Wartości domyślne zabezpieczeń w usłudze Microsoft Entra ID
Domyślne ustawienia zabezpieczeń ułatwiają ochronę organizacji przed atakami związanymi z tożsamościami, takimi jak sprayowanie haseł, atak powtórzeniowy i wyłudzanie informacji we współczesnych środowiskach.
Firma Microsoft udostępnia te wstępnie skonfigurowane ustawienia zabezpieczeń wszystkim, ponieważ wiemy, że zarządzanie zabezpieczeniami może być trudne. W oparciu o nasze informacje ponad 99,9% z tych typowych ataków związanych z tożsamościami jest zatrzymywanych przy użyciu uwierzytelniania wieloskładnikowego i blokowania starszego uwierzytelniania. Naszym celem jest zapewnienie, że wszystkie organizacje mają co najmniej podstawowy poziom zabezpieczeń włączony bez dodatkowych kosztów.
Te podstawowe kontrolki obejmują:
- Wymaganie od wszystkich użytkowników zarejestrowania się na potrzeby uwierzytelniania wieloskładnikowego
- Wymaganie od administratorów przeprowadzenia uwierzytelniania wieloskładnikowego
- Wymaganie od użytkowników przeprowadzenia uwierzytelniania wieloskładnikowego w razie potrzeby
- Blokowanie starszych protokołów uwierzytelniania
- Ochrona uprzywilejowanych działań, takich jak dostęp do witryny Azure Portal
Dla kogo to jest?
- Organizacje, które chcą zwiększyć swój stan zabezpieczeń, ale nie wiedzą, jak i gdzie zacząć.
- Organizacje korzystające z warstwy Bezpłatna licencjonowania identyfikatora Entra firmy Microsoft.
Kto powinien używać dostępu warunkowego?
- Jeśli jesteś organizacją z licencjami microsoft Entra ID P1 lub P2, wartości domyślne zabezpieczeń prawdopodobnie nie są odpowiednie dla Ciebie.
- Jeśli organizacja ma złożone wymagania dotyczące zabezpieczeń, należy rozważyć dostęp warunkowy.
Włączanie wartości domyślnych zabezpieczeń
Jeśli dzierżawa została utworzona na lub po 22 października 2019 r., ustawienia domyślne zabezpieczeń mogą być włączone w dzierżawie. Aby chronić wszystkich naszych użytkowników, wartości domyślne zabezpieczeń są wdrażane we wszystkich nowych dzierżawach podczas tworzenia.
Aby chronić organizacje, zawsze pracujemy nad zwiększeniem bezpieczeństwa usług kont Microsoft. W ramach tej ochrony klienci są okresowo powiadamiani o automatycznym uruchomieniu domyślnych ustawień zabezpieczeń, jeśli:
- Nie masz żadnych zasad dostępu warunkowego
- Nie masz licencji premium
- Nie korzystają aktywnie z starszych klientów uwierzytelniania
Po włączeniu tego ustawienia wszyscy użytkownicy w organizacji będą musieli zarejestrować się w celu uwierzytelniania wieloskładnikowego. Aby uniknąć nieporozumień, zapoznaj się z otrzymaną wiadomością e-mail i alternatywnie możesz wyłączyć wartości domyślne zabezpieczeń po jej włączeniu.
Aby skonfigurować wartości domyślne zabezpieczeń w katalogu, musisz mieć przypisaną co najmniej rolę administratora dostępu warunkowego
Domyślnie użytkownik, który tworzy dzierżawę usługi Microsoft Entra, jest automatycznie przypisywany do roli Administratora Globalnego.
Aby włączyć wartości domyślne zabezpieczeń:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Dostępu Warunkowego.
- Przejdź do Tożsamość>Przegląd>Właściwości.
- Wybierz Zarządzanie domyślnymi ustawieniami zabezpieczeń.
- Ustaw wartości domyślne zabezpieczeń na Włączone.
- Wybierz pozycję Zapisz.
Odwoływania aktywnych tokenów
W ramach włączania domyślnych ustawień zabezpieczeń administratorzy powinni odwołać wszystkie istniejące tokeny, aby wymagać od wszystkich użytkowników zarejestrowania się w celu uwierzytelniania wieloskładnikowego. To zdarzenie cofnięcia wymaga od wcześniej uwierzytelnionych użytkowników ponownego uwierzytelnienia i zarejestrowania się do uwierzytelniania wieloskładnikowego. To zadanie można wykonać przy użyciu polecenia cmdlet Revoke-AzureADUserAllRefreshToken programu PowerShell.
Wymuszane zasady zabezpieczeń
Wymagaj od wszystkich użytkowników zarejestrowania się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft
Uwaga
Od 29 lipca 2024 r. nowym i dotychczasowym najemcom został zniesiony 14-dniowy okres karencji na zarejestrowanie się do uwierzytelniania wieloskładnikowego. Wprowadzamy tę zmianę, aby zmniejszyć ryzyko naruszenia zabezpieczeń konta w ciągu 14-dniowego okna, ponieważ uwierzytelnianie wieloskładnikowe może zablokować ponad 99,2% ataków opartych na tożsamościach.
Gdy użytkownicy logują się i są monitowani o przeprowadzenie uwierzytelniania wieloskładnikowego, zobaczą ekran z liczbą do wprowadzenia w aplikacji Microsoft Authenticator. Ta miara pomaga zapobiegać wpadaniu użytkowników w ataki zmęczenia MFA.
Wymagaj od administratorów uwierzytelniania wieloskładnikowego
Administratorzy zwiększyli dostęp do twojego środowiska. Ze względu na moc tych wysoce uprzywilejowanych kont, należy traktować je ze szczególną opieką. Jedną z typowych metod poprawy ochrony kont uprzywilejowanych jest wymaganie silniejszej formy weryfikacji konta na potrzeby logowania, takiej jak wymaganie uwierzytelniania wieloskładnikowego.
Napiwek
Zalecenia dla administratorów:
- Upewnij się, że wszyscy administratorzy logują się po włączeniu domyślnych ustawień zabezpieczeń, aby mogli zarejestrować się w celu uzyskania metod uwierzytelniania.
- Miej oddzielne konta dla zadań administracyjnych i standardowych zadań produktywności, aby znacznie zmniejszyć liczbę monitów dla administratorów o uwierzytelnianie wieloskładnikowe.
Po zakończeniu rejestracji następujące role administratora będą wymagane do przeprowadzenia uwierzytelniania wieloskładnikowego za każdym razem, gdy się zalogują:
- Administrator globalny
- Administrator aplikacji
- Administrator uwierzytelniania
- Administrator rozliczeń
- Administrator aplikacji w chmurze
- Administrator dostępu warunkowego
- Administrator programu Exchange
- Administrator pomocy technicznej
- Administrator haseł
- Administrator uwierzytelniania uprzywilejowanego
- Administrator ról uprzywilejowanych
- Administrator zabezpieczeń
- SharePoint Administrator
- Administrator użytkowników
- Administrator zasad uwierzytelniania
- Administrator zarządzania tożsamościami
Wymagaj od użytkowników uwierzytelniania wieloskładnikowego w razie potrzeby
Zwykle uważamy, że konta administratorów są jedynymi kontami, które wymagają dodatkowych warstw uwierzytelniania. Administratorzy mają szeroki dostęp do poufnych informacji i mogą wprowadzać zmiany w ustawieniach dotyczących całej subskrypcji. Osoby atakujące często atakują użytkowników końcowych.
Po uzyskaniu dostępu przez osoby atakujące mogą zażądać dostępu do uprzywilejowanych informacji dla oryginalnego właściciela konta. Mogą nawet pobrać cały katalog w celu przeprowadzenia ataku wyłudzania informacji w całej organizacji.
Jedną z typowych metod poprawy ochrony dla wszystkich użytkowników jest wymaganie silniejszej formy weryfikacji konta, takiej jak uwierzytelnianie wieloskładnikowe, dla wszystkich użytkowników. Po zakończeniu rejestracji użytkownicy będą monitowani o kolejne uwierzytelnianie w razie potrzeby. Firma Microsoft decyduje, kiedy użytkownik jest monitowany o uwierzytelnianie wieloskładnikowe, na podstawie czynników, takich jak lokalizacja, urządzenie, rola i zadanie. Ta funkcja chroni wszystkie zarejestrowane aplikacje, w tym aplikacje SaaS.
Uwaga
W przypadku użytkowników bezpośredniego połączenia B2B jakiekolwiek wymagania dotyczące uwierzytelniania wieloskładnikowego z domyślnych ustawień zabezpieczeń dzierżawy zasobów muszą być spełnione, w tym rejestracja uwierzytelniania wieloskładnikowego przez użytkownika bezpośredniego połączenia w swojej dzierżawie macierzystej.
Blokuj starsze protokoły uwierzytelniania
Aby zapewnić użytkownikom łatwy dostęp do aplikacji w chmurze, obsługujemy różne protokoły uwierzytelniania, w tym starsze uwierzytelnianie. Starsze uwierzytelnianie to termin, który odwołuje się do żądania uwierzytelniania wykonanego przez:
- Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania (na przykład klienta pakietu Office 2010)
- Każdy klient korzystający ze starszych protokołów poczty, takich jak IMAP, SMTP lub POP3
Obecnie większość kompromitujących prób logowania pochodzi ze starszego uwierzytelniania. Starsze uwierzytelnianie nie obsługuje uwierzytelniania wieloskładnikowego. Nawet jeśli w katalogu włączono zasady uwierzytelniania wieloskładnikowego, osoba atakująca może uwierzytelnić się przy użyciu starszego protokołu i pominąć uwierzytelnianie wieloskładnikowe.
Po włączeniu domyślnych ustawień zabezpieczeń w dzierżawie wszystkie żądania uwierzytelniania wysyłane przez starszy protokół będą blokowane. Domyślne ustawienia zabezpieczeń blokują uwierzytelnianie podstawowe Exchange ActiveSync.
Ostrzeżenie
Przed włączeniem domyślnych ustawień zabezpieczeń upewnij się, że administratorzy nie korzystają ze starszych protokołów uwierzytelniania. Aby uzyskać więcej informacji, zobacz Jak odejść od starszego uwierzytelniania.
Ochrona działań uprzywilejowanych, takich jak dostęp do witryny Azure Portal
Organizacje korzystają z różnych usług platformy Azure zarządzanych za pośrednictwem interfejsu API usługi Azure Resource Manager, w tym:
- Azure Portal
- Centrum administracyjne Microsoft Entra
- Azure PowerShell
- Interfejs wiersza polecenia platformy Azure
Zarządzanie usługami przy użyciu usługi Azure Resource Manager to wysoce uprzywilejowana akcja. Azure Resource Manager może zmieniać konfiguracje obejmujące całą dzierżawę, takie jak ustawienia usług i rozliczenia subskrypcji. Uwierzytelnianie jednoskładnikowe jest narażone na różne ataki, takie jak wyłudzanie informacji i spray haseł.
Ważne jest, aby zweryfikować tożsamość użytkowników, którzy chcą uzyskać dostęp do usługi Azure Resource Manager i zaktualizować konfiguracje. Przed zezwoleniem na dostęp należy zweryfikować ich tożsamość, wymagając większego uwierzytelniania.
Po włączeniu domyślnych ustawień zabezpieczeń w dzierżawie każdy użytkownik, który uzyskuje dostęp do następujących usług, musi przeprowadzić uwierzytelnianie wieloskładnikowe.
- Azure Portal
- Centrum administracyjne Microsoft Entra
- Azure PowerShell
- Interfejs wiersza poleceń Azure CLI
Te zasady dotyczą wszystkich użytkowników, którzy uzyskują dostęp do usług Azure Resource Manager, niezależnie od tego, czy są administratorem, czy użytkownikiem. Ta zasada dotyczy API usługi Azure Resource Manager, takich jak dostęp do subskrypcji, maszyn wirtualnych, kont magazynu itd. Te zasady nie obejmują identyfikatora Entra firmy Microsoft ani programu Microsoft Graph.
Uwaga
Klienci usługi Exchange Online sprzed 2017 roku mają domyślnie wyłączone nowoczesne uwierzytelnianie. Aby uniknąć możliwości pętli logowania podczas uwierzytelniania za pośrednictwem tych dzierżawców, należy włączyć nowoczesne uwierzytelnianie.
Uwaga
Konta synchronizacji usługi Microsoft Entra Connect/Microsoft Entra Cloud Sync (lub dowolny podmiot zabezpieczeń przypisany do roli "Konta synchronizacji katalogów") są wykluczone z domyślnych ustawień zabezpieczeń i nie muszą rejestrować się ani przeprowadzać uwierzytelniania wieloskładnikowego. Organizacje nie powinny używać tego konta do innych celów.
Uwagi dotyczące wdrażania
Przygotowywanie użytkowników
Ważne jest, aby poinformować użytkowników o nadchodzących zmianach, wymaganiach dotyczących rejestracji i wszelkich niezbędnych działaniach użytkownika. Udostępniamy szablony komunikacji i dokumentację użytkownika, aby przygotować użytkowników do nowego środowiska i pomóc w zapewnieniu pomyślnego wdrożenia. Wyślij użytkowników do https://myprofile.microsoft.com do rejestracji, wybierając na tej stronie link Informacje o zabezpieczeniach.
Metody uwierzytelniania
Wymagane jest, aby użytkownicy rejestrowali się i korzystali z uwierzytelniania wieloskładnikowego przy użyciu aplikacji Microsoft Authenticator i powiadomień. Użytkownicy mogą używać kodów weryfikacyjnych z aplikacji Microsoft Authenticator, ale mogą rejestrować się tylko przy użyciu opcji powiadomienia. Użytkownicy mogą również używać dowolnej aplikacji innej firmy przy użyciu protokołu OATH TOTP do generowania kodów.
Ostrzeżenie
Nie wyłączaj metod dla organizacji, jeśli używasz domyślnych ustawień zabezpieczeń. Wyłączenie metod może spowodować zablokowanie sobie dostępu do dzierżawy. Pozostaw włączone wszystkie metody dostępne dla użytkowników w portalu ustawień serwisu MFA.
Użytkownicy B2B
Wszyscy użytkownicy-goście B2B lub użytkownicy B2B z bezpośrednim połączeniem, którzy uzyskują dostęp do twojego katalogu, są traktowani tak samo jak użytkownicy twojej organizacji.
Wyłączony stan uwierzytelniania wieloskładnikowego
Jeśli Twoja organizacja korzystała wcześniej z uwierzytelniania wieloskładnikowego na poziomie poszczególnych użytkowników, nie martw się, jeśli na stronie stanu uwierzytelniania wieloskładnikowego nie zobaczysz użytkowników w stanie Włączone lub Wymuszone. Wyłączone to odpowiedni stan dla użytkowników korzystających z domyślnych ustawień zabezpieczeń lub uwierzytelniania wieloskładnikowego opartego na dostępie warunkowym.
Wyłączanie wartości domyślnych zabezpieczeń
Organizacje, które zdecydują się wdrożyć zasady dostępu warunkowego zastępujące zabezpieczenia domyślne, muszą wyłączyć zabezpieczenia domyślne.
Aby wyłączyć domyślne ustawienia zabezpieczeń w Twoim katalogu:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Dostępu Warunkowego.
- Przejdź do Tożsamość>Omówienie>Właściwości.
- Wybierz Zarządzanie domyślnymi ustawieniami zabezpieczeń.
- Ustaw Domyślne wartości bezpieczeństwa na Wyłączone (nie jest zalecane).
- Wybierz pozycję Zapisz.
Przechodzenie z ustawień domyślnych zabezpieczeń do dostępu warunkowego
Chociaż wartości domyślne zabezpieczeń są dobrym punktem odniesienia do rozpoczęcia stanu zabezpieczeń, nie zezwalają na dostosowanie wymagane przez wiele organizacji. Zasady dostępu warunkowego zapewniają pełny zakres dostosowywania, którego wymagają bardziej złożone organizacje.
| Wartości domyślne zabezpieczeń | Dostęp warunkowy | |
|---|---|---|
| Wymagane licencje | Brak | Co najmniej Microsoft Entra ID P1 |
| Dostosowywanie | Brak dostosowania (włączone lub wyłączone) | W pełni dostosowywalny |
| Włączone przez | Microsoft lub administrator | Administrator |
| Złożoności | Łatwość użycia | W pełni dostosowywane na podstawie wymagań |
Zalecane kroki podczas przechodzenia z ustawień domyślnych zabezpieczeń
Organizacje, które chcą przetestować funkcje dostępu warunkowego, mogą zarejestrować się w celu rozpoczęcia pracy z bezpłatną wersją próbną .
Gdy administratorzy wyłączą ustawienia domyślne zabezpieczeń, organizacje powinny natychmiast włączyć zasady dostępu warunkowego w celu ochrony organizacji. Te zasady powinny zawierać co najmniej te z kategorii bezpiecznych podstaw w szablonach uzyskiwania dostępu warunkowego. Organizacje z licencjami Microsoft Entra ID P2, które obejmują Microsoft Entra ID Protection, mogą rozszerzyć tę listę, aby uwzględnić polityki oparte na ryzyku użytkownika i logowania w celu jeszcze większego wzmocnienia swojego bezpieczeństwa.
Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.
Następne kroki
- Blog: Wprowadzenie ustawień domyślnych zabezpieczeń
- Więcej informacji na temat licencjonowania można znaleźć na stronie cennika firmy Microsoft Entra.