Steg 3. Skydda identiteter
Använd följande avsnitt för att skydda organisationen från kompromettering av autentiseringsuppgifter, som vanligtvis är det första steget i en större utpressningstrojanattack.
Öka inloggningssäkerheten
Använd lösenordsfri autentisering för användarkonton i Azure Active Directory (Azure AD).
Använd följande metodtips för användarkonton som fortfarande använder lösenordsautentisering under övergången till lösenordsfri autentisering:
- Blockera kända svaga och anpassade lösenord med Azure AD lösenordsskydd.
- Utvidga blockering av kända svaga och anpassade lösenord till dina lokala Active Directory Domain Services (AD DS) med Azure AD lösenordsskydd.
- Tillåt användarna att ändra sina egna lösenord med lösenordsåterställning via självbetjäning (SSPR).
Därefter implementerar du Vanliga principer för identitets- och enhetsåtkomst. De här principerna ger högre säkerhet för åtkomst till Microsoft 365 molntjänster.
Vid användarinloggningar omfattar dessa principer:
- Krav på multifaktorautentisering (MFA) för prioritetskonton (omedelbart) och så småningom alla användarkonton.
- Krav på användning av MFA för inloggningar med hög risk.
- Krav på ändring av lösenord för högriskanvändare med inloggningar med hög risk.
Förhindra privilegieeskalering
Använd de här metodtipsen:
- Implementera principen om minsta behörighet och använd lösenordsskydd enligt beskrivningen i Öka inloggningssäkerheten för de användarkonton som fortfarande använder lösenord för sina inloggningar.
- Undvik att använda domänomfattande tjänstkonton på administratörsnivå.
- Begränsa lokala administratörsrättigheter för att begränsa installationen av trojanska fjärråtkomstprogram (Remote Access Trojans, RATs) och andra oönskade program.
- Använd villkorsstyrd åtkomst i Azure AD för att uttryckligen verifiera förtroendet hos användare och arbetsstationer innan du tillåter åtkomst till administrativa portaler. Se det här exemplet för Azure Portal.
- Aktivera lösenordshantering för lokal administratör.
- Avgör var konton med privilegierad åtkomst loggar in och exponerar autentiseringsuppgifter. Konton med privilegierad åtkomst bör inte finnas på arbetsstationer.
- Inaktivera den lokala lagringen av lösenord och autentiseringsuppgifter.
Påverkan på användare och ändringshantering
Du måste göra användarna i organisationen medvetna om följande:
- De nya kraven för starkare lösenord.
- Ändringar i inloggningsprocesserna, till exempel kraven på användning av MFA och registrering med MFA sekundär autentiseringsmetod.
- Användningen av lösenordsunderhåll med SSPR. Exempelvis inga fler samtal till supporten för återställning av lösenord.
- Uppmaningen att kräva MFA eller lösenordsändring för inloggningar som betraktas som riskfyllda.
Konfigurationsresultat
Här är utpressningstrojanskyddet för din klientorganisation för steg 1-3.

Nästa steg
Fortsätt med steg 4 för att skydda enheter (slutpunkter) i Microsoft 365-klientorganisationen.
