Fem steg för att skydda din identitetsinfrastruktur

Om du läser det här dokumentet är du medveten om betydelsen av säkerhet. Du bär förmodligen redan ansvaret för att skydda din organisation. Om du behöver övertyga andra om vikten av säkerhet kan du skicka dem för att läsa den senaste Microsoft Digital Defense-rapporten.

Det här dokumentet hjälper dig att få en säkrare hållning med hjälp av funktionerna i Azure Active Directory genom att använda en checklista i fem steg för att förbättra organisationens skydd mot cyberattacker.

Den här checklistan hjälper dig att snabbt distribuera kritiska rekommenderade åtgärder för att skydda din organisation omedelbart genom att förklara hur du:

  • Förbättra dina autentiseringsuppgifter
  • Minska din attackyta
  • Automatisera hotsvar
  • Använda molninformation
  • Aktivera självbetjäning för slutanvändare

Anteckning

Många av rekommendationerna i det här dokumentet gäller endast för program som har konfigurerats för att använda Azure Active Directory som identitetsprovider. Genom att konfigurera appar för enstaka Sign-On säkerställs fördelarna med principer för autentiseringsuppgifter, hotidentifiering, granskning, loggning och andra funktioner som läggs till i dessa program. Azure AD Application Management är grunden för alla dessa rekommendationer.

Rekommendationerna i det här dokumentet är anpassade till Identitetssäkerhetspoäng, en automatiserad utvärdering av din Azure AD klientorganisationens identitetssäkerhetskonfiguration. Organisationer kan använda sidan Identitetssäkerhetspoäng i Azure AD-portalen för att hitta luckor i den aktuella säkerhetskonfigurationen för att säkerställa att de följer microsofts aktuella metodtips för säkerhet. Genom att implementera varje rekommendation på sidan Säkerhetspoäng ökar poängen och gör att du kan spåra dina framsteg, samt hjälpa dig att jämföra implementeringen med andra organisationer med liknande storlek.

Azure portal window showing Identity Secure Score and some recommendations.

Anteckning

Vissa av de funktioner som rekommenderas här är tillgängliga för alla kunder, medan andra kräver en Azure AD Premium prenumeration. Mer information finns i Azure Active Directory prissättning och checklista för Azure AD distribution.

Innan du börjar: Skydda privilegierade konton med MFA

Innan du börjar den här checklistan ska du se till att du inte komprometteras när du läser den här checklistan. I Azure Active Directory observerar vi 50 miljoner lösenordsattacker dagligen, men bara 20 % av användarna och 30 % av de globala administratörerna använder starka autentiseringar som multifaktorautentisering (MFA). Statistiken baseras på data från och med augusti 2021. I Azure AD är användare som har privilegierade roller, till exempel administratörer, roten till förtroende för att skapa och hantera resten av miljön. Implementera följande metoder för att minimera effekterna av en kompromiss.

Angripare som får kontroll över privilegierade konton kan göra enorm skada, så det är viktigt att skydda dessa konton innan de fortsätter. Aktivera och kräva Azure AD Multi-Factor Authentication (MFA) för alla administratörer i din organisation med hjälp av Azure AD standardinställningar för säkerhet eller villkorsstyrdåtkomst. Det är kritiskt.

Är allt klart? Nu ska vi komma igång med checklistan.

Steg 1 – Stärka dina autentiseringsuppgifter

Även om andra typer av attacker växer fram, inklusive nätfiske av medgivande och attacker på icke-mänskliga identiteter, är lösenordsbaserade attacker på användaridentiteter fortfarande den vanligaste vektorn för identitetsintrång. Väletablerade spear phishing- och lösenordsspraykampanjer från angripare fortsätter att lyckas mot organisationer som ännu inte har implementerat multifaktorautentisering (MFA) eller andra skydd mot den här vanliga taktiken.

Som organisation måste du se till att dina identiteter verifieras och skyddas med MFA överallt. År 2020 identifierade FBI IC3 Report nätfiske som den främsta brottstypen för klagomål från offer. Antalet rapporter fördubblades jämfört med föregående år. Nätfiske utgör ett betydande hot mot både företag och individer, och nätfiske med autentiseringsuppgifter användes i många av de mest skadliga attackerna förra året. Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA) hjälper till att skydda åtkomsten till data och program, vilket ger ett annat säkerhetslager med hjälp av en andra form av autentisering. Organisationer kan aktivera multifaktorautentisering med villkorsstyrd åtkomst för att få lösningen att passa deras specifika behov. Ta en titt på den här distributionsguiden för att se hur du planerar, implementerar och distribuerar Azure AD MFA.

Kontrollera att din organisation använder stark autentisering

Om du enkelt vill aktivera den grundläggande nivån av identitetssäkerhet kan du använda aktiveringen med ett klick med Azure AD standardinställningar för säkerhet. Standardinställningar för säkerhet framtvingar Azure AD MFA för alla användare i en klientorganisation och blockerar inloggningar från äldre protokoll i hela klientorganisationen.

Om din organisation har Azure AD P1- eller P2-licenser kan du också använda arbetsboken för villkorlig åtkomst och rapportering för att identifiera luckor i konfigurationen och täckningen. Från dessa rekommendationer kan du enkelt stänga den här klyftan genom att skapa en princip med hjälp av den nya mallen för villkorsstyrd åtkomst. Mallar för villkorsstyrd åtkomst är utformade för att ge en enkel metod för att distribuera nya principer som överensstämmer med Microsofts rekommenderade metodtips, vilket gör det enkelt att distribuera vanliga principer för att skydda dina identiteter och enheter.

Börja förbjuda vanliga attackerade lösenord och inaktivera traditionell komplexitet och utgångsregler.

Många organisationer använder traditionella regler för förfallotid för komplexitet och lösenord. Microsofts forskning har visat att NIST-vägledningen visar att dessa principer gör att användarna väljer lösenord som är lättare att gissa sig till. Vi rekommenderar att du använder Azure AD lösenordsskydd en funktion för dynamiskt förbjudet lösenord med hjälp av det aktuella angriparens beteende för att förhindra användare från att ange lösenord som lätt kan gissas. Den här funktionen är alltid aktiverad när användare skapas i molnet, men är nu också tillgänglig för hybridorganisationer när de distribuerar Azure AD lösenordsskydd för Windows Server Active Directory. Dessutom rekommenderar vi att du tar bort förfalloprinciper. Lösenordsändring ger inga inneslutningsfördelar eftersom cyberbrottslingar nästan alltid använder autentiseringsuppgifter så snart de komprometterar dem. Se följande artikel för att Ange förfalloprincip för lösenord för din organisation.

Skydda mot läckta autentiseringsuppgifter och öka motståndskraften mot avbrott

Den enklaste och rekommenderade metoden för att aktivera molnautentisering för lokala katalogobjekt i Azure AD är att aktivera synkronisering av lösenordshash (PHS). Om din organisation använder en hybrididentitetslösning med direktautentisering eller federation bör du aktivera synkronisering av lösenordshash av följande två skäl:

  • Rapporten Användare med läckta autentiseringsuppgifter i Azure AD varnar för par med användarnamn och lösenord som har exponerats offentligt. En otrolig mängd lösenord läcker via nätfiske, skadlig kod och återanvändning av lösenord på webbplatser från tredje part som senare överträds. Microsoft hittar många av dessa läckta autentiseringsuppgifter och kommer i den här rapporten att berätta om de matchar autentiseringsuppgifterna i din organisation – men bara om du aktiverar synkronisering av lösenordshash eller har molnbaserade identiteter.
  • Om ett lokalt avbrott inträffar, till exempel en attack med utpressningstrojaner, kan du växla över till att använda molnautentisering med hash-synkronisering av lösenord. Med den här metoden för säkerhetskopieringsautentisering kan du fortsätta att komma åt appar som konfigurerats för autentisering med Azure Active Directory, inklusive Microsoft 365. I det här fallet behöver IT-personalen inte använda skugg-IT-konton eller personliga e-postkonton för att dela data förrän det lokala avbrottet har lösts.

Lösenord lagras aldrig i klartext eller krypteras med en reversibel algoritm i Azure AD. Mer information om den faktiska processen för synkronisering av lösenordshash finns i Detaljerad beskrivning av hur synkronisering av lösenordshash fungerar.

Implementera smart utelåsning för AD FS-extranät

Smart utlåsning hjälper till att låsa ute illasinnade aktörer som försöker gissa dina användares lösenord eller använda råstyrkemetoder för att komma in. Smart utlåsning kan identifiera inloggningar som kommer från giltiga användare och behandla dem på ett annat sätt än angripare och andra okända källor. Angripare blir utelåsta medan användarna kan komma åt sina konton och vara produktiva. Organisationer som konfigurerar program för att autentisera direkt till Azure AD dra nytta av Azure AD smart utelåsning. Federerade distributioner som använder AD FS 2016 och AD FS 2019 kan aktivera liknande fördelar med ad FS-extranätsutelåsning och smart extranätsutelåsning.

Steg 2 – Minska din attackyta

Med tanke på hur omfattande lösenordsintrång är är det viktigt att minimera angreppsytan i din organisation. Inaktivera användningen av äldre, mindre säkra protokoll, begränsa åtkomstpunkter, flytta till molnautentisering och utöva större kontroll över administrativ åtkomst till resurser och implementera Nolltillit säkerhetsprinciper.

Använda molnautentisering

Autentiseringsuppgifter är en primär attackvektor. Metoderna i den här bloggen kan minska attackytan genom att använda molnautentisering, distribuera MFA och använda lösenordslösa autentiseringsmetoder. Du kan distribuera lösenordslösa metoder, till exempel Windows Hello för företag, Telefon logga in med Microsoft Authenticator-appen eller FIDO.

Blockera äldre autentisering

Appar som använder sina egna äldre metoder för att autentisera med Azure AD och komma åt företagsdata utgör en annan risk för organisationer. Exempel på appar som använder äldre autentisering är POP3-, IMAP4- eller SMTP-klienter. Äldre autentiseringsappar autentiseras för användarens räkning och förhindrar Azure AD från att göra avancerade säkerhetsutvärderingar. Alternativet modern autentisering minskar säkerhetsrisken eftersom den stöder multifaktorautentisering och villkorsstyrd åtkomst.

Vi rekommenderar följande åtgärder:

  1. Identifiera äldre autentisering i din organisation med Azure AD Sign-In-loggar och Log Analytics-arbetsböcker.
  2. Konfigurera SharePoint Online och Exchange Online för att använda modern autentisering.
  3. Om du har Azure AD Premium licenser använder du principer för villkorsstyrd åtkomst för att blockera äldre autentisering. Använd standardinställningar för Azure AD säkerhet för Azure AD kostnadsfri nivå.
  4. Blockera äldre autentisering om du använder AD FS.
  5. Blockera äldre autentisering med Exchange Server 2019.
  6. Inaktivera äldre autentisering i Exchange Online.

Mer information finns i artikeln Blockera äldre autentiseringsprotokoll i Azure AD.

Blockera ogiltiga startpunkter för autentisering

Med principen verifiera explicit bör du minska effekten av komprometterade användarautentiseringsuppgifter när de inträffar. För varje app i din miljö bör du överväga giltiga användningsfall: vilka grupper, vilka nätverk, vilka enheter och andra element som har behörighet – och blockera sedan resten. Med Azure AD villkorlig åtkomst kan du styra hur behöriga användare får åtkomst till sina appar och resurser baserat på specifika villkor som du definierar.

Mer information om hur du använder villkorsstyrd åtkomst för dina Molnappar och användaråtgärder finns i Molnappar för villkorsstyrd åtkomst, åtgärder och autentiseringskontext.

Granska och styra administratörsroller

En annan Nolltillit pelare är behovet av att minimera sannolikheten för att ett komprometterat konto kan fungera med en privilegierad roll. Den här kontrollen kan utföras genom att tilldela minsta möjliga behörighet till en identitet. Om du inte har använt Azure AD Roller tidigare hjälper den här artikeln dig att förstå Azure AD roller.

Privilegierade roller i Azure AD bör endast vara molnkonton för att isolera dem från lokala miljöer och inte använda lokala lösenordsvalv för att lagra autentiseringsuppgifterna.

Implementera Privilege Access Management

Privileged Identity Management (PIM) ger en tidsbaserad och godkännandebaserad rollaktivering för att minska risken för överdriven, onödig eller missbrukad åtkomstbehörighet till viktiga resurser. Dessa resurser omfattar resurser i Azure Active Directory (Azure AD), Azure och andra Microsoft Online-tjänster som Microsoft 365 eller Microsoft Intune.

Azure AD Privileged Identity Management (PIM) hjälper dig att minimera kontoprivilegier genom att hjälpa dig:

  • Identifiera och hantera användare som tilldelats administrativa roller.
  • Förstå oanvända eller överdrivna behörighetsroller som du bör ta bort.
  • Upprätta regler för att se till att privilegierade roller skyddas av multifaktorautentisering.
  • Upprätta regler för att se till att privilegierade roller bara beviljas tillräckligt länge för att utföra den privilegierade uppgiften.

Aktivera Azure AD PIM, visa sedan de användare som har tilldelats administrativa roller och ta bort onödiga konton i dessa roller. För återstående privilegierade användare flyttar du dem från permanent till berättigad. Slutligen upprättar du lämpliga principer för att se till att de kan göra det på ett säkert sätt med nödvändig ändringskontroll när de behöver få åtkomst till dessa privilegierade roller.

Azure AD inbyggda och anpassade roller fungerar på begrepp som liknar roller som finns i det rollbaserade åtkomstkontrollsystemet för Azure-resurser (Azure-roller). Skillnaden mellan dessa två rollbaserade åtkomstkontrollsystem är:

  • Azure AD roller styr åtkomsten till Azure AD resurser som användare, grupper och program som använder Microsoft Graph API
  • Azure-roller styr åtkomsten till Azure-resurser, till exempel virtuella datorer eller lagring med Hjälp av Azure Resource Management

Båda systemen innehåller lika använda rolldefinitioner och rolltilldelningar. Men Azure AD rollbehörigheter kan inte användas i anpassade Azure-roller och vice versa. Som en del av distributionen av din privilegierade kontoprocess följer du bästa praxis för att skapa minst två nödkonton för att se till att du fortfarande har åtkomst till Azure AD om du låser dig själv.

Mer information finns i artikeln Planera en Privileged Identity Management distribution och skydda privilegierad åtkomst.

Det är viktigt att förstå de olika Azure AD programmedgivandeupplevelser, vilka typer av behörigheter och medgivande som påverkar organisationens säkerhetsstatus. Även om användarna kan godkänna sig själva gör det möjligt för användare att enkelt skaffa användbara program som integreras med Microsoft 365, Azure och andra tjänster, kan det utgöra en risk om de inte används och övervakas noggrant.

Microsoft rekommenderar att du begränsar användarens medgivande för att endast tillåta slutanvändarmedgivande för appar från verifierade utgivare och endast för behörigheter som du väljer. Om slutanvändarmedgivandet är begränsat kommer tidigare medgivande att fortfarande respekteras, men alla framtida medgivandeåtgärder måste utföras av en administratör. I begränsade fall kan användare begära administratörsmedgivande via ett integrerat arbetsflöde för begäran om administratörsmedgivande eller genom dina egna supportprocesser. Innan du begränsar slutanvändarmedgivande bör du använda våra rekommendationer för att planera den här ändringen i din organisation. För program som du vill ge alla användare åtkomst till bör du överväga att bevilja medgivande för alla användares räkning och se till att användare som ännu inte har samtyckt individuellt kommer att kunna komma åt appen. Om du inte vill att dessa program ska vara tillgängliga för alla användare i alla scenarier använder du programtilldelning och villkorsstyrd åtkomst för att begränsa användaråtkomsten till specifika appar.

Se till att användarna kan begära administratörsgodkännande för nya program för att minska användarfriktionen, minimera supportvolymen och förhindra användare från att registrera sig för program med icke-Azure AD autentiseringsuppgifter. När du har reglerat dina medgivandeåtgärder bör administratörer regelbundet granska app- och medgivandebehörigheter.

Mer information finns i artikeln Azure Active Directory ramverk för medgivande.

Steg 3 – Automatisera hotsvar

Azure Active Directory har många funktioner som automatiskt fångar upp attacker för att ta bort svarstiden mellan identifiering och svar. Du kan minska kostnaderna och riskerna när du minskar tiden som brottslingar använder för att bädda in sig i din miljö. Här är de konkreta steg du kan vidta.

Mer information finns i artikeln Så här: Konfigurera och aktivera riskprinciper.

Implementera inloggningsriskprincip

En inloggningsrisk är sannolikheten att en viss autentiseringsbegäran inte auktoriserats av identitetsägaren. En riskbaserad princip för inloggning kan implementeras genom att lägga till ett inloggningsrisktillstånd i dina principer för villkorsstyrd åtkomst som utvärderar risknivån för en viss användare eller grupp. Baserat på risknivån (hög/medel/låg) kan en princip konfigureras för att blockera åtkomst eller tvinga multifaktorautentisering. Vi rekommenderar att du framtvingar multifaktorautentisering på medelstora eller högre riskfyllda inloggningar.

Conditional Access policy requiring MFA for medium and high risk sign-ins.

Implementera säkerhetsprincip för användarrisk

Användarrisk anger sannolikheten för att en användares identitet har komprometterats och beräknas baserat på de användarriskidentifieringar som är associerade med en användares identitet. En användarriskbaserad princip kan implementeras genom att lägga till ett användarriskvillkor i dina principer för villkorsstyrd åtkomst som utvärderar risknivån för en viss användare. Baserat på låg, medelhög och hög risknivå kan en princip konfigureras för att blockera åtkomst eller kräva en säker lösenordsändring med multifaktorautentisering. Microsofts rekommendation är att kräva en säker lösenordsändring för användare med hög risk.

Conditional Access policy requiring password change for high risk users.

I identifieringen av användarrisk ingår en kontroll av om användarens autentiseringsuppgifter matchar autentiseringsuppgifter som läckts av cyberbrottslingar. För att fungera optimalt är det viktigt att implementera synkronisering av lösenordshash med Azure AD Anslut synkronisering.

Integrera Microsoft 365 Defender med Azure AD Identity Protection

För att Identity Protection ska kunna utföra bästa möjliga riskidentifiering måste det få så många signaler som möjligt. Det är därför viktigt att integrera hela sviten med Microsoft 365 Defender tjänster:

  • Microsoft Defender för slutpunkter
  • Microsoft Defender for Office 365
  • Microsoft Defender for Identity
  • Microsoft Defender för Cloud Apps

Läs mer om Microsoft Threat Protection och vikten av att integrera olika domäner i följande korta video.

Konfigurera övervakning och aviseringar

Det är viktigt att övervaka och granska loggarna för att identifiera misstänkt beteende. Azure Portal har flera sätt att integrera Azure AD loggar med andra verktyg, till exempel Microsoft Sentinel, Azure Monitor och andra SIEM-verktyg. Mer information finns i Azure Active Directory säkerhetsåtgärdsguide.

Steg 4 – Använda molninformation

Granskning och loggning av säkerhetsrelaterade händelser och relaterade aviseringar är viktiga komponenter i en effektiv skyddsstrategi. Säkerhetsloggar och rapporter ger dig en elektronisk post med misstänkta aktiviteter och hjälper dig att identifiera mönster som kan tyda på försök eller lyckad extern intrång i nätverket och interna attacker. Du kan använda granskning för att övervaka användaraktivitet, dokumentera regelefterlevnad, utföra kriminalteknisk analys med mera. Aviseringar ger meddelanden om säkerhetshändelser. Kontrollera att du har en kvarhållningsprincip för loggar för både inloggningsloggar och granskningsloggar för Azure AD genom att exportera till Azure Monitor eller ett SIEM-verktyg.

Övervaka Azure AD

Microsoft Azure tjänster och funktioner ger dig konfigurerbara alternativ för säkerhetsgranskning och loggning som hjälper dig att identifiera luckor i dina säkerhetsprinciper och mekanismer och åtgärda dessa luckor för att förhindra överträdelser. Du kan använda Azure-loggning och granskning och använda granskningsaktivitetsrapporter i Azure Active Directory portalen. Mer information om övervakning av användarkonton, privilegierade konton, appar och enheter finns i guiden Azure AD Säkerhetsåtgärder.

Övervaka Azure AD Anslut Health i hybridmiljöer

Genom att övervaka AD FS med Azure AD Anslut Health får du bättre inblick i potentiella problem och synlighet för attacker på din AD FS-infrastruktur. Du kan nu visa ADFS-inloggningar för att ge mer djup för din övervakning. Azure AD Anslut Health levererar aviseringar med information, lösningssteg och länkar till relaterad dokumentation, användningsanalys för flera mått som rör autentiseringstrafik, prestandaövervakning och rapporter. Använd den riskfyllda IP-arbetsboken för ADFS som kan hjälpa dig att identifiera normen för din miljö och avisering när det sker en ändring. All hybridinfrastruktur bör övervakas som en nivå 0-tillgång. Detaljerad övervakningsvägledning för dessa tillgångar finns i säkerhetsåtgärdsguiden för infrastruktur.

Övervaka Azure AD Identity Protection-händelser

Azure AD Identity Protection innehåller två viktiga rapporter som du bör övervaka dagligen:

  1. Riskfyllda inloggningsrapporter visar användarinloggningsaktiviteter som du bör undersöka, och den legitima ägaren kanske inte har utfört inloggningen.
  2. Riskfyllda användarrapporter visar användarkonton som kan ha komprometterats, till exempel läckta autentiseringsuppgifter som har identifierats eller användaren som loggats in från olika platser som orsakar en omöjlig resehändelse.

Overview charts of activity in Identity Protection in the Azure portal.

Granska appar och medgivandebehörigheter

Användare kan luras att navigera till en komprometterad webbplats eller appar som får åtkomst till deras profilinformation och användardata, till exempel deras e-post. En illvillig aktör kan använda de medgivande behörigheter som den har fått för att kryptera sitt postlådeinnehåll och kräva en lösensumma för att återfå dina postlådedata. Administratörer bör granska och granska de behörigheter som ges av användarna. Förutom att granska de behörigheter som användarna ger kan du hitta riskfyllda eller oönskade OAuth-program i premiummiljöer.

Steg 5 – Aktivera självbetjäning för slutanvändare

Så mycket som möjligt vill du balansera säkerheten med produktiviteten. När du närmar dig din resa med tankesättet att du skapar en grund för säkerhet kan du ta bort friktionen från din organisation genom att ge användarna möjlighet att vara vaksamma och minska dina driftkostnader.

Implementera självbetjäning av lösenordsåterställning

Azure AD självbetjäning av lösenordsåterställning (SSPR) är ett enkelt sätt för IT-administratörer att tillåta användare att återställa eller låsa upp sina lösenord eller konton utan hjälpdesk eller administratörsintervention. Systemet innehåller detaljerad rapportering som spårar när användare har återställt sina lösenord, tillsammans med meddelanden för att varna dig för missbruk eller missbruk.

Implementera självbetjäningsgrupp och programåtkomst

Azure AD kan tillåta icke-administratörer att hantera åtkomst till resurser, med hjälp av säkerhetsgrupper, Microsoft 365 grupper, programroller och åtkomstpaketkataloger. Grupphantering med självbetjäning gör det möjligt för gruppägare att hantera sina egna grupper utan att behöva tilldelas en administrativ roll. Användare kan också skapa och hantera Microsoft 365 grupper utan att förlita sig på administratörer för att hantera sina begäranden, och oanvända grupper upphör att gälla automatiskt. Azure AD berättigandehantering möjliggör ytterligare delegering och synlighet, med omfattande arbetsflöden för åtkomstbegäran och automatisk förfallotid. Du kan delegera till icke-administratörer möjligheten att konfigurera egna åtkomstpaket för grupper, Teams, program och SharePoint Online-webbplatser som de äger, med anpassade principer för vem som måste godkänna åtkomst, inklusive att konfigurera anställdas chefer och affärspartnersponsorer som godkännare.

Implementera Azure AD åtkomstgranskningar

Med Azure AD åtkomstgranskningar kan du hantera åtkomstpaket och gruppmedlemskap, åtkomst till företagsprogram och privilegierade rolltilldelningar för att säkerställa att du upprätthåller en säkerhetsstandard. Regelbunden tillsyn av användarna själva, resursägare och andra granskare säkerställer att användarna inte behåller åtkomsten under längre tidsperioder när de inte längre behöver den.

Implementera automatisk användaretablering

Etablering och avetablering är de processer som säkerställer konsekvens för digitala identiteter i flera system. Dessa processer tillämpas vanligtvis som en del av identitetslivscykelhantering.

Etablering är processerna för att skapa en identitet i ett målsystem baserat på vissa villkor. Avetablering är processen att ta bort identiteten från målsystemet, när villkoren inte längre uppfylls. Synkronisering är processen för att hålla det etablerade objektet uppdaterat så att källobjektet och målobjektet ser likadana ut.

Azure AD tillhandahåller för närvarande tre områden för automatisk etablering. De är:

Läs mer här: Vad är etablering med Azure Active Directory?

Sammanfattning

Det finns många aspekter av en säker identitetsinfrastruktur, men den här femstegschecklistan hjälper dig att snabbt uppnå en säkrare och säker identitetsinfrastruktur:

  • Stärka dina autentiseringsuppgifter
  • Minska attackytan
  • Automatisera hotsvar
  • Använda molninformation
  • Aktivera självbetjäning för slutanvändare

Vi förstår hur allvarligt du tar säkerheten och hoppas att det här dokumentet är en användbar översikt över en säkrare hållning för din organisation.

Nästa steg

Om du behöver hjälp med att planera och distribuera rekommendationerna kan du läsa Azure AD projektdistributionsplaner för hjälp.

Om du är säker på att alla dessa steg är slutförda använder du Microsofts säkerhetspoäng för identiteter, vilket håller dig uppdaterad med de senaste metodtipsen och säkerhetshoten.