Plánování nasazení ochrany ID

Microsoft Entra ID Protection detekuje rizika založená na identitě, hlásí je a umožňuje správcům prošetřit a napravit tato rizika, aby organizace zůstaly v bezpečí a zabezpečené. Riziková data je možné dále předávat do nástrojů, jako je podmíněný přístup, aby bylo možné rozhodovat o přístupu nebo je předávat nástroji pro správu bezpečnostních informací a událostí (SIEM) pro další analýzu a šetření.

Tento plán nasazení rozšiřuje koncepty zavedené v plánu nasazení podmíněného přístupu.

Požadavky

• Funkční tenant Microsoft Entra s povoleným Microsoft Entra ID P2 nebo zkušební licencí. V případě potřeby si ho vytvořte zdarma.
• Správci, kteří pracují se službou ID Protection, musí mít v závislosti na úlohách, které provádějí, jedno nebo více následujících přiřazení rolí. Pokud chcete postupovat podle nulová důvěra (Zero Trust) principu nejnižšího oprávnění, zvažte použití pim (Privileged Identity Management) k aktivaci přiřazení privilegovaných rolí za běhu.
  • Ochrana ID pro čtení a zásady a konfigurace podmíněného přístupu
    • Čtenář zabezpečení
    • Globální čtenář
  • Správa ochrany ID
    • Operátor zabezpečení
    • Správce zabezpečení
  • Vytvoření nebo úprava zásad podmíněného přístupu
    • Správce podmíněného přístupu
    • Správce zabezpečení
• Testovací uživatel, který není správcem, aby před nasazením do skutečných uživatelů ověřil, jestli zásady fungují podle očekávání. Pokud potřebujete vytvořit uživatele, přečtěte si článek Rychlý start: Přidání nových uživatelů do Microsoft Entra ID.
• Skupina, jejíž je uživatel členem Pokud potřebujete vytvořit skupinu, přečtěte si téma Vytvoření skupiny a přidání členů v Microsoft Entra ID.

Zapojení správných zúčastněných stran

Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně vlivu, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, zajistěte, abyste se zapojili do správných zúčastněných stran a aby role účastníků v projektu byly dobře srozumitelné tím, že zdokumentují zúčastněné strany, jejich vstupy do projektu a odpovědnost.

Komunikace se změnou

Komunikace je důležitá pro úspěch všech nových funkcí. Měli byste proaktivně komunikovat se svými uživateli, jak se jejich změny mění, kdy se mění, a jak získat podporu, pokud dojde k problémům.

Krok 1: Kontrola existujících sestav

Před nasazením zásad podmíněného přístupu na základě rizik je důležité zkontrolovat sestavy ochrany ID. Tato kontrola nabízí příležitost prozkoumat stávající podezřelé chování. Pokud zjistíte, že nejsou ohroženi, můžete se rozhodnout riziko zavřít nebo potvrdit, že jsou tito uživatelé v bezpečí.

• Zkoumání detekcí rizik
• Náprava rizik a odblokování uživatelů
• Hromadné změny pomocí Microsoft Graph PowerShellu

Kvůli efektivitě doporučujeme uživatelům umožnit samoobslužnou nápravu prostřednictvím zásad, které jsou popsány v kroku 3.

Krok 2: Plánování zásad rizik podmíněného přístupu

Ochrana ID odesílá do podmíněného přístupu rizikové signály, aby se mohli rozhodovat a vynucovat zásady organizace. Tyto zásady můžou vyžadovat, aby uživatelé prováděli vícefaktorové ověřování nebo zabezpečenou změnu hesla. Před vytvořením zásad by organizace měly naplánovat několik položek.

Vyloučení zásad

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

• Nouzový přístup nebo prolomení účtů, které brání uzamčení kvůli chybné konfiguraci zásad. V nepravděpodobném scénáři jsou všichni správci uzamčeni, váš účet pro správu tísňového volání se dá použít k přihlášení a provedení kroků pro obnovení přístupu.
  • Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
• Účty služeb a instanční objekty, jako je účet synchronizace Microsoft Entra Connect. Účty služby jsou neinteraktivní účty, které nejsou vázané na konkrétního uživatele. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení do systémů pro účely správy. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
  • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami.

Vícefaktorové ověřování

Aby uživatelé mohli sami napravit riziko, musí se však zaregistrovat k vícefaktorové ověřování Microsoft Entra, než se stanou rizikovými. Další informace najdete v článku Plánování nasazení vícefaktorového ověřování Microsoft Entra.

Známá síťová umístění

Je důležité nakonfigurovat pojmenovaná umístění v podmíněném přístupu a přidat rozsahy VPN do Defenderu for Cloud Apps. Přihlášení z pojmenovaných umístění, která jsou označená jako důvěryhodná nebo známá, zlepšují přesnost výpočtů rizik ochrany ID. Tato přihlášení snižují riziko uživatele při ověřování z umístění označeného jako důvěryhodné nebo známé. Tento postup snižuje falešně pozitivní výsledky některých detekcí ve vašem prostředí.

Režim pouze sestavy

Režim pouze sestav je stav zásad podmíněného přístupu, který správcům umožňuje vyhodnotit účinek zásad podmíněného přístupu předtím, než je vynutí ve svém prostředí.

Krok 3: Konfigurace zásad

Zásady registrace MFA služby ID Protection

Pomocí zásad registrace vícefaktorového ověřování ID Protection získáte uživatele zaregistrované pro vícefaktorové ověřování Microsoft Entra, než je budou potřebovat použít. Postupujte podle kroků v článku Postupy: Konfigurace zásad registrace vícefaktorového ověřování Microsoft Entra pro povolení této zásady.

Zásady podmíněného přístupu

Riziko přihlášení – Většina uživatelů má normální chování, které je možné sledovat, když spadne mimo tuto normu, může být rizikové, aby se mohli přihlásit. Můžete ho chtít zablokovat nebo požádat ho, aby provedl vícefaktorové ověřování, aby prokázal, že je skutečně tím, kdo je. Začnete nastavením těchto zásad na podmnožinu uživatelů.

Riziko uživatelů – Microsoft spolupracuje s výzkumníky, prosazováním práva, různými bezpečnostními týmy v Microsoftu a dalšími důvěryhodnými zdroji, aby zjistil únik párů uživatelských jmen a hesel. Po zjištění těchto ohrožených uživatelů doporučujeme požadovat, aby uživatelé provedli vícefaktorové ověřování, a pak resetovali heslo.

Článek Konfigurace a povolení zásad rizik obsahuje pokyny k vytvoření zásad podmíněného přístupu pro řešení těchto rizik.

Krok 4: Monitorování a průběžné provozní potřeby

E-mailová oznámení

Povolte oznámení , abyste mohli reagovat, když je uživatel označený příznakem rizika. Tato oznámení vám umožňují okamžitě začít prošetřovat. Můžete také nastavit týdenní e-maily s přehledem rizik pro daný týden.

Monitorování a zkoumání

Analýza dopadu sešitu zásad přístupu na základě rizik pomáhá správcům pochopit dopad uživatelů před vytvořením zásad podmíněného přístupu na základě rizik.

Sešit ochrany ID může pomoct monitorovat a hledat vzory ve vašem tenantovi. Monitorujte tento sešit a sledujte trendy a také výsledky režimu Sestava podmíněného přístupu a zjistěte, jestli je potřeba provést nějaké změny, například přidání do pojmenovaných umístění.

Microsoft Defender for Cloud Apps poskytuje organizacím architektury šetření, které můžou používat jako výchozí bod. Další informace najdete v článku Postup zkoumání upozornění detekce anomálií.

K exportu rizikových informací do jiných nástrojů můžete použít také rozhraní API ochrany ID, aby váš bezpečnostní tým mohl monitorovat a upozorňovat na rizikové události.

Během testování můžete chtít simulovat některé hrozby pro testování procesů vyšetřování.

Další kroky

Co je riziko?