Výchozí nastavení zabezpečení v Microsoft Entra ID

Výchozí nastavení zabezpečení usnadňují ochranu vaší organizace před útoky souvisejícími s identitami, jako jsou útoky typu password spray, replay a phishing, které jsou v dnešních prostředích běžné.

Společnost Microsoft zpřístupňuje tato předkonfigurovaná nastavení zabezpečení všem, protože víme, že správa zabezpečení může být obtížná. Na základě našich učení více než 99,9 % běžných útoků souvisejících s identitou se zastaví pomocí vícefaktorového ověřování a blokováním starší verze ověřování. Naším cílem je zajistit, aby všechny organizace měly alespoň základní úroveň zabezpečení povolenou bez dalších poplatků.

Mezi tyto základní ovládací prvky patří:

• Vyžadování registrace vícefaktorového ověřování všemi uživateli
• Vyžadování, aby správci mohli provádět vícefaktorové ověřování
• Vyžadování vícefaktorového ověřování uživatelů v případě potřeby
• Blokování starších ověřovacích protokolů
• Ochrana privilegovaných aktivit, jako je přístup k webu Azure Portal

Pro koho to je?

• Organizace, které chtějí zvýšit stav zabezpečení, ale neví, jak nebo kde začít.
• Organizace, které používají bezplatnou úroveň licencování Microsoft Entra ID.

Kdo by měl používat podmíněný přístup?

• Pokud jste organizace s licencemi Microsoft Entra ID P1 nebo P2, výchozí nastavení zabezpečení pro vás pravděpodobně nejsou správná.
• Pokud má vaše organizace složité požadavky na zabezpečení, měli byste zvážit podmíněný přístup.

Povolení výchozího nastavení zabezpečení

Pokud byl váš klient vytvořen 22. října 2019 nebo po tomto datu, může být ve vašem klientovi povoleno bezpečnostní výchozí nastavení. Kvůli ochraně všech našich uživatelů se při vytváření zavádí výchozí nastavení zabezpečení pro všechny nové tenanty.

Abychom pomohli chránit organizace, vždy pracujeme na vylepšení zabezpečení služeb účtů Microsoft. V rámci této ochrany jsou zákazníci pravidelně upozorněni na automatické povolení výchozích hodnot zabezpečení, pokud:

• Nemáte žádné zásady podmíněného přístupu
• Nemáte prémiové licence
• Aktivně nepoužíváte starší klienty ověřování

Po povolení tohoto nastavení se budou muset všichni uživatelé v organizaci zaregistrovat pro vícefaktorové ověřování. Abyste se vyhnuli nejasnostem, přečtěte si e-mail, který jste dostali, a případně můžete zakázat výchozí nastavení zabezpečení po povolení.

Pokud chcete nakonfigurovat výchozí nastavení zabezpečení ve vašem adresáři, musíte mít přiřazenou alespoň roli správce podmíněného přístupu.

Ve výchozím nastavení se uživateli, který vytvoří tenanta Microsoft Entra, automaticky přiřadí role globálního správce.

Chcete-li povolit výchozí hodnoty zabezpečení:

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce podmíněného přístupu.
2. Přejděte na Identita>Přehled>Vlastnosti.
3. Vyberte možnost Spravovat výchozí nastavení zabezpečení.
4. Nastavte výchozí nastavení zabezpečení na Povoleno.
5. Zvolte Uložit.

Odvolání aktivních tokenů

Jako součást povolení výchozích hodnot zabezpečení by správci měli odvolat všechny existující tokeny, aby se všichni uživatelé zaregistrovali k vícefaktorovým ověřováním. Tato událost odvolání přinutí dříve ověřené uživatele k novému ověření a přihlášení k vícefaktorovému ověřování. Tuto úlohu lze provést pomocí rutiny PowerShellu Revoke-AzureADUserAllRefreshToken .

Vynucené zásady zabezpečení

Vyžadovat, aby se všichni uživatelé zaregistrovali pro vícefaktorové ověřování Microsoft Entra

Poznámka:

Od 29. července 2024 byla novým i stávajícím tenantům zrušena 14denní lhůta na registraci uživatelů k vícefaktorovému ověřování. Tuto změnu provádíme, abychom snížili riziko ohrožení zabezpečení účtu během 14denního intervalu, protože vícefaktorové ověřování může blokovat více než 99,2 % útoků založených na identitě.

Když se uživatelé přihlásí a zobrazí se jim výzva k provedení vícefaktorového ověřování, zobrazí se jim obrazovka s číslem, které se má zadat do aplikace Microsoft Authenticator. Toto opatření pomáhá zabránit uživatelům, aby se stali oběťmi útoků využívajících únavu při vícefaktorovém ověřování.

Požadovat, aby správci prováděli vícefaktorové ověřování

Správci zvýšili přístup k vašemu prostředí. Vzhledem k výkonu těchto vysoce privilegovaných účtů byste s nimi měli zacházet se zvláštní opatrností. Jednou z běžných metod, jak zlepšit ochranu privilegovaných účtů, je vyžadovat silnější formu ověření účtu pro přihlášení, jako je vyžadování vícefaktorového ověřování.

Tip

Doporučení pro správce:

• Po povolení výchozích hodnot zabezpečení se ujistěte, že se všichni správci přihlásí, aby se mohli zaregistrovat k metodám ověřování.
• Máte samostatné účty pro administraci a standardní úkoly produktivity, abyste výrazně snížili počet případů, kdy jsou vaši správci požádáni o vícefaktorové ověření.

Po dokončení registrace se k vícefaktorovém ověřování při každém přihlášení budou vyžadovat následující role správce:

• Globální správce
• Správce aplikace
• Správce ověřování
• Správce fakturace
• Správce cloudové aplikace
• Správce podmíněného přístupu
• Správce Exchange
• Správce helpdesku
• Správce hesel
• Správce privilegovaného ověřování
• Správce privilegovaných rolí
• Správce zabezpečení
• Správce SharePointu
• Správce uživatelů

• Správce zásad ověřování
• Správce správy identit

Vyžadování vícefaktorového ověřování uživatelů v případě potřeby

Obvykle si myslíme, že účty správců jsou jedinými účty, které potřebují další vrstvy ověřování. Správci mají široký přístup k citlivým informacím a můžou provádět změny nastavení v rámci předplatného. Útočníci ale často cílí na koncové uživatele.

Jakmile tito útočníci získají přístup, můžou požádat o přístup k privilegovaným informacím pro původního držitele účtu. Můžou si dokonce stáhnout celý adresář a udělat útok phishing na celou organizaci.

Jednou z běžných metod, jak zlepšit ochranu pro všechny uživatele, je vyžadovat silnější formu ověření účtu, jako je vícefaktorové ověřování, pro všechny. Po dokončení registrace se uživatelům zobrazí výzva k dalšímu ověření, kdykoli je to potřeba. Microsoft rozhodne, kdy se uživateli zobrazí výzva k vícefaktorovém ověřování, na základě faktorů, jako je umístění, zařízení, role a úloha. Tato funkce chrání všechny registrované aplikace, včetně aplikací SaaS.

Poznámka:

V případě uživatelů přímého připojení B2B je nutné splnit jakýkoli požadavek na vícefaktorové ověřování vyplývající z nastavení zabezpečení povoleného v tenantovi zdroje, včetně registrace vícefaktorového ověřování uživatelem přímého připojení ve svém domovském tenantovi.

Blokování starších ověřovacích protokolů

Abychom uživatelům poskytli snadný přístup k vašim cloudovým aplikacím, podporujeme různé ověřovací protokoly, včetně starší verze ověřování. Správní ověřování je termín, který označuje žádost o ověření provedenou:

• Klienti, kteří nepoužívají moderní ověřování (například klient Office 2010)
• Každý klient, který používá starší poštovní protokoly, jako je IMAP, SMTP nebo POP3

Většina dnešních kompromitujících pokusů o přihlášení pochází ze zastaralého způsobu ověřování. Starší verze ověřování nepodporuje vícefaktorové ověřování. I když máte v adresáři povolené zásady vícefaktorového ověřování, útočník se může ověřit pomocí staršího protokolu a obejít vícefaktorové ověřování.

Po povolení výchozích hodnot zabezpečení ve vašem tenantovi se zablokují všechny žádosti o ověření provedené starším protokolem. Výchozí nastavení zabezpečení blokuje základní ověřování Exchange Active Sync.

Upozornění

Než povolíte výchozí nastavení zabezpečení, ujistěte se, že správci nepoužívají starší ověřovací protokoly. Další informace naleznete v tématu Jak se přesunout od starší verze ověřování.

• Jak nastavit multifunkční zařízení nebo aplikaci pro odesílání e-mailů pomocí Microsoftu 365

Ochrana privilegovaných aktivit, jako je přístup k webu Azure Portal

Organizace používají různé služby Azure spravované prostřednictvím rozhraní API Azure Resource Manageru, včetně:

• portál Azure
• Centrum pro správu Microsoft Entra
• Azure PowerShell
• Azure CLI

Použití Azure Resource Manageru ke správě služeb je vysoce privilegovaná akce. Azure Resource Manager může měnit konfigurace pro celého tenanta, jako jsou nastavení služeb a fakturace předplatného. Jednofaktorové ověřování je zranitelné vůči různým útokům, jako je phishing a password spray.

Je důležité ověřit identitu uživatelů, kteří chtějí získat přístup k Azure Resource Manageru a aktualizovat konfigurace. Jejich identitu ověříte tím, že před povolením přístupu vyžadujete více ověřování.

Po povolení výchozích hodnot zabezpečení ve vašem tenantovi musí každý uživatel, který přistupuje k následujícím službám, dokončit vícefaktorové ověřování:

• portál Azure
• Centrum pro správu Microsoft Entra
• Azure PowerShell
• Azure CLI

Tato zásada platí pro všechny uživatele, kteří přistupují ke službám Azure Resource Manageru, ať už jsou to správci nebo uživatel. Tyto zásady platí pro rozhraní API Azure Resource Manageru, jako je přístup k předplatnému, virtuálním počítačům, účtům úložiště atd. Tato zásada nezahrnuje ID Microsoft Entra ani Microsoft Graph.

Poznámka:

Tenanti Exchange Online před 2017 mají ve výchozím nastavení moderní ověřování zakázané. Aby se předešlo smyčce přihlášení při ověřování prostřednictvím těchto tenantů, musíte povolit moderní ověřování.

Poznámka:

Účty synchronizace služby Microsoft Entra Connect / Microsoft Entra Cloud Sync (nebo jakýkoli objekt zabezpečení přiřazený k roli Účty synchronizace adresářů) jsou vyloučeny z výchozích hodnot zabezpečení a nebudou vyzvány k registraci nebo provedení vícefaktorového ověřování. Organizace by tento účet neměly používat pro jiné účely.

Aspekty nasazení

Příprava uživatelů

Je důležité informovat uživatele o nadcházejících změnách, požadavcích na registraci a všech nezbytných akcích uživatelů. Poskytujeme komunikační šablony a uživatelskou dokumentaci , abychom připravili uživatele na nové prostředí a pomohli zajistit úspěšné zavedení. Odešlete uživatele na https://myprofile.microsoft.com, kde se mohou zaregistrovat kliknutím na odkaz Bezpečnostní údaje na této stránce.

Metody ověřování

Uživatelé výchozího zabezpečení jsou povinni se zaregistrovat a používat vícefaktorové ověřování pomocí aplikace Microsoft Authenticator s využitím oznámení. Uživatelé můžou používat ověřovací kódy z aplikace Microsoft Authenticator, ale můžou se zaregistrovat jenom pomocí možnosti oznámení. Uživatelé můžou také k vygenerování kódů použít libovolnou aplikaci třetí strany pomocí protokolu OATH TOTP .

Upozornění

Pokud používáte výchozí nastavení zabezpečení, nezakazujte metody pro vaši organizaci. Zakázání metod může vést k uzamčení přístupu k vašemu klientovi. Nechte všechny metody dostupné uživatelům povolené v portálu nastavení služby MFA.

Uživatelé B2B

Všichni uživatelé hosté B2B nebo uživatelé s přímým připojením B2B, kteří mají přístup k vašemu adresáři, jsou považováni za uživatele vaší organizace.

Deaktivovaný stav vícefaktorového ověřování

Pokud je vaše organizace předchozím uživatelem vícefaktorového ověřování založeného na jednotlivých uživatelích, neznepokojujte se, pokud na stránce stavu vícefaktorového ověřování nevidíte uživatele ve stavu Povoleno nebo Vynuceno. Zakázáno je vhodný stav pro uživatele, kteří používají výchozí nastavení zabezpečení nebo vícefaktorové ověřování na základě podmíněného přístupu.

Zakázání výchozího nastavení zabezpečení

Organizace, které se rozhodnou implementovat zásady podmíněného přístupu nahrazující výchozí nastavení zabezpečení, musí zakázat výchozí nastavení zabezpečení.

Chcete-li zakázat výchozí nastavení zabezpečení ve vašem adresáři:

1. Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce podmíněného přístupu.
2. Přejděte na Identita>Přehled>Vlastnosti.
3. Vyberte možnost Spravovat výchozí nastavení zabezpečení.
4. Nastavte výchozí nastavení zabezpečení na hodnotu Zakázáno (nedoporučuje se).
5. Zvolte Uložit.

Přechod z výchozího nastavení zabezpečení na podmíněný přístup

I když jsou výchozí hodnoty zabezpečení dobrým výchozím plánem pro zahájení stavu zabezpečení, neumožňují přizpůsobení, které mnoho organizací vyžaduje. Zásady podmíněného přístupu poskytují celou řadu přizpůsobení, které složitější organizace vyžadují.

	Výchozí nastavení zabezpečení	Podmíněný přístup
Požadované licence	Nic	Alespoň Microsoft Entra ID P1
Vlastní nastavení	Žádné přizpůsobení (zapnuto nebo vypnuto)	Plně přizpůsobitelné
Umožněno	Microsoft nebo správce	Správce
Složitost	Jednoduché používání	Plně přizpůsobitelné na základě vašich požadavků

Doporučené kroky při přechodu z výchozích hodnot zabezpečení

Organizace, které chtějí otestovat funkce podmíněného přístupu, si můžou zaregistrovat bezplatnou zkušební verzi , aby mohli začít.

Po zakázání výchozích hodnot zabezpečení by organizace měly okamžitě povolit zásady podmíněného přístupu, aby chránily svoji organizaci. Tyto zásady by měly zahrnovat alespoň tyto zásady v kategorii bezpečných základů šablon podmíněného přístupu. Organizace s licencemi Microsoft Entra ID P2, které zahrnují Microsoft Entra ID Protection, můžou rozšířit tento seznam, aby zahrnovaly zásady založené na uživatelích a přihlašování k rizikům, aby dále posílily svůj stav.

Microsoft doporučuje, aby organizace měly dva výhradně pro cloud nouzové přístupové účty trvale přiřazené k roli globálního správce. Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít normální účty nebo všichni ostatní správci jsou omylem uzamčeni. Tyto účty by se měly vytvořit podle doporučení k účtu pro nouzový přístup.

Další kroky

• Blog: Představení výchozích hodnot zabezpečení
• Další informace o licencování najdete na stránce s cenami Microsoft Entra.