Metodtips för Azure Identity Management och åtkomstkontroll

  • Artikel
  • 21 minuter för att läsa

I den här artikeln diskuterar vi en samling metodtips för identitetshantering och åtkomstkontroll i Azure. Dessa metodtips härleds från vår erfarenhet av Azure AD och kundernas upplevelser som du själv.

För varje bästa praxis förklarar vi:

  • Vad bästa praxis är
  • Varför du vill aktivera den bästa praxis
  • Vad kan bli resultatet om du inte aktiverar bästa praxis
  • Möjliga alternativ till bästa praxis
  • Hur du kan lära dig att aktivera bästa praxis

Den här artikeln om metodtips för identitetshantering och åtkomstkontroll i Azure baseras på ett konsensusyttande och funktioner och funktionsuppsättningar för Azure-plattformen, eftersom de finns när den här artikeln skrevs.

Avsikten med att skriva den här artikeln är att tillhandahålla en allmän översikt över en mer robust säkerhetsstatus efter distribution som vägleds av checklistan"5steg för att skydda din identitetsinfrastruktur", som vägleder dig genom några av våra grundläggande funktioner och tjänster.

Åsikter och tekniker ändras med tiden och den här artikeln uppdateras regelbundet för att återspegla dessa ändringar.

Metodtips för identitetshantering och åtkomstkontroll i Azure som beskrivs i den här artikeln är:

  • Hantera identitet som den primära säkerhets perimetern
  • Centralisera identitetshantering
  • Hantera anslutna klienter
  • Aktivera enkel inloggning
  • Aktivera villkorlig åtkomst
  • Planera för rutinmässiga säkerhetsförbättringar
  • Aktivera lösenordshantering
  • Framtvinga multifaktorverifiering för användare
  • Använd rollbaserad åtkomstkontroll
  • Lägre exponering av privilegierade konton
  • Kontrollera platser där resurser finns
  • Använda Azure AD för lagringsautentisering

Hantera identitet som den primära säkerhets perimetern

Många anser att identitet är den primära perimetern för säkerhet. Det här är en övergång från det traditionella fokuset på nätverkssäkerhet. Nätverksnätverket blir allt mer svårt och perimeterskydd kan inte vara lika effektivt som det var före en explosion av BYOD-enheter och molnprogram.

Azure Active Directory (Azure AD) är Azure-lösningen för identitets- och åtkomsthantering. Azure AD är en molnbaserad katalog- och identitetshanteringstjänst för flera användare från Microsoft. Den kombinerar viktiga katalogtjänster, åtkomsthantering för program och identitetsskydd i en och samma lösning.

I följande avsnitt listas metodtips för identitets- och åtkomstsäkerhet med hjälp av Azure AD.

Bästa praxis: Centersäkerhetskontroller och identifieringar kring användar- och tjänstidentiteter. Information: Använd Azure AD för att samla kontroller och identiteter.

Centralisera identitetshantering

I ett hybrididentitetsscenario rekommenderar vi att du integrerar dina lokala kataloger och molnkataloger. Integrering gör det möjligt för IT-teamet att hantera konton från en plats, oavsett var ett konto skapas. Integreringen hjälper även användarna att bli mer produktiva genom att tillhandahålla en gemensam identitet för åtkomst till både molnbaserade och lokala resurser.

Bästa praxis: Upprätta en enda Azure AD-instans. Konsekvens och en enda auktoritativ källa ökar tydligheten och minskar säkerhetsrisker från mänskliga fel och konfigurationskomplexitet. Information: Ange en enda Azure AD-katalog som auktoritativ källa för företags- och organisationskonton.

Bästa praxis: Integrera dina lokala kataloger med Azure AD.
Information: Använd Azure AD Anslut för att synkronisera din lokala katalog med din molnkatalog.

Anteckning

Det finns faktorer som påverkar prestandan för Azure AD Anslut. Se till att Azure AD Anslut har tillräckligt med kapacitet för att hålla underpresterande system från att öka säkerheten och produktiviteten. Stora eller komplexa organisationer (organisationer som etablerar fler än 100 000 objekt) bör följa rekommendationerna för att optimera sin Azure AD-Anslut implementering.

Bästa praxis: Synkronisera inte konton till Azure AD som har hög behörighet i din befintliga Active Directory-instans. Information: Ändra inte standardkonfigurationen för Azure AD Anslut som filtrerar bort dessa konton. Den här konfigurationen minskar risken för att angripare pivoterar från molnet till lokala tillgångar (vilket kan skapa en större incident).

Bästa praxis: Aktivera synkronisering av lösenordshashar.
Information: Synkronisering av lösenordshashar är en funktion som används för att synkronisera användarlösenordshashar från en lokal Active Directory-instans till en molnbaserad Azure AD-instans. Den här synkroniseringen hjälper till att skydda mot läckta autentiseringsuppgifter som spelas upp igen från tidigare attacker.

Även om du bestämmer dig för att använda federation med Active Directory Federation Services (AD FS) (AD FS) eller andra identitetsprovidrar kan du konfigurera synkronisering av lösenordshashar som en säkerhetskopia om dina lokala servrar misslyckas eller blir tillfälligt otillgängliga. Den här synkroniseringen gör det möjligt för användare att logga in på tjänsten med samma lösenord som de använder för att logga in på lokal Active Directory instans. Det gör också att Identity Protection kan identifiera komprometterade autentiseringsuppgifter genom att jämföra synkroniserade lösenordshashar med lösenord som är kända för att vara komprometterade, om en användare har använt samma e-postadress och lösenord på andra tjänster som inte är anslutna till Azure AD.

Mer information finns i Implementera synkronisering av lösenordshashar med Azure AD Anslut sync.

Bästa praxis: För ny programutveckling använder du Azure AD för autentisering. Information: Använd rätt funktioner för att stödja autentisering:

  • Azure AD för anställda
  • Azure AD B2B för gästanvändare och externa partner
  • Azure AD B2C att styra hur kunder registrerar sig, loggar in och hanterar sina profiler när de använder dina program

Organisationer som inte integrerar sin lokala identitet med sin molnidentitet kan få mer omkostnader vid hantering av konton. Det här arbetet ökar sannolikheten för misstag och säkerhetsöverträdelser.

Anteckning

Du måste välja vilka kataloger som kritiska konton ska finnas i och om den administratörsarbetsstationen som används hanteras av nya molntjänster eller befintliga processer. Genom att använda befintliga processer för hantering och identitetsetablering kan du minska vissa risker, men det kan också leda till att en angripare äventyrar ett lokalt konto och pivotering till molnet. Du kanske vill använda en annan strategi för olika roller (till exempel IT-administratörer jämfört med affärsenhetsadministratörer). Du har två alternativ. Det första alternativet är att skapa Azure AD-konton som inte är synkroniserade med din lokal Active Directory instans. Anslut din administratörsarbetsstationen till Azure AD, som du kan hantera och korrigera med hjälp av Microsoft Intune. Det andra alternativet är att använda befintliga administratörskonton genom att synkronisera lokal Active Directory instansen. Använd befintliga arbetsstationer i Active Directory-domänen för hantering och säkerhet.

Hantera anslutna klienter

Din säkerhetsorganisation behöver insyn för att utvärdera risker och avgöra om organisationens principer och eventuella regelkrav följs. Du bör se till att din säkerhetsorganisation har insyn i alla prenumerationer som är anslutna till din produktionsmiljö och ditt nätverk (via Azure ExpressRoute eller plats-till-plats-VPN). En global administratör i Azure AD kan höja sin behörighet till rollen Administratör för användaråtkomst och se alla prenumerationer och hanterade grupper som är anslutna till din miljö.

Se utöka åtkomsten för att hantera alla Azure-prenumerationer och hanteringsgrupper för att se till att du och säkerhetsgruppen kan visa alla prenumerationer eller hanteringsgrupper som är anslutna till din miljö. Du bör ta bort den här utökade åtkomsten när du har utvärderat riskerna.

Aktivera enkel inloggning

I en mobil- och molnklar värld vill du aktivera enkel inloggning (SSO) till enheter, appar och tjänster från valfri plats så att användarna kan vara produktiva var som helst och när som helst. När du har flera identitetslösningar att hantera blir detta ett administrativt problem inte bara för IT utan även för användare som måste komma ihåg flera lösenord.

Genom att använda samma identitetslösning för alla dina appar och resurser kan du uppnå enkel inloggning. Och användarna kan använda samma uppsättning autentiseringsuppgifter för att logga in och komma åt de resurser som de behöver, oavsett om resurserna finns lokalt eller i molnet.

Bästa praxis: Aktivera enkel inloggning.
Information: Azure AD utökar lokal Active Directory till molnet. Användare kan använda sitt primära arbets- eller skolkonto för sina domän-anslutna enheter, företagsresurser och alla webb- och SaaS-program som de behöver för att få jobbet gjort. Användarna behöver inte komma ihåg flera uppsättningar användarnamn och lösenord, och deras programåtkomst kan etableras automatiskt (eller avetablera) baserat på deras organisationsgruppmedlemskap och deras status som medarbetare. Och du kan kontrollera den åtkomsten för galleriappar eller för dina egna lokala appar som du har utvecklat och publicerat genom Azure AD-programproxy.

Använd enkel inloggning för att ge användare åtkomst till sina SaaS-program baserat på deras arbets- eller skolkonto i Azure AD. Detta gäller inte bara för Microsoft SaaS-appar, utan även andra appar, till exempel Google Apps och Salesforce. Du kan konfigurera ditt program att använda Azure AD som en SAML-baserad identitetsprovider. Som en säkerhetskontroll utfärdar Azure AD inte en token som tillåter användare att logga in på programmet om de inte har beviljats åtkomst via Azure AD. Du kan bevilja åtkomst direkt eller via en grupp som användarna är medlemmar i.

Organisationer som inte skapar en gemensam identitet för att upprätta enkel inloggning för sina användare och program är mer exponerade för scenarier där användarna har flera lösenord. Dessa scenarier ökar sannolikheten för att användare återanvänder lösenord eller använder svaga lösenord.

Aktivera villkorlig åtkomst

Användare kan komma åt organisationens resurser med hjälp av en mängd olika enheter och appar var de än befinner sig. Som IT-administratör vill du se till att dessa enheter uppfyller dina standarder för säkerhet och efterlevnad. Att bara fokusera på vem som kan komma åt en resurs räcker inte längre.

För att balansera säkerhet och produktivitet måste du tänka på hur en resurs används innan du kan fatta ett beslut om åtkomstkontroll. Med villkorsstyrd åtkomst i Azure AD kan du hantera det här kravet. Med villkorsstyrd åtkomst kan du fatta automatiserade beslut om åtkomstkontroll baserat på villkor för åtkomst till dina molnappar.

Bästa praxis: Hantera och kontrollera åtkomsten till företagsresurser.
Information: Konfigurera vanliga principer för villkorsstyrd åtkomst i Azure AD baserat på grupp, plats och programkänslighet för SaaS-appar och Azure AD-anslutna appar.

Bästa praxis: Blockera äldre autentiseringsprotokoll. Information: Angripare utnyttjar svagheter i äldre protokoll varje dag, särskilt vid attacker med lösenordsattacker. Konfigurera villkorlig åtkomst för att blockera äldre protokoll.

Planera för rutinmässiga säkerhetsförbättringar

Säkerheten utvecklas alltid och det är viktigt att bygga in i ditt moln- och identitetshanteringsramverk på ett sätt som regelbundet visar tillväxt och upptäcker nya sätt att skydda din miljö.

Identity Secure Score är en uppsättning rekommenderade säkerhetskontroller som Microsoft publicerar och som ger dig numeriska poäng för att objektivt mäta din säkerhetsstatus och hjälpa till att planera framtida säkerhetsförbättringar. Du kan också visa dina poäng i jämförelse med dem i andra branscher samt dina egna trender över tid.

Bästa praxis: Planera rutinmässiga säkerhetsgranskningar och förbättringar baserat på bästa praxis i din bransch. Information: Använd funktionen Identity Secure Score för att rangordna dina förbättringar över tid.

Aktivera lösenordshantering

Om du har flera klienter eller om du vill att användarna ska kunna återställa sina egna lösenord ärdet viktigt att du använder lämpliga säkerhetsprinciper för att förhindra missbruk.

Bästa praxis: Konfigurera lösenordsåterställning via självbetjäning (SSPR) för dina användare.
Information: Använd självbetjäningsfunktionen för lösenordsåterställning i Azure AD.

Bästa praxis: Övervaka hur eller om SSPR verkligen används.
Information: Övervaka de användare som registrerar med hjälp av registreringsaktivitetsrapporten för Azure AD-lösenordsåterställning. Rapporteringsfunktionen i Azure AD hjälper dig att besvara frågor med hjälp av fördefinierade rapporter. Om du har rätt licens kan du också skapa anpassade frågor.

Bästa praxis: Utöka molnbaserade lösenordsprinciper till din lokala infrastruktur. Information: Förbättra lösenordsprinciper i din organisation genom att utföra samma kontroller för lokala lösenordsändringar som du gör för molnbaserade lösenordsändringar. Installera Azure AD-lösenordsskydd för Windows Server Active Directory lokala agenter för att utöka listor med förbjudna lösenord till din befintliga infrastruktur. Användare och administratörer som ändrar, anger eller återställer lösenord lokalt måste följa samma lösenordsprincip som endast molnbaserade användare.

Framtvinga multifaktorverifiering för användare

Vi rekommenderar att du kräver tvåstegsverifiering för alla dina användare. Detta omfattar administratörer och andra i din organisation som kan ha en betydande inverkan om deras konto komprometteras (till exempel finansiella chefer).

Det finns flera alternativ för att kräva tvåstegsverifiering. Det bästa alternativet för dig beror på dina mål, vilken Azure AD-utgåva du kör och ditt licensieringsprogram. Se Så här kräver du tvåstegsverifiering för att en användare ska kunna avgöra vilket alternativ som är bäst för dig. Mer information om licenser och priser finns på prissättningssidorna för Azure AD och Azure AD Multi-Factor Authentication.

Följande är alternativ och fördelar med att aktivera tvåstegsverifiering:

Alternativ 1: Aktivera MFA för alla användare och inloggningsmetoder med Standardförmån för Azure AD-säkerhet: Med det här alternativet kan du enkelt och snabbt framtvinga MFA för alla användare i din miljö med en strikt princip för att:

  • Utmaning för administrativa konton och mekanismer för administrativ inloggning
  • Kräv MFA-utmaning via Microsoft Authenticator för alla användare
  • Begränsa äldre autentiseringsprotokoll.

Den här metoden är tillgänglig för alla licensieringsnivåer, men kan inte blandas med befintliga principer för villkorsstyrd åtkomst. Mer information finns i Standardinställningar för Azure AD-säkerhet

Alternativ 2: Aktivera Multi-Factor Authentication genom att ändra användartillståndet.
Fördel: Det här är den traditionella metoden för att kräva tvåstegsverifiering. Den fungerar med både Azure AD Multi-Factor Authentication i molnet och Azure Multi-Factor Authentication-server. Med den här metoden måste användarna utföra tvåstegsverifiering varje gång de loggar in och åsidosätter principer för villkorsstyrd åtkomst.

Information om var Multi-Factor Authentication måste aktiveras finns i Vilken version av Azure AD MFA är rätt för min organisation?.

Alternativ 3: Aktivera Multi-Factor Authentication med principen för villkorsstyrd åtkomst. Fördel: Med det här alternativet kan du fråga efter tvåstegsverifiering under specifika villkor med hjälp av villkorsstyrd åtkomst. Vissa villkor kan vara användarin logga in från olika platser, ej betrodda enheter eller program som du anser vara riskfyllda. Genom att definiera specifika villkor där du behöver tvåstegsverifiering kan du undvika ständiga frågor till användarna, vilket kan vara en besvärlig användarupplevelse.

Det här är det mest flexibla sättet att aktivera tvåstegsverifiering för dina användare. Aktivering av en princip för villkorsstyrd åtkomst fungerar bara för Azure AD Multi-Factor Authentication i molnet och är en premiumfunktion i Azure AD. Mer information om den här metoden finns i Distribuera molnbaserad Azure AD Multi-Factor Authentication.

Alternativ 4: Aktivera multifaktorautentisering med principer för villkorsstyrd åtkomst genom att utvärdera principer för riskbaserad villkorlig åtkomst.
Fördel: Med det här alternativet kan du:

  • Identifiera potentiella säkerhetsrisker som påverkar organisationens identiteter.
  • Konfigurera automatiserade svar på identifierade misstänkta åtgärder relaterade till organisationens identiteter.
  • Undersök misstänkta incidenter och vidta lämpliga åtgärder för att lösa dem.

Den här metoden använder Azure AD Identity Protection för att avgöra om tvåstegsverifiering krävs baserat på användar- och inloggningsrisk för alla molnprogram. Den här metoden kräver Azure Active Directory P2-licensiering. Du hittar mer information om den här metoden i Azure Active Directory Identity Protection.

Anteckning

Alternativ 2, som aktiverar multifaktorautentisering genom att ändra användartillståndet, åsidosätter principer för villkorsstyrd åtkomst. Eftersom alternativ 3 och 4 använder principer för villkorsstyrd åtkomst kan du inte använda alternativ 2 med dem.

Organisationer som inte lägger till extra lager av identitetsskydd, till exempel tvåstegsverifiering, är mer sårbara för angrepp på stöld av autentiseringsuppgifter. En attack med stöld av autentiseringsuppgifter kan leda till att data komprometterar.

Använd rollbaserad åtkomstkontroll

Åtkomsthantering för molnresurser är viktigt för alla organisationer som använder molnet. Rollbaserad åtkomstkontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till Azure-resurser, vad de kan göra med dessa resurser och vilka områden de har åtkomst till.

Genom att ange grupper eller enskilda roller som ansvarar för specifika funktioner i Azure undviker du förvirring som kan leda till mänskliga fel och automatiseringsfel som skapar säkerhetsrisker. Det är mycket viktigt att begränsa åtkomsten baserat på behovet av att känna till säkerhetsprinciper med minsta behörighet för organisationer som vill framtvinga säkerhetsprinciper för dataåtkomst.

Ditt säkerhetsteam behöver insyn i dina Azure-resurser för att kunna utvärdera och åtgärda risker. Om säkerhetsteamet har driftansvar behöver de ytterligare behörigheter för att kunna göra sitt jobb.

Du kan använda Azure RBAC för att tilldela behörigheter till användare, grupper och program i ett visst omfång. Omfånget för en rolltilldelning kan vara en prenumeration, en resursgrupp eller en enskild resurs.

Bästa praxis: Åtseger uppgifter i ditt team och bevilja endast den mängd åtkomst till användare som de behöver för att utföra sitt arbete. I stället för att ge alla obegränsad behörighet i din Azure-prenumeration eller dina resurser tillåter du endast vissa åtgärder i ett visst omfång. Information: Använd inbyggda Roller i Azure för att tilldela behörigheter till användare.

Anteckning

Specifika behörigheter skapar ond komplexitet och förvirring som ackumuleras i en "äldre" konfiguration som är svår att åtgärda utan att du är orolig för att något ska gå sönder. Undvik resursspecifika behörigheter. Använd istället hanteringsgrupper för företagsomfattande behörigheter och resursgrupper för behörigheter inom prenumerationer. Undvik användarspecifika behörigheter. Tilldela istället åtkomst till grupper i Azure AD.

Bästa praxis: Ge säkerhetsteam med Azure-ansvarsområden åtkomst för att se Azure-resurser så att de kan utvärdera och åtgärda risker. Information: Bevilja säkerhetsteam rollen Azure RBAC-säkerhetsläsare. Du kan använda rothanteringsgruppen eller segmenthanteringsgruppen, beroende på omfånget för ansvarsområden:

  • Rothanteringsgrupp för team som ansvarar för alla företagsresurser
  • Segmenthanteringsgrupp för team med begränsat omfång (vanligtvis på grund av regelmässiga eller andra organisatoriska gränser)

Bästa praxis: Ge lämpliga behörigheter till säkerhetsteam som har direkt driftansvar. Information: Granska de inbyggda Azure-rollerna för lämplig rolltilldelning. Om de inbyggda rollerna inte uppfyller organisationens specifika behov kan du skapa anpassade Azure-roller. Precis som med inbyggda roller kan du tilldela anpassade roller till användare, grupper och tjänstens huvudnamn i prenumeration, resursgrupp och resursomfång.

Metodtips: Ge Microsoft Defender för molnåtkomst till säkerhetsroller som behöver den. Med Defender for Cloud kan säkerhetsteam snabbt identifiera och åtgärda risker. Information: Lägg till säkerhetsteam med dessa behov i rollen Säkerhetsadministratör för Azure RBAC så att de kan visa säkerhetsprinciper, visa säkerhets tillstånd, redigera säkerhetsprinciper, visa aviseringar och rekommendationer och stänga aviseringar och rekommendationer. Du kan göra detta med hjälp av rothanteringsgruppen eller segmenthanteringsgruppen, beroende på omfånget för ansvarsområden.

Organisationer som inte framtvingar dataåtkomstkontroll med hjälp av funktioner som Azure RBAC kan ge användarna fler privilegier än nödvändigt. Detta kan leda till data kompromettering genom att tillåta användare att komma åt typer av data (till exempel stor inverkan på verksamheten) som de inte borde ha.

Lägre exponering av privilegierade konton

Att skydda privilegierad åtkomst är ett viktigt första steg för att skydda affärstillgångar. Genom att minimera antalet personer som har åtkomst till säker information eller resurser minskar risken för att en obehörig användare får åtkomst eller att en behörig användare oavsiktligt påverkar en känslig resurs.

Privilegierade konton är konton som administrerar och hanterar IT-system. Cyberangripare riktar in sig på dessa konton för att få åtkomst till en organisations data och system. För att skydda privilegierad åtkomst bör du isolera konton och system från risken att exponeras för en obehörig användare.

Vi rekommenderar att du utvecklar och följer en översikt för att skydda privilegierad åtkomst mot cyberattacker. Information om hur du skapar en detaljerad översikt över säkra identiteter och åtkomst som hanteras eller rapporteras i Azure AD, Microsoft Azure, Microsoft 365 och andra molntjänster finns i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Azure AD.

Följande sammanfattar de metodtips som finns i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Azure AD:

Bästa praxis: Hantera, kontrollera och övervaka åtkomst till privilegierade konton.
Information: Aktivera Azure AD-Privileged Identity Management. När du aktiverar Privileged Identity Management får du e-postmeddelanden om ändringar av privilegierade åtkomstroller. Dessa meddelanden ger en tidig varning när ytterligare användare läggs till i roller med hög privilegier i din katalog.

Bästa praxis: Se till att alla viktiga administratörskonton är hanterade Azure AD-konton. Information: Ta bort alla konsumentkonton från kritiska administratörsroller (till exempel Microsoft-konton som hotmail.com, live.com och outlook.com).

Bästa praxis: Se till att alla kritiska administratörsroller har ett separat konto för administrativa uppgifter för att undvika nätfiske och andra attacker för att kompromettera administrativa privilegier. Information: Skapa ett separat administratörskonto som har tilldelats de behörigheter som krävs för att utföra administrativa uppgifter. Blockera användningen av dessa administrativa konton för dagliga produktivitetsverktyg som e-Microsoft 365 eller godtycklig webbsurfning.

Bästa praxis: Identifiera och kategorisera konton som har hög privilegierade roller.
Information: När du har Privileged Identity Management Azure AD-Privileged Identity Management du visa de användare som är globala administratörer, privilegierade rolladministratörer och andra roller med hög behörighet. Ta bort konton som inte längre behövs i dessa roller och kategorisera återstående konton som har tilldelats administratörsroller:

  • Tilldelas individuellt till administrativa användare och kan användas för icke-administrativa ändamål (till exempel personlig e-post)
  • Tilldelas individuellt till administrativa användare och har endast angetts för administrativa ändamål
  • Delas mellan flera användare
  • För scenarier med åtkomst vid akutfall
  • För automatiserade skript
  • För externa användare

Bästa praxis: Implementera JIT-åtkomst (just-in-time) för att ytterligare minska exponeringstiden för privilegier och öka din insyn i användningen av privilegierade konton.
Information: Med Azure AD Privileged Identity Management kan du:

  • Begränsa användare till att endast ta på sig sina behörigheter JIT.
  • Tilldela roller för en förkortad varaktighet med tillförsikt att behörigheterna återkallas automatiskt.

Bästa praxis: Definiera minst två konton för åtkomst vid akutfall.
Information: Konton för åtkomst vid akutfall hjälper organisationer att begränsa privilegierad åtkomst i en Azure Active Directory miljö. Dessa konton har hög privilegier och tilldelas inte till specifika personer. Konton för åtkomst vid akutfall är begränsade till scenarier där normala administrativa konton inte kan användas. Organisationer måste begränsa nödkontots användning till bara den tid som krävs.

Utvärdera de konton som är tilldelade eller berättigade till den globala administratörsrollen. Om du inte ser några molnbaserade konton med hjälp av domänen (avsedd för åtkomst vid *.onmicrosoft.com akutfall) skapar du dem. Mer information finns i Hantera administrativa konton för åtkomst vid akutfall i Azure AD.

Bästa praxis: Ha en "brytprocess" på plats i händelse av ett nödfall. Information: Följ stegen i Skydda privilegierad åtkomst för hybrid- och molndistributioner i Azure AD.

Bästa praxis: Kräv att alla kritiska administratörskonton är lösenordslös (rekommenderas) eller kräver Multi-Factor Authentication. Information: Använd Microsoft Authenticator för att logga in på ett Azure AD-konto utan att använda ett lösenord. Precis Windows Hello för företaganvänder Microsoft Authenticator nyckelbaserad autentisering för att aktivera en användarautentisering som är kopplad till en enhet och använder biometrisk autentisering eller en PIN-kod.

Kräv Azure AD Multi-Factor Authentication vid inloggning för alla enskilda användare som är permanent tilldelade till en eller flera av Azure AD-administratörsrollerna: Global administratör, Privilegierad rolladministratör, Exchange Online-administratör och SharePoint Online-administratör. Aktivera Multi-Factor Authentication för dina administratörskonton och se till att användare av administratörskontot har registrerat sig.

Bästa praxis: För kritiska administratörskonton ska du ha en administratörsarbetsstationen där produktionsaktiviteter inte tillåts (till exempel surfning och e-post). Detta skyddar dina administratörskonton mot angreppsvektorer som använder surfning och e-post och avsevärt minskar risken för en större incident. Information: Använd en administratörsarbetsstationen. Välj en säkerhetsnivå för arbetsstationer:

  • Högsäkerhetsproduktivitetsenheter ger avancerad säkerhet för bläddring och andra produktivitetsuppgifter.
  • Arbetsstationer för privilegierad åtkomst (PAW) tillhandahåller ett dedikerat operativsystem som skyddas från Internetattacker och hotvektorer för känsliga uppgifter.

Bästa praxis: Avetablera administratörskonton när anställda lämnar din organisation. Information: Ha en process på plats som inaktiverar eller tar bort administratörskonton när anställda lämnar organisationen.

Bästa praxis: Testa regelbundet administratörskonton med hjälp av aktuella attacktekniker. Information: Använd Microsoft 365 en attacksimulator eller ett erbjudande från tredje part för att köra realistiska attackscenarier i din organisation. Detta kan hjälpa dig att hitta sårbara användare innan en verklig attack inträffar.

Bästa praxis: Vidta åtgärder för att minska de mest använda angripna teknikerna.
Information: Identifiera Microsoft-konton i administrativa roller som måste växlas till arbets- eller skolkonton

Se till att separata användarkonton och vidarebefordran av e-post för globala administratörskonton

Kontrollera att lösenorden för administrativa konton nyligen har ändrats

Aktivera synkronisering av lösenordshashar

Kräv multifaktorautentisering för användare i alla privilegierade roller samt exponerade användare

Hämta dina Microsoft 365 (om du använder Microsoft 365)

Granska Microsoft 365 säkerhetsvägledning (om du använder Microsoft 365)

Konfigurera Microsoft 365 aktivitetsövervakning (om du använder Microsoft 365)

Upprätta planägare för incidenter/nödfall

Skydda lokala privilegierade administrativa konton

Om du inte skyddar privilegierad åtkomst kanske du upptäcker att du har för många användare med hög behörighet och är mer sårbara för attacker. Illvilliga aktörer, inklusive cyberattacker, riktar ofta in sig på administratörskonton och andra delar av privilegierad åtkomst för att få åtkomst till känsliga data och system med hjälp av stöld av autentiseringsuppgifter.

Kontrollera platser där resurser skapas

Det är mycket viktigt att göra det möjligt för molnoperatörer att utföra uppgifter samtidigt som de förhindrar att de bryter mot konventioner som behövs för att hantera organisationens resurser. Organisationer som vill styra de platser där resurser skapas bör hårdkoda dessa platser.

Du kan använda Azure Resource Manager för att skapa säkerhetsprinciper vars definitioner beskriver de åtgärder eller resurser som uttryckligen nekas. Du tilldelar dessa principdefinitioner i önskat omfång, till exempel prenumerationen, resursgruppen eller en enskild resurs.

Anteckning

Säkerhetsprinciper är inte samma som Azure RBAC. De använder faktiskt Azure RBAC för att auktorisera användare att skapa dessa resurser.

Organisationer som inte styr hur resurser skapas är mer sårbara för användare som kan missbruka tjänsten genom att skapa fler resurser än de behöver. Att härda processen för resursskapande är ett viktigt steg för att skydda ett scenario med flera entenant.

Övervaka aktivt efter misstänkta aktiviteter

Ett aktivt identitetsövervakningssystem kan snabbt identifiera misstänkt beteende och utlösa en avisering för vidare undersökning. I följande tabell visas två Azure AD-funktioner som kan hjälpa organisationer att övervaka sina identiteter:

Bästa praxis: Ha en metod för att identifiera:

Information: Använd Azure AD Premium för avvikelserapporter. Ha processer och procedurer på plats för ATT IT-administratörer ska kunna köra rapporterna dagligen eller på begäran (vanligtvis i ett scenario med incidenter).

Bästa praxis: Ha ett aktivt övervakningssystem som meddelar dig om risker och kan justera risknivån (hög, medel eller låg) efter dina affärsbehov.
Information: Använd Azure AD Identity Protection, som flaggar de aktuella riskerna på sin egen instrumentpanel och skickar dagliga sammanfattningsmeddelanden via e-post. För att skydda organisationens identiteter kan du konfigurera riskbaserade principer som automatiskt svarar på identifierade problem när en angiven risknivå nås.

Organisationer som inte aktivt övervakar sina identitetssystem riskerar att kompromettera användarautentiseringsuppgifter. Utan vetskap om att misstänkta aktiviteter sker via dessa autentiseringsuppgifter kan organisationer inte minimera den här typen av hot.

Använda Azure AD för lagringsautentisering

Azure Storage har stöd för autentisering och auktorisering med Azure AD för Blob Storage och Queue Storage. Med Azure AD-autentisering kan du använda rollbaserad åtkomstkontroll i Azure för att bevilja specifika behörigheter till användare, grupper och program ned till omfånget för en enskild blobcontainer eller kö.

Vi rekommenderar att du använder Azure AD för att autentisera åtkomst till lagring.

Nästa steg

Se Metodtips och mönster för säkerhet i Azure för fler metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar dina molnlösningar med hjälp av Azure.