Trinn 3. Beskytt identiteter

Bruk følgende deler for å beskytte organisasjonen mot kompromisser med legitimasjon, som vanligvis er den første fasen av et større løsepengevirusangrep.

Øk påloggingssikkerheten

Bruk passordløs godkjenning for brukerkontoer i Microsoft Entra-ID.

Under overgangen til passordløs godkjenning kan du bruke disse anbefalte fremgangsmåtene for brukerkontoer som fortsatt bruker passordgodkjenning:

• Blokker kjente svake og egendefinerte passord med Microsoft Entra Passordbeskyttelse.
• Utvid blokkering av kjente svake og egendefinerte passord til lokal Active Directory Domain Services (AD DS) med Microsoft Entra Passordbeskyttelse.
• Tillat at brukerne endrer sitt eget passord med selvbetjent tilbakestilling av passord (SSPR).

Deretter implementerer du policyene for felles identitet og enhetstilgang. Disse policyene gir høyere sikkerhet for tilgang til Microsoft 365-skytjenester.

For brukerpålogginger omfatter disse policyene:

• Krever godkjenning med flere faktorer (MFA) for prioriterte kontoer (umiddelbart) og til slutt alle brukerkontoer.
• Krever pålogginger med høy risiko for å bruke MFA.
• Krever at brukere med høy risiko logger seg på med høy risiko for å endre passordene sine.

Forhindre videresending av rettigheter

Bruk disse anbefalte fremgangsmåtene:

• Implementer prinsippet om minst mulig tilgang og bruk passordbeskyttelse som beskrevet i Øk påloggingssikkerheten for brukerkontoene som fortsatt bruker passord for påloggingene.
• Unngå bruk av tjenestekontoer på administratornivå for hele domenet.
• Begrens lokale administrative rettigheter for å begrense installasjonen av trojanere med ekstern tilgang (RAT-er) og andre uønskede programmer.
• Bruk Microsoft Entra betinget tilgang til å eksplisitt validere tilliten til brukere og arbeidsstasjoner før du gir tilgang til administrative portaler. Se dette eksemplet for Azure Portal.
• Aktiver passordbehandling for lokal Admin.
• Bestem hvor kontoer med svært privilegerte rettigheter logger på og eksponerer legitimasjon. Kontoer med svært privilegerte rettigheter bør ikke være til stede på arbeidsstasjoner.
• Deaktiver lokal lagring av passord og legitimasjon.

Innvirkning på brukere og endringsadministrasjon

Du må gjøre brukerne i organisasjonen oppmerksomme på:

• De nye kravene til sterkere passord.
• Endringene i påloggingsprosesser, for eksempel nødvendig bruk av MFA og MFA sekundær godkjenningsmetoderegistrering.
• Bruk av passordvedlikehold med SSPR. Det er for eksempel ikke flere kall til brukerstøtte for tilbakestilling av passord.
• Ledeteksten om å kreve MFA eller en passordendring for pålogginger som er fast bestemt på å være risikabelt.

Resulterende konfigurasjon

Her er løsepengevirusbeskyttelsen for leieren for trinn 1–3.

Neste trinn:

Fortsett med trinn 4 for å beskytte enheter (endepunkter) i Microsoft 365-leieren.