Planera standardinställningar för säkerhet

  • 2 minuter

Det kan vara svårt att hantera säkerheten med vanliga identitetsrelaterade attacker som lösenordsspray, återspelning och nätfiske som blir mer och mer populära. Standardinställningar för säkerhet ger säkra standardinställningar som Microsoft hanterar åt organisationer för att skydda kunderna tills organisationer är redo att hantera sin egen identitetssäkerhetshistoria. Standardinställningar för säkerhet ger förkonfigurerade säkerhetsinställningar, till exempel:

  • Kräver att alla användare registrerar sig för multifaktorautentisering.

  • Kräver att administratörer utför multifaktorautentisering.

  • Blockerar äldre autentiseringsprotokoll.

  • Kräva att användare utför multifaktorautentisering vid behov.

  • Skydda privilegierade aktiviteter som åtkomst till Azure-portalen.

    Screenshot of the Microsoft Entra admin center with the toggle to enable security defaults.

Tillgänglighet

Microsofts säkerhetsstandarder är tillgängliga för alla. Målet är att säkerställa att alla organisationer har en grundläggande säkerhetsnivå aktiverad utan extra kostnad. Du aktiverar standardinställningar för säkerhet i Azure-portalen. Om din klientorganisation skapades den 22 oktober 2019 eller senare är det möjligt att säkerhetsstandarder redan är aktiverade i klientorganisationen. För att skydda alla våra användare distribueras standardfunktionen för säkerhet till alla nya klienter som skapas.

Vem är det för?

Vem ska använda standardinställningar för säkerhet? Vem ska inte använda standardinställningar för säkerhet?
Organisationer som vill öka sin säkerhetsstatus men inte vet hur eller var de ska börja Organisationer som för närvarande använder principer för villkorsstyrd åtkomst för att samla signaler, fatta beslut och tillämpa organisationsprinciper
Organisationer som använder den kostnadsfria nivån för Microsoft Entra ID-licensiering Organisationer med Microsoft Entra ID Premium-licenser
Organisationer med komplexa säkerhetskrav som garanterar användning av villkorsstyrd åtkomst

Principer som tillämpas

Registrering av enhetlig multifaktorautentisering

Alla användare i din klientorganisation måste registrera sig för multifaktorautentisering (MFA) i form av multifaktorautentisering. Användare har 14 dagar på sig att registrera sig för multifaktorautentisering i Microsoft Entra-ID med hjälp av Microsoft Authenticator-appen. När de 14 dagarna har passerat kan användaren inte logga in förrän registreringen har slutförts. En användares 14-dagarsperiod börjar efter den första lyckade interaktiva inloggningen efter aktivering av standardinställningar för säkerhet.

Skydda administratörer

Användare med privilegierad åtkomst har ökad åtkomst till din miljö. På grund av den makt dessa konton har bör du behandla dem med särskild försiktighet. En vanlig metod för att förbättra skyddet av privilegierade konton är att kräva en starkare form av kontoverifiering för inloggning. I Microsoft Entra-ID kan du få en starkare kontoverifiering genom att kräva multifaktorautentisering.

När registreringen med multifaktorautentisering har slutförts måste följande nio Microsoft Entra-administratörsroller utföra ytterligare autentisering varje gång de loggar in:

  • Global administratör för
  • SharePoint-administratör
  • Exchange-administratör
  • Administratör för villkorsstyrd åtkomst
  • Säkerhetsadministratör
  • Supportadministratör
  • Faktureringsadministratör
  • Användaradministratör
  • Autentiseringsadministratör

Skydda alla användare

Vi tenderar att tro att administratörskonton är de enda konton som behöver extra autentiseringsnivåer. Administratörer har bred åtkomst till känslig information och kan göra ändringar i prenumerationsomfattande inställningar. Men angripare riktar ofta in sig på slutanvändare.

När dessa angripare har fått åtkomst kan de begära åtkomst till privilegierad information för den ursprungliga kontoinnehavarens räkning. De kan till och med ladda ned hela katalogen för att utföra en nätfiskeattack i hela organisationen.

En vanlig metod för att förbättra skyddet för alla användare är att kräva en starkare form av kontoverifiering, till exempel multifaktorautentisering, för alla. När användarna har slutfört registreringen av multifaktorautentisering uppmanas de att utföra ytterligare autentisering när det behövs. Den här funktionen skyddar alla program som registrerats med Microsoft Entra-ID, inklusive SaaS-program.

Blockera äldre autentisering

För att ge användarna enkel åtkomst till dina molnappar stöder Microsoft Entra-ID en mängd olika autentiseringsprotokoll, inklusive äldre autentisering. Äldre autentisering är en autentiseringsbegäran som görs av:

  • Klienter som inte använder modern autentisering (till exempel en Office 2010-klient). Modern autentisering omfattar klienter som implementerar protokoll, till exempel OAuth 2.0, för att stödja funktioner som multifaktorautentisering och smartkort. Äldre autentisering stöder vanligtvis bara mindre säkra mekanismer som lösenord.
  • Klient som använder e-postprotokoll som IMAP, SMTP eller POP3.

I dag kommer de flesta komprometterande inloggningsförsök från äldre autentisering. Äldre autentisering stöder inte multifaktorautentisering. Även om du har en princip för multifaktorautentisering aktiverad i din katalog kan en angripare autentisera med hjälp av ett äldre protokoll och kringgå multifaktorautentisering.

När standardinställningarna för säkerhet har aktiverats i klientorganisationen blockeras alla autentiseringsbegäranden som görs av ett äldre protokoll. Standardinställningar för säkerhet blockerar grundläggande Exchange Active Sync-autentisering.