment, beroende på omfattningen av ansvarsområden:You can use the root management group or the segment management group, depending on the scope of responsibilities:

  • Rot-hanteringsgruppen för team som ansvarar för alla företagsresurserRoot management group for teams responsible for all enterprise resources
  • Segment-hanteringsgruppen för team med begränsad omfattning (ofta på grund av regler eller andra organisatoriska gränser)Segment management group for teams with limited scope (commonly because of regulatory or other organizational boundaries)

Bästa praxis: Bevilja behörighet så att security team som har direkt operativa ansvarsområden.Best practice: Grant the appropriate permissions to security teams that have direct operational responsibilities. Information om: Granska de inbyggda RBAC-rollerna för lämpliga rolltilldelningen.Detail: Review the RBAC built-in roles for the appropriate role assignment. Om de inbyggda rollerna inte uppfyller de specifika behoven i din organisation, kan du skapa anpassade roller för Azure-resurser.If the built-in roles don't meet the specific needs of your organization, you can create custom roles for Azure resources. Som du kan tilldela anpassade roller till användare, grupper och tjänstens huvudnamn på prenumerationen, resursgruppen och resurs-scope med inbyggda roller.As with built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

Bästa praxis: Bevilja Azure Security Center åtkomst till säkerhetsroller som behöver den.Best practices: Grant Azure Security Center access to security roles that need it. Security Center hjälper att snabbt identifiera och åtgärda risker.Security Center allows security teams to quickly identify and remediate risks. Information om: Lägg till security team utan dessa behov i RBAC säkerhetsadministratör rollen så att de kan visa säkerhetsprinciper, security tillstånd, redigera säkerhetsprinciper, Visa aviseringar och rekommendationer och stänga aviseringar och rekommendationer.Detail: Add security teams with these needs to the RBAC Security Admin role so they can view security policies, view security states, edit security policies, view alerts and recommendations, and dismiss alerts and recommendations. Du kan göra detta med hjälp av hanteringsgruppen roten eller hanteringsgruppen segment, beroende på omfattningen av ansvarsområden.You can do this by using the root management group or the segment management group, depending on the scope of responsibilities.

Organisationer som inte framtvingar åtkomstkontroll för data med hjälp av funktionerna som RBAC ger fler behörigheter än vad som krävs till sina användare.Organizations that don’t enforce data access control by using capabilities like RBAC might be giving more privileges than necessary to their users. Detta kan leda till kompromettering av data genom att tillåta användare att komma åt typer av data (till exempel stora marknadsfördelar) som de inte ska ha.This can lead to data compromise by allowing users to access types of data (for example, high business impact) that they shouldn’t have.

Lägre exponering av Privilegierade kontonLower exposure of privileged accounts

Att skydda privilegierad är åtkomst ett viktigt första steg för att skydda företagets tillgångar.Securing privileged access is a critical first step to protecting business assets. Minimera antalet personer som har åtkomst till säker information eller resurser minskar risken för att en obehörig användare få åtkomst eller en auktoriserad användare oavsiktligt påverkar en känsliga resurs.Minimizing the number of people who have access to secure information or resources reduces the chance of a malicious user getting access, or an authorized user inadvertently affecting a sensitive resource.

Privilegierade konton är konton som administrerar och hanterar IT-system.Privileged accounts are accounts that administer and manage IT systems. Cyberhot angripare siktar in dessa konton för att få åtkomst till organisationens data och system.Cyber attackers target these accounts to gain access to an organization’s data and systems. Om du vill skydda privilegierad åtkomst, bör du isolera konton och system från risk att utsättas för en obehörig användare.To secure privileged access, you should isolate the accounts and systems from the risk of being exposed to a malicious user.

Vi rekommenderar att du utvecklar och följer en översikt över för att skydda privilegierad åtkomst från cyberhot angripare.We recommend that you develop and follow a roadmap to secure privileged access against cyber attackers. Information om hur du skapar en detaljerad översikt över för att skydda identiteter och åtkomst som hanteras eller som rapporteras i Azure AD, Microsoft Azure, Office 365 och andra molntjänster, granska referensmaterialet för att skydda privilegierad åtkomst för hybrid- och distributioner i Azure AD.For information about creating a detailed roadmap to secure identities and access that are managed or reported in Azure AD, Microsoft Azure, Office 365, and other cloud services, review Securing privileged access for hybrid and cloud deployments in Azure AD.

Följande sammanfattar de rekommenderade metoder som finns i referensmaterialet för att skydda privilegierad åtkomst för hybrid- och distributioner i Azure AD:The following summarizes the best practices found in Securing privileged access for hybrid and cloud deployments in Azure AD:

Bästa praxis: Hantera, kontrollera och övervaka åtkomst till Privilegierade konton.Best practice: Manage, control, and monitor access to privileged accounts.
Information om: Aktivera Azure AD Privileged Identity Management.Detail: Turn on Azure AD Privileged Identity Management. När du har aktiverat Privileged Identity Management kan du ett meddelande om e-postmeddelanden för privilegierad åtkomst rollen ändringar.After you turn on Privileged Identity Management, you’ll receive notification email messages for privileged access role changes. Dessa meddelanden ge en tidig varning när ytterligare användare läggs till i mycket Privilegierade roller i din katalog.These notifications provide early warning when additional users are added to highly privileged roles in your directory.

Bästa praxis: Se till att alla kritiska administratörskonton hanteras Azure AD-konton.Best practice: Ensure all critical admin accounts are managed Azure AD accounts. Information om: Ta bort några konsument-konton från kritiska administratörsroller (till exempel Microsoft-konton som hotmail.com, live.com och outlook.com).Detail: Remove any consumer accounts from critical admin roles (for example, Microsoft accounts like hotmail.com, live.com, and outlook.com).

Bästa praxis: Se till att alla kritiska administratörsroller ha ett separat konto för administrativa uppgifter för att undvika nätfiske och andra attacker för att angripa administrativa privilegier.Best practice: Ensure all critical admin roles have a separate account for administrative tasks in order to avoid phishing and other attacks to compromise administrative privileges. Information om: Skapa ett separat administratörskonto som har tilldelats behörighet att utföra administrativa uppgifter.Detail: Create a separate admin account that’s assigned the privileges needed to perform the administrative tasks. Blockera användning av dessa administrativa konton för dagliga produktivitetsverktyg som Microsoft Office 365 e-post godtyckliga webbsurfning.Block the use of these administrative accounts for daily productivity tools like Microsoft Office 365 email or arbitrary web browsing.

Bästa praxis: Identifiera och klassificera konton som är mycket Privilegierade roller.Best practice: Identify and categorize accounts that are in highly privileged roles.
Information om: Visa användare som ingår i den globala administratören privilegierad rolladministratör och andra mycket Privilegierade roller efter att aktivera Azure AD Privileged Identity Management.Detail: After turning on Azure AD Privileged Identity Management, view the users who are in the global administrator, privileged role administrator, and other highly privileged roles. Ta bort alla konton som inte längre behövs i de här rollerna och kategorisera de återstående konton som tilldelas till administrativa roller:Remove any accounts that are no longer needed in those roles, and categorize the remaining accounts that are assigned to admin roles:

  • Individuellt tilldelas till administrativa användare och kan användas för icke-administrativa syften (till exempel personliga e-post)Individually assigned to administrative users, and can be used for non-administrative purposes (for example, personal email)
  • Individuellt tilldelade till administrativa användare och avsedda för administrativa syftenIndividually assigned to administrative users and designated for administrative purposes only
  • Delas mellan flera användareShared across multiple users
  • För åtkomst vid akutfall scenarierFor emergency access scenarios
  • För automatiserade skriptFor automated scripts
  • För externa användareFor external users

Bästa praxis: Implementera just-in-time ”(JIT) åtkomst till ytterligare sänka exponeringstiden för privilegier och öka din synlighet användningen av Privilegierade konton.Best practice: Implement “just in time” (JIT) access to further lower the exposure time of privileges and increase your visibility into the use of privileged accounts.
Information om: Azure AD Privileged Identity Management kan du:Detail: Azure AD Privileged Identity Management lets you:

  • Begränsa användare till att endast utföra på sina privilegier JIT.Limit users to only taking on their privileges JIT.
  • Tilldela roller för en förkortad varaktighet tryggt att privilegier återkallas automatiskt.Assign roles for a shortened duration with confidence that the privileges are revoked automatically.

Bästa praxis: Definiera minst två konton för åtkomst vid akutfall.Best practice: Define at least two emergency access accounts.
Information om: För åtkomst vid akutfall hjälpa organisationer begränsa privilegierad åtkomst i en befintlig Azure Active Directory-miljö.Detail: Emergency access accounts help organizations restrict privileged access in an existing Azure Active Directory environment. Dessa konton är mycket Privilegierade och tilldelas inte till enskilda individer.These accounts are highly privileged and are not assigned to specific individuals. För åtkomst vid akutfall är begränsade till scenarier där normala administrativa konton inte kan användas.Emergency access accounts are limited to scenarios where normal administrative accounts can’t be used. Organisationer måste begränsa användningen av nödfall konton endast nödvändiga lång tid.Organizations must limit the emergency account's usage to only the necessary amount of time.

Utvärdera de konton som är tilldelade eller berättigad för rollen som global administratör.Evaluate the accounts that are assigned or eligible for the global admin role. Om du inte ser några endast molnbaserade konton med hjälp av den *.onmicrosoft.com domän (avsett för åtkomst vid akutfall), skapa dem.If you don’t see any cloud-only accounts by using the *.onmicrosoft.com domain (intended for emergency access), create them. Mer information finns i hantera åtkomst vid akutfall administratörskonton i Azure AD.For more information, see Managing emergency access administrative accounts in Azure AD.

Bästa praxis: Ha en ”Bryt om” på plats i ett nödfall.Best practice: Have a “break glass" process in place in case of an emergency. Information om: Följ stegen i referensmaterialet för att skydda privilegierad åtkomst för hybrid- och distributioner i Azure AD.Detail: Follow the steps in Securing privileged access for hybrid and cloud deployments in Azure AD.

Bästa praxis: Kräver alla kritiska administratörskonton vara lösenord utan (rekommenderas) eller kräva Multifaktorautentisering.Best practice: Require all critical admin accounts to be password-less (preferred), or require Multi-Factor Authentication. Information om: Använd den Microsoft Authenticator-appen att logga in på alla Azure AD-konto utan lösenord.Detail: Use the Microsoft Authenticator app to sign in to any Azure AD account without using a password. Som Windows Hello för företag, Microsoft Authenticator använder nyckel-baserad autentisering för att aktivera en autentiseringsuppgift för användare som är kopplad till en enhet och använder biometrisk autentisering eller en PIN-kod.Like Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that’s tied to a device and uses biometric authentication or a PIN.

Kräv Azure Multi-Factor Authentication vid inloggning för alla enskilda användare som tilldelas permanent till en eller flera av Azure AD-administratörsroller: Global administratör, privilegierad Rolladministratör, Exchange Online-administratör och SharePoint Online-administratör.Require Azure Multi-Factor Authentication at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global Administrator, Privileged Role Administrator, Exchange Online Administrator, and SharePoint Online Administrator. Aktivera Multifaktorautentisering för dina administratörskonton och se till att du har registrerat konto administratörsanvändare.Enable Multi-Factor Authentication for your admin accounts and ensure that admin account users have registered.

Bästa praxis: Ha en administratörsarbetsstation där uppgifter inte är tillåtet (till exempel, bläddra och e-post) för kritiska administratörskonton.Best practice: For critical admin accounts, have an admin workstation where production tasks aren’t allowed (for example, browsing and email). Detta skyddar dina administratörskonton från angreppsmetoder som använder Bläddra och e-post och avsevärt minska risken för att en större incident.This will protect your admin accounts from attack vectors that use browsing and email and significantly lower your risk of a major incident. Information om: Använd en administratörsarbetsstation.Detail: Use an admin workstation. Välj en säkerhetsnivå för arbetsstation:Choose a level of workstation security:

  • Mycket säker produktivitet enheter ger avancerad säkerhet för att bläddra bland och andra produktivitetsuppgifter.Highly secure productivity devices provide advanced security for browsing and other productivity tasks.
  • Privilegierad åtkomst arbetsstationer (Paw) ger ett dedikerat operativsystem som är skyddat mot internetattacker och hotvektorer för känsliga uppgifter.Privileged Access Workstations (PAWs) provide a dedicated operating system that’s protected from internet attacks and threat vectors for sensitive tasks.

Bästa praxis: Avetablera administratörskonton när en medarbetare lämnar organisationen.Best practice: Deprovision admin accounts when employees leave your organization. Information om: Har en process som inaktiverar eller tar bort administratörskonton när en medarbetare lämnar organisationen.Detail: Have a process in place that disables or deletes admin accounts when employees leave your organization.

Bästa praxis: Testa regelbundet administratörskonton med hjälp av aktuella attackteknikerna.Best practice: Regularly test admin accounts by using current attack techniques. Information om: Använda Office 365-Attack simulatorn eller en tredje part erbjuder att köra realistisk attackscenarier i din organisation.Detail: Use Office 365 Attack Simulator or a third-party offering to run realistic attack scenarios in your organization. Detta kan hjälpa dig hitta sårbara användare innan en verklig attack inträffar.This can help you find vulnerable users before a real attack occurs.

Bästa praxis: Vidta åtgärder för att minimera de mest använda angripna teknikerna.Best practice: Take steps to mitigate the most frequently used attacked techniques.
Information om: Identifiera Microsoft-konton i administrativa roller som måste stängas för att arbets- eller skolkontonDetail: Identify Microsoft accounts in administrative roles that need to be switched to work or school accounts

Se till att separata användarkonton och e-post vidarebefordran för globala administratörskontonEnsure separate user accounts and mail forwarding for global administrator accounts

Kontrollera att lösenorden för administrativa konton nyligen har ändratsEnsure that the passwords of administrative accounts have recently changed

Aktivera synkronisering av lösenordshashTurn on password hash synchronization

Kräv Multifaktorautentisering för användare i alla Privilegierade roller samt exponerade användareRequire Multi-Factor Authentication for users in all privileged roles as well as exposed users

Hämta din Office 365 skyddar Score (om du använder Office 365)Obtain your Office 365 Secure Score (if using Office 365)

Läser du igenom informationen för Office 365 säkerhets- och (om du använder Office 365)Review the Office 365 security and compliance guidance (if using Office 365)

Konfigurera aktivitetsövervakning för Office 365 (om du använder Office 365)Configure Office 365 Activity Monitoring (if using Office 365)

Upprätta incident/emergency response plan ägareEstablish incident/emergency response plan owners

Skydda lokala Privilegierade administrativa kontonSecure on-premises privileged administrative accounts

Om du inte skyddar privilegierad åtkomst, kanske du upptäcker att du har för många användare i mycket Privilegierade roller och är mer sårbara för attacker.If you don’t secure privileged access, you might find that you have too many users in highly privileged roles and are more vulnerable to attacks. Skadliga aktörer, inklusive cyberhot angripare, ofta mål-administratörskonton och andra element för privilegierad åtkomst för att få åtkomst till känsliga data och system med hjälp av stöld av autentiseringsuppgifter.Malicious actors, including cyber attackers, often target admin accounts and other elements of privileged access to gain access to sensitive data and systems by using credential theft.

Kontrollera platser där resurser skapasControl locations where resources are created

Det är mycket viktigt att aktivera molnoperatörer att utföra uppgifter samtidigt som hindrar dem från icke-bakåtkompatibel konventioner som behövs för att hantera din organisations resurser.Enabling cloud operators to perform tasks while preventing them from breaking conventions that are needed to manage your organization's resources is very important. Organisationer som vill styra de platser där resurser skapas bör hårt koda de här platserna.Organizations that want to control the locations where resources are created should hard code these locations.

Du kan använda Azure Resource Manager att skapa säkerhetsprinciper vars definitioner beskriver åtgärder eller resurser som uttryckligen har nekats.You can use Azure Resource Manager to create security policies whose definitions describe the actions or resources that are specifically denied. Du kan tilldela dessa principdefinitioner i det önskade omfånget som prenumerationen, resursgruppen eller en enskild resurs.You assign those policy definitions at the desired scope, such as the subscription, the resource group, or an individual resource.

Anteckning

Säkerhetsprinciper är inte samma som RBAC.Security policies are not the same as RBAC. De kan faktiskt använda RBAC för att auktorisera användare att skapa dessa resurser.They actually use RBAC to authorize users to create those resources.

Organisationer som inte styr hur resurser skapas är svårare att användare som kan utnyttja tjänsten genom att skapa fler resurser än de behöver.Organizations that are not controlling how resources are created are more susceptible to users who might abuse the service by creating more resources than they need. Härdning av skapandeprocessen resurs är ett viktigt steg för att skydda ett scenario med flera innehavare.Hardening the resource creation process is an important step to securing a multitenant scenario.

Övervaka aktivt för misstänkta aktiviteterActively monitor for suspicious activities

En aktiv identitet övervakningen kan snabbt identifiera misstänkt beteende och utlösa en avisering för vidare studier.An active identity monitoring system can quickly detect suspicious behavior and trigger an alert for further investigation. I följande tabell visas två Azure AD-funktioner som hjälper organisationer att övervaka deras identiteter:The following table lists two Azure AD capabilities that can help organizations monitor their identities:

Bästa praxis: Har en metod för att identifiera:Best practice: Have a method to identify:

Information om: Använda Azure AD Premium avvikelseidentifiering rapporter.Detail: Use Azure AD Premium anomaly reports. Har processer och procedurer på plats för IT-administratörer kan köra dessa rapporter dagligen eller på begäran (vanligtvis i ett scenario med incidenthantering).Have processes and procedures in place for IT admins to run these reports on a daily basis or on demand (usually in an incident response scenario).

Bästa praxis: Ha en aktiv övervakningssystemet som meddelar dig om riskerna och kan justera risknivå (hög, medel eller låg) för ditt företags behov.Best practice: Have an active monitoring system that notifies you of risks and can adjust risk level (high, medium, or low) to your business requirements.
Information om: Använd Azure AD Identity Protection, som flaggar aktuellt risker på sin egen instrumentpanel och skickar daglig sammanfattning av meddelanden via e-post.Detail: Use Azure AD Identity Protection, which flags the current risks on its own dashboard and sends daily summary notifications via email. För att skydda din organisations identiteter, kan du konfigurera riskbaserade principer som automatiskt svarar på identifierade problem när en angiven risknivå har uppnåtts.To help protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level is reached.

Organisationer som inte aktivt övervakar sina identitetssystem finns risken att användarens autentiseringsuppgifter har komprometterats.Organizations that don’t actively monitor their identity systems are at risk of having user credentials compromised. Organisationer kan inte utan kännedom att misstänkta aktiviteter som äger rum via dessa autentiseringsuppgifter kan minimera den här typen av hot.Without knowledge that suspicious activities are taking place through these credentials, organizations can’t mitigate this type of threat.

Använd Azure AD för autentisering för lagringUse Azure AD for storage authentication

Azure Storage stöder autentisering och auktorisering med Azure AD för Blob storage och Queue storage.Azure Storage supports authentication and authorization with Azure AD for Blob storage and Queue storage. Du kan använda den rollbaserad åtkomstkontrollen i Azure med Azure AD-autentisering, tilldela specifika behörigheter till användare, grupper och program ned till området för en enskild blob-behållare eller kön.With Azure AD authentication, you can use the Azure role-based access control to grant specific permissions to users, groups, and applications down to the scope of an individual blob container or queue.

Vi rekommenderar att du använder Azure AD för att autentisera åtkomst till lagring.We recommend that you use Azure AD for authenticating access to storage.

Nästa stegNext step

Se säkerhet i Azure-metodtips och mönster för flera beprövade metoder för att använda när du utforma, distribuera och hantera dina molnlösningar med hjälp av Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.