Steg 3: Skydda Microsoft 365-användarkonton

Så här ökar du säkerheten för användarinloggningar:

  • Använda Windows Hello för företag
  • Använd Azure Active Directory (Azure AD) lösenordsskydd
  • Använd multifaktorautentisering (MFA)
  • Distribuera identitet och enhetsåtkomst konfigurationer
  • Skydda mot referens kompromiss med Azure AD Identity Protection

Windows Hello för företag

Windows Hello för företag i Windows 10 Enterprise ersätter lösenord med stark tvåfaktorsautentisering när du loggar in på en Windows-enhet. De två faktorerna är en ny typ av användaruppgifter som är kopplade till en enhet och ett biometriskt attribut eller en PIN-kod.

Mer information finns i Översikt över Windows Hello för företag.

Azure AD-lösenordsskydd

Azure AD Password Protection upptäcker och blockerar kända svaga lösenord och deras varianter och kan också blockera ytterligare svaga termer som är specifika för din organisation. Standard globala förbjudna lösenordslistor tillämpas automatiskt på alla användare i en Azure AD-klient. Du kan definiera ytterligare poster i en anpassad förbjuden lösenordslista. När användare ändrar eller återställer sina lösenord kontrolleras dessa förbjudna lösenordslistor för att använda starka lösenord.

Mer information finns i Konfigurera Azure AD-lösenordsskydd.

MFA

MFA kräver att användarinloggningar underkastas en ytterligare verifiering utöver lösenordet för användarkontot. Även om en användare som vill vålla skada bestämmer ett lösenord för ett användarkonto, måste de också kunna svara på en ytterligare verifiering, till exempel ett textmeddelande som skickas till en smartphone innan åtkomst beviljas.

Rätt lösenord plus extra verifiering gör att inloggningen lyckas.

Ditt första steg i att använda MFA är att kräva det för alla administratörskonton, även kända som privilegierade konton. Utöver detta första steg rekommenderar Microsoft MFA för alla användare.

Det finns tre sätt till att kräva att dina användare ska använda MFA baserat på ditt Microsoft 365-abonnemang.

Planera Rekommendation
Alla Microsoft 365-abonnemang (utan Azure Active Directory Premium P1- eller P2-licenser) Aktivera standardinställningar för säkerhet i Azure AD. Standardinställningar för säkerhet i Azure AD inkluderar MFA för användare och administratörer.
Microsoft 365 E3 (inkluderar Azure Active Directory Premium P1-licenser) Använd de vanliga principerna för villkorsstyrd åtkomst för att konfigurera följande principer:
- Kräv MFA för administratörer
- Kräv MFA för alla användare
- Blockera äldre autentisering
Microsoft 365 E5 (inkluderar Azure Active Directory Premium P2-licenser) Dra nytta av Azure AD Identity Protection och börja implementera Microsofts rekommenderade uppsättning av villkorsstyrd åtkomst och relaterade principer genom att skapa de två principerna:
- Kräv MFA när inloggningsrisker är medel eller hög
- Användare med hög risk måste byta lösenord

Standardinställningar för säkerhet

Standardinställningar för säkerhet är en ny funktion för Microsoft 365 och Office 365, betalade eller utvärderingsprenumerationer skapade efter den 21 oktober 2019. De här prenumerationerna har aktiverat standardinställningar för säkerhet som kräver att alla dina användare ska använda MFA med programmet Microsoft Authenticator-appen.

Användare har 14 dagar på sig att registrera sig för MFA med Microsoft Authenticator-appen från sina smartphones, som börjar från första gången de loggar in efter att standardinställningar för säkerhet har aktiverats. Efter 14 dagar kommer användaren inte att kunna logga in förrän MFA-registreringen är klar.

Standardinställningar för säkerhet säkerställer att alla organisationer har en grundläggande säkerhetsnivå för användarinloggning som är aktiverad som standard. Du kan inaktivera standardinställningar för säkerhet till förmån för MFA med Principer för villkorsstyrd åtkomst eller för enskilda konton.

Mer information finns i översikt av säkerhetsstandarder.

Principer för villkorsstyrd åtkomst

Policyer för villkorlig åtkomst är en uppsättning regler som anger villkoren för att inloggningar utvärderas och åtkomst beviljas. Du kan till exempel skapa en princip för villkorsstyrd åtkomst som anger:

  • Om användarkontonamnet är medlem i en grupp för användare som har tilldelats rollerna Exchange, användare, lösenord, säkerhet, SharePoint, Exchange-administratör, SharePoint-administratör eller Global administratör måste du ha MFA innan du tillåter åtkomst.

Med den här principen kan du kräva MFA baserat på gruppmedlemskap, i stället för att försöka konfigurera enskilda användarkonton för MFA när de tilldelas eller tas bort från dessa administratörsroller.

Du kan också använda principer för villkorsstyrd åtkomst för mer avancerade funktioner, t. ex. krav på att inloggningen görs från en kompatibel enhet, t. ex. en bärbar dator med Windows 10.

Villkorsstyrd åtkomst kräver Azure Active Directory Premium P1-licens som ingår i Microsoft 365 E3 och E5.

Mer information finns i översikt av villkorsstyrd åtkomst.

Använda dessa metoder tillsammans

Tänk på följande:

  • Du kan inte aktivera standardinställningar för säkerhet om du har aktiverat principer för villkorsstyrd åtkomst.
  • Du kan inte aktivera principer för villkorsstyrd åtkomst om du har aktiverat standardinställningar för säkerhet.

Om standardinställningar för säkerhet är aktiverade, blir alla nya användare ombedda att registrera sig och använda Microsoft Authenticator-appen.

I den här tabellen visas resultatet av att aktivera MFA med standardinställningar för säkerhet och principer för villkorsstyrd åtkomst.

Metod Aktiverad Inaktiverad Ytterligare autentiseringsmetod
Standardinställningar för säkerhet Det går inte att använda principer för villkorsstyrd åtkomst Det går att använda principer för villkorsstyrd åtkomst Microsoft Authenticator-appen
Principer för villkorsstyrd åtkomst Om några är aktiverade kan du inte aktivera standardinställningar för säkerhet Om alla är inaktiverade kan du aktivera standardinställningar för säkerhet Användare anger under MFA-registrering

Noll förtroende-konfigurationer för identitets- och enhetsåtkomst

Inställningar och principer för Noll förtroende-identitet och enhetsåtkomst rekommenderas för funktioner och deras inställningar i kombination med villkorsstyrd åtkomst, Intune och Azure AD Identity Protection-principer som bestämmer om en viss åtkomstbegäran ska beviljas och under vilka villkor. Denna bestämning baseras på användarkontot för inloggningen, den enhet som används, appen som användaren använder för åtkomst, platsen från vilken begäran om åtkomst görs och en bedömning av risken för begäran. Denna funktion hjälper till att säkerställa att endast godkända användare och enheter kan komma åt dina kritiska resurser.

Anteckning

För Azure Active Directory Identity Protection krävs Azure Active Directory Premium P2-licenser, som ingår i Microsoft 365 E5.

Policyer för identitets- och enhetsåtkomst definieras för att användas i tre nivåer:

  • Baslinjeskydd är en minsta säkerhetsnivå för dina identiteter och enheter som har åtkomst till dina appar och data.
  • Känsligt skydd ger ytterligare säkerhet för specifika data. Identiteter och enheter är föremål för högre säkerhetsnivåer och krav på enhetens hälsa.
  • Skydd för miljöer med högt reglerad eller sekretessbelagd information gäller typiskt små mängder data som är mycket klassificerade, innehåller affärshemligheter eller är föremål för dataregler. Identiteter och enheter är föremål för mycket högre säkerhetsnivåer och krav på enhetens hälsa.

Dessa nivåer och deras motsvarande konfigurationer ger konsekventa skyddsnivåer för dina data, identiteter och enheter.

Microsoft rekommenderar att du konfigurerar och distribuerar principer för Noll förtroende-identitet och enhetsåtkomst i organisationen, inklusive specifika inställningar för Microsoft Teams, Exchange Online och SharePoint. Mer information finns i Konfigurationer av Noll förtroende-identitet och enhetsåtkomst.

Azure AD Identity Protection

I det här avsnittet får du lära dig hur du konfigurerar principer som skyddar mot obehörig inloggning, där en angripare bestämmer en användares kontonamn och lösenord för att få åtkomst till organisationens molntjänster och data. Azure AD Identity Protection tillhandahåller ett antal olika sätt som förhindrar att en obehörig angripare kan kompromettera användarkontots inloggningsuppgifter.

Med Azure AD Identity Protection kan du:

Funktion Beskrivning
Fastställa och åtgärda potentiella säkerhetsproblem i organisationens identiteter I Azure AD används maskininlärning för att identifiera avvikelser och misstänkt aktivitet, till exempel inloggningar och aktiviteter efter inloggning. Med dessa data genererar Azure AD Identity Protection rapporter och aviseringar som hjälper dig att utvärdera problem och vidta åtgärder.
Identifiera misstänkta åtgärder som är relaterade till organisationens identitet och svara på dem automatiskt Du kan konfigurera riskbaserade principer som automatiskt reagerar på problem som upptäcks när en viss risknivå har uppnåtts. Dessa principer, förutom andra kontroller för villkorsstyrd åtkomst i Azure AD och Microsoft Intune, kan antingen automatiskt blockera åtkomst eller utföra korrigeringsåtgärder, t.ex. återställning av lösenord och krav på multifaktorautentisering för efterföljande inloggningar.
Undersök misstänkta händelser och åtgärda dem med administrativa åtgärder Du kan undersöka riskhändelser med hjälp av information om säkerhetshändelsen. Enkla arbetsflöden är tillgängliga för att spåra undersökningar och initiera åtgärder för reparationer, som återställning av lösenord.

Se mer information om Azure AD Identity Protection.

Se stegen för att aktivera Azure AD Identity Protection.

Administrera tekniska resurser för MFA och säkra inloggningar

Nästa steg

Distribuera din identitetsmodell

Fortsätt med steg 4 för att distribuera identitetsinfrastrukturen baserat på den valda identitetsmodellen: