Zabezpieczanie tożsamości organizacji przy użyciu identyfikatora Entra firmy Microsoft
Może wydawać się trudne próbuje zabezpieczyć pracowników w dzisiejszym świecie, zwłaszcza gdy trzeba szybko reagować i zapewnić dostęp do wielu usług. W tym artykule przedstawiono zwięzłą listę akcji, które należy wykonać, ułatwiając identyfikowanie i określanie priorytetów funkcji na podstawie posiadanego typu licencji.
Microsoft Entra ID oferuje wiele funkcji i zapewnia wiele warstw zabezpieczeń dla tożsamości, nawigując po tym, która funkcja jest odpowiednia, czasami może być przytłaczająca. Ten dokument ma pomóc organizacjom szybko wdrażać usługi z bezpiecznymi tożsamościami jako główną kwestią.
Każda tabela zawiera zalecenia dotyczące zabezpieczeń w celu ochrony tożsamości przed typowymi atakami zabezpieczeń przy jednoczesnym zminimalizowaniu problemów użytkowników.
Wskazówki pomagają:
- Konfigurowanie dostępu do oprogramowania jako usługi (SaaS) i aplikacji lokalnych w bezpieczny i chroniony sposób
- Tożsamości chmurowe i hybrydowe
- Użytkownicy pracujący zdalnie lub w biurze
Wymagania wstępne
W tym przewodniku założono, że tożsamości tylko w chmurze lub tożsamości hybrydowe są już ustanowione w usłudze Microsoft Entra ID. Aby uzyskać pomoc dotyczącą wybierania typu tożsamości, zobacz artykuł Wybieranie odpowiedniej metody uwierzytelniania (AuthN) dla rozwiązania tożsamości hybrydowej firmy Microsoft Entra.
Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.
Przewodnik z przewodnikiem
Aby zapoznać się z przewodnikiem dotyczącym wielu zaleceń w tym artykule, zobacz przewodnik Konfigurowanie identyfikatora Entra firmy Microsoft po zalogowaniu się do centrum Administracja Microsoft 365. Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do portalu konfiguracji platformy Microsoft 365.
Wskazówki dla klientów korzystających z usługi Microsoft Entra ID Free, Office 365 lub Microsoft 365
Istnieje wiele zaleceń, które klienci korzystający z aplikacji Microsoft Entra ID Free, Office 365 lub Microsoft 365 powinni podjąć w celu ochrony tożsamości użytkowników. Poniższa tabela ma na celu wyróżnienie kluczowych akcji dla następujących subskrypcji licencji:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
- Microsoft Entra ID — wersja bezpłatna (dołączona do platformy Azure, usługi Dynamics 365, usługi Intune i platformy Power Platform)
Zalecana akcja | Szczegół |
---|---|
Włącz wartości domyślne zabezpieczeń | Chroń wszystkie tożsamości użytkowników i aplikacje, włączając uwierzytelnianie wieloskładnikowe i blokując starsze uwierzytelnianie. |
Włącz synchronizację skrótów haseł (jeśli używasz tożsamości hybrydowych) | Zapewnienie nadmiarowości uwierzytelniania i poprawy zabezpieczeń (w tym inteligentnej blokady, blokady IP i możliwości odnajdywania ujawnionych poświadczeń). |
Włącz inteligentne blokowanie usług AD FS (jeśli dotyczy) | Chroni użytkowników przed zablokowaniem konta ekstranetu przed złośliwym działaniem. |
Włącz inteligentną blokadę firmy Microsoft Entra (jeśli korzystasz z tożsamości zarządzanych) | Inteligentna blokada pomaga zablokować złych aktorów, którzy próbują odgadnąć hasła użytkowników lub użyć metod siłowych, aby dostać się. |
Wyłączanie zgody użytkownika końcowego na aplikacje | Przepływ pracy zgody administratora zapewnia administratorom bezpieczny sposób udzielania dostępu do aplikacji, które wymagają zatwierdzenia przez administratora, aby użytkownicy końcowi nie ujawniali danych firmowych. Firma Microsoft zaleca wyłączenie przyszłych operacji zgody użytkownika, aby pomóc zmniejszyć obszar powierzchni i ograniczyć to ryzyko. |
Integrowanie obsługiwanych aplikacji SaaS z galerii do aplikacji Microsoft Entra ID i włączanie logowania jednokrotnego | Microsoft Entra ID zawiera galerię zawierającą tysiące wstępnie wstępnie utworzonych aplikacji. Niektóre aplikacje używane przez organizację prawdopodobnie znajdują się w galerii dostępnej bezpośrednio z witryny Azure Portal. Zapewnienie dostępu do firmowych aplikacji SaaS zdalnie i bezpiecznie dzięki ulepszonemu środowisku użytkownika (logowanie jednokrotne)). |
Automatyzowanie aprowizacji i anulowania aprowizacji użytkowników z poziomu aplikacji SaaS (jeśli dotyczy) | Automatycznie twórz tożsamości użytkowników i role w aplikacjach w chmurze (SaaS), do których użytkownicy potrzebują dostępu. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról, co zwiększa bezpieczeństwo organizacji. |
Włącz bezpieczny dostęp hybrydowy: zabezpieczanie starszych aplikacji przy użyciu istniejących kontrolerów dostarczania aplikacji i sieci (jeśli dotyczy) | Publikowanie i ochrona lokalnych i starszych aplikacji uwierzytelniania w chmurze przez połączenie ich z identyfikatorem Entra firmy Microsoft przy użyciu istniejącego kontrolera dostarczania aplikacji lub sieci. |
Włączanie samoobsługowego resetowania hasła (dotyczy tylko kont w chmurze) | Ta możliwość zmniejsza liczbę zgłoszeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. |
Używaj ról o najmniejszych uprawnieniach, jeśli jest to możliwe | Nadaj administratorom dostęp tylko do obszarów, do których potrzebują dostępu. |
Wskazówki dotyczące włączania haseł firmy Microsoft | Przestań wymagać od użytkowników zmiany hasła zgodnie z ustalonym harmonogramem, wyłączenia wymagań dotyczących złożoności, a użytkownicy będą bardziej trafni, aby zapamiętać swoje hasła i zachować ich bezpieczeństwo. |
Wskazówki dla klientów firmy Microsoft Entra ID P1
Poniższa tabela ma na celu wyróżnienie kluczowych akcji dla następujących subskrypcji licencji:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
Zalecana akcja | Szczegół |
---|---|
Włączanie połączonego środowiska rejestracji dla uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła w celu uproszczenia środowiska rejestracji użytkowników | Zezwól użytkownikom na zarejestrowanie się w jednym typowym środowisku zarówno w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft, jak i samoobsługowego resetowania hasła. |
Konfigurowanie ustawień uwierzytelniania wieloskładnikowego dla organizacji | Upewnij się, że konta są chronione przed naruszeniem zabezpieczeń przy użyciu uwierzytelniania wieloskładnikowego. |
Włącz samoobsługowe resetowanie haseł | Ta możliwość zmniejsza liczbę zgłoszeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. |
Implementowanie zapisywania zwrotnego haseł (w przypadku korzystania z tożsamości hybrydowych) | Zezwalaj na ponowne zapisanie zmian haseł w chmurze w lokalnym środowisku usługi Active Directory systemu Windows Server. |
Tworzenie i włączanie zasad dostępu warunkowego | Uwierzytelnianie wieloskładnikowe dla administratorów w celu ochrony kont, które mają przypisane prawa administracyjne. Blokuj starsze protokoły uwierzytelniania ze względu na zwiększone ryzyko związane ze starszymi protokołami uwierzytelniania. Uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników i aplikacji w celu utworzenia zrównoważonych zasad uwierzytelniania wieloskładnikowego dla środowiska, zabezpieczania użytkowników i aplikacji. Wymagaj uwierzytelniania wieloskładnikowego dla usługi Azure Management, aby chronić uprzywilejowane zasoby przez wymaganie uwierzytelniania wieloskładnikowego dla dowolnego użytkownika korzystającego z zasobów platformy Azure. |
Włącz synchronizację skrótów haseł (jeśli używasz tożsamości hybrydowych) | Zapewnij nadmiarowość uwierzytelniania i zwiększ bezpieczeństwo (w tym inteligentną blokadę, blokadę ip i możliwość odnajdywania ujawnionych poświadczeń). |
Włącz inteligentne blokowanie usług AD FS (jeśli dotyczy) | Chroni użytkowników przed zablokowaniem konta ekstranetu przed złośliwym działaniem. |
Włącz inteligentną blokadę firmy Microsoft Entra (jeśli korzystasz z tożsamości zarządzanych) | Inteligentna blokada pomaga zablokować złych aktorów, którzy próbują odgadnąć hasła użytkowników lub użyć metod siłowych, aby dostać się. |
Wyłączanie zgody użytkownika końcowego na aplikacje | Przepływ pracy zgody administratora zapewnia administratorom bezpieczny sposób udzielania dostępu do aplikacji, które wymagają zatwierdzenia przez administratora, aby użytkownicy końcowi nie ujawniali danych firmowych. Firma Microsoft zaleca wyłączenie przyszłych operacji zgody użytkownika, aby pomóc zmniejszyć obszar powierzchni i ograniczyć to ryzyko. |
Włączanie dostępu zdalnego do lokalnych starszych aplikacji przy użyciu serwer proxy aplikacji | Włącz serwer proxy aplikacji Microsoft Entra i zintegruj ze starszymi aplikacjami dla użytkowników, aby bezpiecznie uzyskiwać dostęp do aplikacji lokalnych, logując się przy użyciu konta Microsoft Entra. |
Włącz bezpieczny dostęp hybrydowy: zabezpieczanie starszych aplikacji przy użyciu istniejących kontrolerów dostarczania aplikacji i sieci (jeśli ma to zastosowanie). | Publikowanie i ochrona lokalnych i starszych aplikacji uwierzytelniania w chmurze przez połączenie ich z identyfikatorem Entra firmy Microsoft przy użyciu istniejącego kontrolera dostarczania aplikacji lub sieci. |
Integrowanie obsługiwanych aplikacji SaaS z galerii do aplikacji Microsoft Entra ID i włączanie logowania jednokrotnego | Microsoft Entra ID zawiera galerię zawierającą tysiące wstępnie wstępnie utworzonych aplikacji. Niektóre aplikacje używane przez organizację prawdopodobnie znajdują się w galerii dostępnej bezpośrednio z witryny Azure Portal. Zapewnienie dostępu do firmowych aplikacji SaaS zdalnie i bezpiecznie przy użyciu ulepszonego środowiska użytkownika (SSO). |
Automatyzowanie aprowizacji i anulowania aprowizacji użytkowników z poziomu aplikacji SaaS (jeśli dotyczy) | Automatycznie twórz tożsamości użytkowników i role w aplikacjach w chmurze (SaaS), do których użytkownicy potrzebują dostępu. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról, co zwiększa bezpieczeństwo organizacji. |
Włączanie dostępu warunkowego — oparte na urządzeniach | Zwiększanie zabezpieczeń i środowisk użytkowników przy użyciu dostępu warunkowego opartego na urządzeniach. Ten krok zapewnia użytkownikom dostęp tylko z urządzeń spełniających standardy dotyczące zabezpieczeń i zgodności. Te urządzenia są również nazywane urządzeniami zarządzanymi. Urządzenia zarządzane mogą być zgodne z usługą Intune lub urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra. |
Włączanie ochrony haseł | Chronić użytkowników przed używaniem słabych i łatwych do odgadnięcia haseł. |
Używaj ról o najmniejszych uprawnieniach, jeśli jest to możliwe | Nadaj administratorom dostęp tylko do obszarów, do których potrzebują dostępu. |
Wskazówki dotyczące włączania haseł firmy Microsoft | Przestań wymagać od użytkowników zmiany hasła zgodnie z ustalonym harmonogramem, wyłączenia wymagań dotyczących złożoności, a użytkownicy będą bardziej trafni, aby zapamiętać swoje hasła i zachować ich bezpieczeństwo. |
Tworzenie niestandardowej listy haseł zabronionych dla organizacji | Uniemożliwianie użytkownikom tworzenia haseł zawierających typowe wyrazy lub frazy w organizacji lub obszarze. |
Wdrażanie metod uwierzytelniania bez hasła dla użytkowników | Zapewnij użytkownikom wygodne metody uwierzytelniania bez hasła. |
Tworzenie planu dostępu użytkowników-gości | Współpracuj z użytkownikami-gośćmi, umożliwiając im logowanie się do aplikacji i usług przy użyciu własnych tożsamości służbowych lub społecznościowych. |
Wskazówki dla klientów firmy Microsoft Entra ID P2
Poniższa tabela ma na celu wyróżnienie kluczowych akcji dla następujących subskrypcji licencji:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
Zalecana akcja | Szczegół |
---|---|
Włączanie połączonego środowiska rejestracji dla uwierzytelniania wieloskładnikowego firmy Microsoft i samoobsługowego resetowania hasła w celu uproszczenia środowiska rejestracji użytkowników | Zezwól użytkownikom na zarejestrowanie się w jednym typowym środowisku zarówno w przypadku uwierzytelniania wieloskładnikowego firmy Microsoft, jak i samoobsługowego resetowania hasła. |
Konfigurowanie ustawień uwierzytelniania wieloskładnikowego dla organizacji | Upewnij się, że konta są chronione przed naruszeniem zabezpieczeń przy użyciu uwierzytelniania wieloskładnikowego. |
Włącz samoobsługowe resetowanie haseł | Ta możliwość zmniejsza liczbę zgłoszeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. |
Implementowanie zapisywania zwrotnego haseł (w przypadku korzystania z tożsamości hybrydowych) | Zezwalaj na ponowne zapisanie zmian haseł w chmurze w lokalnym środowisku usługi Active Directory systemu Windows Server. |
Włączanie zasad Ochrona tożsamości Microsoft Entra w celu wymuszania rejestracji uwierzytelniania wieloskładnikowego | Zarządzanie wdrożeniem uwierzytelniania wieloskładnikowego firmy Microsoft. |
Włączanie zasad dostępu warunkowego opartego na ryzyku i logowania | Zalecane zasady logowania są przeznaczone do logowania o średnim ryzyku i wymagają uwierzytelniania wieloskładnikowego. W przypadku zasad użytkownika należy kierować użytkowników o wysokim ryzyku wymagających akcji zmiany hasła. |
Tworzenie i włączanie zasad dostępu warunkowego | Uwierzytelnianie wieloskładnikowe dla administratorów w celu ochrony kont, które mają przypisane prawa administracyjne. Blokuj starsze protokoły uwierzytelniania ze względu na zwiększone ryzyko związane ze starszymi protokołami uwierzytelniania. Wymagaj uwierzytelniania wieloskładnikowego dla usługi Azure Management, aby chronić uprzywilejowane zasoby przez wymaganie uwierzytelniania wieloskładnikowego dla dowolnego użytkownika korzystającego z zasobów platformy Azure. |
Włącz synchronizację skrótów haseł (jeśli używasz tożsamości hybrydowych) | Zapewnij nadmiarowość uwierzytelniania i zwiększ bezpieczeństwo (w tym inteligentną blokadę, blokadę ip i możliwość odnajdywania ujawnionych poświadczeń). |
Włącz inteligentne blokowanie usług AD FS (jeśli dotyczy) | Chroni użytkowników przed zablokowaniem konta ekstranetu przed złośliwym działaniem. |
Włącz inteligentną blokadę firmy Microsoft Entra (jeśli korzystasz z tożsamości zarządzanych) | Inteligentna blokada pomaga zablokować złych aktorów, którzy próbują odgadnąć hasła użytkowników lub użyć metod siłowych, aby dostać się. |
Wyłączanie zgody użytkownika końcowego na aplikacje | Przepływ pracy zgody administratora zapewnia administratorom bezpieczny sposób udzielania dostępu do aplikacji, które wymagają zatwierdzenia przez administratora, aby użytkownicy końcowi nie ujawniali danych firmowych. Firma Microsoft zaleca wyłączenie przyszłych operacji zgody użytkownika, aby pomóc zmniejszyć obszar powierzchni i ograniczyć to ryzyko. |
Włączanie dostępu zdalnego do lokalnych starszych aplikacji przy użyciu serwer proxy aplikacji | Włącz serwer proxy aplikacji Microsoft Entra i zintegruj ze starszymi aplikacjami dla użytkowników, aby bezpiecznie uzyskiwać dostęp do aplikacji lokalnych, logując się przy użyciu konta Microsoft Entra. |
Włącz bezpieczny dostęp hybrydowy: zabezpieczanie starszych aplikacji przy użyciu istniejących kontrolerów dostarczania aplikacji i sieci (jeśli ma to zastosowanie). | Publikowanie i ochrona lokalnych i starszych aplikacji uwierzytelniania w chmurze przez połączenie ich z identyfikatorem Entra firmy Microsoft przy użyciu istniejącego kontrolera dostarczania aplikacji lub sieci. |
Integrowanie obsługiwanych aplikacji SaaS z galerii do aplikacji Microsoft Entra ID i włączanie logowania jednokrotnego | Microsoft Entra ID zawiera galerię zawierającą tysiące wstępnie wstępnie utworzonych aplikacji. Niektóre aplikacje używane przez organizację prawdopodobnie znajdują się w galerii dostępnej bezpośrednio z witryny Azure Portal. Zapewnienie dostępu do firmowych aplikacji SaaS zdalnie i bezpiecznie przy użyciu ulepszonego środowiska użytkownika (SSO). |
Automatyzowanie aprowizacji i anulowania aprowizacji użytkowników z poziomu aplikacji SaaS (jeśli dotyczy) | Automatycznie twórz tożsamości użytkowników i role w aplikacjach w chmurze (SaaS), do których użytkownicy potrzebują dostępu. Oprócz tworzenia tożsamości użytkowników automatyczna aprowizacja obejmuje konserwację i usuwanie tożsamości użytkowników w miarę zmiany stanu lub ról, co zwiększa bezpieczeństwo organizacji. |
Włączanie dostępu warunkowego — oparte na urządzeniach | Zwiększanie zabezpieczeń i środowisk użytkowników przy użyciu dostępu warunkowego opartego na urządzeniach. Ten krok zapewnia użytkownikom dostęp tylko z urządzeń spełniających standardy dotyczące zabezpieczeń i zgodności. Te urządzenia są również nazywane urządzeniami zarządzanymi. Urządzenia zarządzane mogą być zgodne z usługą Intune lub urządzeniami dołączonymi hybrydowymi firmy Microsoft Entra. |
Włączanie ochrony haseł | Chronić użytkowników przed używaniem słabych i łatwych do odgadnięcia haseł. |
Używaj ról o najmniejszych uprawnieniach, jeśli jest to możliwe | Nadaj administratorom dostęp tylko do obszarów, do których potrzebują dostępu. |
Wskazówki dotyczące włączania haseł firmy Microsoft | Przestań wymagać od użytkowników zmiany hasła zgodnie z ustalonym harmonogramem, wyłączenia wymagań dotyczących złożoności, a użytkownicy będą bardziej trafni, aby zapamiętać swoje hasła i zachować ich bezpieczeństwo. |
Tworzenie niestandardowej listy haseł zabronionych dla organizacji | Uniemożliwianie użytkownikom tworzenia haseł zawierających typowe wyrazy lub frazy w organizacji lub obszarze. |
Wdrażanie metod uwierzytelniania bez hasła dla użytkowników | Zapewnianie użytkownikom wygodnych metod uwierzytelniania bez hasła |
Tworzenie planu dostępu użytkowników-gości | Współpracuj z użytkownikami-gośćmi, umożliwiając im logowanie się do aplikacji i usług przy użyciu własnych tożsamości służbowych lub społecznościowych. |
Włączanie usługi Privileged Identity Management (PIM) | Umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji, dzięki czemu administratorzy mają dostęp tylko w razie potrzeby i z zatwierdzeniem. |
Ukończ przegląd dostępu dla ról katalogu entra firmy Microsoft w usłudze PIM | We współpracy z zespołami ds. zabezpieczeń i liderów utwórz zasady przeglądu dostępu w celu przejrzenia dostępu administracyjnego na podstawie zasad organizacji. |
Zero Trust
Ta funkcja ułatwia organizacjom dostosowanie tożsamości do trzech wytycznych dotyczących architektury Zero Trust:
- Jawną weryfikację
- Użyj najniższych uprawnień
- Zakładanie naruszeń zabezpieczeń
Aby dowiedzieć się więcej o modelu Zero Trust i innych sposobach dopasowania organizacji do wytycznych, zobacz Centrum wskazówek dotyczących zera zaufania.
Następne kroki
- Aby uzyskać szczegółowe wskazówki dotyczące wdrażania poszczególnych funkcji identyfikatora Entra firmy Microsoft, zapoznaj się z planami wdrażania projektu Entra ID firmy Microsoft.
- Organizacje mogą używać wskaźnika bezpieczeństwa tożsamości do śledzenia postępów w stosunku do innych zaleceń firmy Microsoft.