Planowanie wdrożenia usługi ID Protection

Ochrona tożsamości Microsoft Entra wykrywa zagrożenia oparte na tożsamościach, zgłasza je i umożliwia administratorom badanie i korygowanie tych zagrożeń w celu zapewnienia bezpieczeństwa i bezpieczeństwa organizacji. Dane o ryzyku mogą być dalej przekazywane do narzędzi, takich jak dostęp warunkowy, aby podejmować decyzje dotyczące dostępu lub przekazywane do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) w celu dalszej analizy i badania.

Ten plan wdrożenia rozszerza pojęcia wprowadzone w planie wdrażania dostępu warunkowego.

Wymagania wstępne

• Działająca dzierżawa firmy Microsoft Entra z włączonym identyfikatorem Entra ID P2 lub licencją próbną. W razie potrzeby utwórz je bezpłatnie.
• Administratorzy, którzy wchodzą w interakcję z usługą ID Protection, muszą mieć co najmniej jedno z następujących przypisań ról w zależności od wykonywanych zadań. Aby postępować zgodnie z zasadą zero zaufania najniższych uprawnień, rozważ użycie usługi Privileged Identity Management (PIM) do aktywowania uprzywilejowanych przypisań ról just in time.
  • Ochrona identyfikatorów i zasady dostępu warunkowego oraz konfiguracje
    • Czytelnik zabezpieczeń
    • Czytelnik globalny
  • Zarządzanie ochroną identyfikatorów
    • Operator zabezpieczeń
    • Administrator zabezpieczeń
  • Tworzenie lub modyfikowanie zasad dostępu warunkowego
    • Administrator dostępu warunkowego
    • Administrator zabezpieczeń
• Użytkownik testowy, który nie jest administratorem w celu sprawdzenia, czy zasady działają zgodnie z oczekiwaniami przed wdrożeniem dla rzeczywistych użytkowników. Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
• Grupa, do której należy użytkownik. Jeśli musisz utworzyć grupę, zobacz Tworzenie grupy i dodawanie członków w identyfikatorze Entra firmy Microsoft.

Angażowanie właściwych uczestników projektu

Gdy projekty technologiczne kończą się niepowodzeniem, zazwyczaj robią to z powodu niezgodności oczekiwań dotyczących wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażujesz odpowiednich uczestników projektu i że role uczestników projektu są dobrze zrozumiałe przez dokumentowanie uczestników projektu, ich wkładów i odpowiedzialności.

Komunikacja ze zmianami

Komunikacja ma kluczowe znaczenie dla sukcesu wszelkich nowych funkcji. Należy aktywnie komunikować się z użytkownikami, jak zmienia się ich środowisko , kiedy zmienia się i jak uzyskać pomoc techniczną, jeśli wystąpią problemy.

Krok 1. Przeglądanie istniejących raportów

Przed wdrożeniem zasad dostępu warunkowego opartego na ryzyku należy przejrzeć raporty ochrony identyfikatorów. Ten przegląd daje możliwość zbadania wszelkich istniejących podejrzanych zachowań. Możesz odrzucić ryzyko lub potwierdzić, że ci użytkownicy są bezpieczni, jeśli określisz, że nie są narażeni.

• Badanie wykryć ryzyka
• Korygowanie zagrożeń i odblokowywanie użytkowników
• Wprowadzanie zmian zbiorczych przy użyciu programu Microsoft Graph PowerShell

W celu zapewnienia wydajności zalecamy umożliwienie użytkownikom samodzielnego korygowania za pomocą zasad omówionych w kroku 3.

Krok 2. Planowanie zasad ryzyka dostępu warunkowego

Usługa ID Protection wysyła sygnały o podwyższonym ryzyku do dostępu warunkowego, aby podejmować decyzje i wymuszać zasady organizacji. Te zasady mogą wymagać od użytkowników przeprowadzania uwierzytelniania wieloskładnikowego lub bezpiecznego zmieniania hasła. Istnieje kilka elementów, dla których organizacje powinny planować przed utworzeniem zasad.

Wykluczenia zasad

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

• Dostęp awaryjny lub konta ze szkła awaryjnego, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
• Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
  • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Uwierzytelnianie wieloskładnikowe

Aby użytkownicy mogli samodzielnie skorygować ryzyko, muszą jednak zarejestrować się w celu uwierzytelnienia wieloskładnikowego firmy Microsoft, zanim staną się ryzykowne. Aby uzyskać więcej informacji, zobacz artykuł Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft w usłudze Microsoft Entra.

Znane lokalizacje sieciowe

Ważne jest, aby skonfigurować nazwane lokalizacje w dostępie warunkowym i dodać zakresy sieci VPN do aplikacji Defender dla Chmury. Logowania z nazwanych lokalizacji, które są oznaczone jako zaufane lub znane, zwiększają dokładność obliczeń ryzyka ochrony identyfikatorów. Te logowania obniżają ryzyko użytkownika podczas uwierzytelniania z lokalizacji oznaczonej jako zaufane lub znane. Ta praktyka zmniejsza liczbę wyników fałszywie dodatnich w przypadku niektórych wykryć w danym środowisku.

Tryb tylko raportów

Tryb tylko do raportu to stan zasad dostępu warunkowego, który umożliwia administratorom ocenę wpływu zasad dostępu warunkowego przed wymuszeniem ich w środowisku.

Krok 3. Konfigurowanie zasad

Zasady rejestracji uwierzytelniania wieloskładnikowego ochrony identyfikatorów

Użyj zasad rejestracji uwierzytelniania wieloskładnikowego usługi ID Protection, aby ułatwić użytkownikom zarejestrowanie się na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft przed jego użyciem. Wykonaj kroki opisane w artykule Instrukcje: Konfigurowanie zasad rejestracji uwierzytelniania wieloskładnikowego firmy Microsoft w celu włączenia tych zasad.

Zasady dostępu warunkowego

Ryzyko związane z logowaniem — większość użytkowników ma normalne zachowanie, które można śledzić, gdy wykraczają poza tę normę, może być ryzykowne, aby umożliwić im po prostu zalogowanie się. Możesz zablokować tego użytkownika lub poprosić go o przeprowadzenie uwierzytelniania wieloskładnikowego, aby udowodnić, że są naprawdę tym, kim są. Zacznij od określania zakresu tych zasad do podzbioru użytkowników.

Ryzyko związane z użytkownikiem — firma Microsoft współpracuje z badaczami, organami ścigania, różnymi zespołami ds. zabezpieczeń w firmie Microsoft i innymi zaufanymi źródłami w celu znalezienia ujawnionych par nazw użytkowników i haseł. Po wykryciu tych narażonych użytkowników zalecamy wymaganie od użytkowników przeprowadzenia uwierzytelniania wieloskładnikowego, a następnie zresetowania hasła.

Artykuł Konfigurowanie i włączanie zasad ryzyka zawiera wskazówki dotyczące tworzenia zasad dostępu warunkowego w celu rozwiązania tych zagrożeń.

Krok 4. Monitorowanie i ciągłe potrzeby operacyjne

Powiadomienia e-mail

Włącz powiadomienia , aby można było reagować, gdy użytkownik jest oflagowany jako zagrożony. Te powiadomienia umożliwiają natychmiastowe rozpoczęcie badania. Możesz również skonfigurować cotygodniowe wiadomości e-mail szyfrowane, aby zapoznać się z omówieniem ryzyka dla tego tygodnia.

Monitorowanie i badanie

Analiza wpływu skoroszytu zasad dostępu opartych na ryzyku pomaga administratorom zrozumieć wpływ użytkowników przed utworzeniem zasad dostępu warunkowego opartego na ryzyku .

Skoroszyt usługi ID Protection może ułatwić monitorowanie i wyszukiwanie wzorców w dzierżawie. Monitoruj ten skoroszyt pod kątem trendów, a także wyniki trybu Tylko dostęp warunkowy, aby sprawdzić, czy należy wprowadzić jakiekolwiek zmiany, na przykład dodatki do nazwanych lokalizacji.

Microsoft Defender dla Chmury Apps udostępnia organizacjom struktury badania, które mogą używać jako punktu wyjścia. Aby uzyskać więcej informacji, zobacz artykuł Jak badać alerty wykrywania anomalii.

Możesz również użyć interfejsów API ochrony identyfikatorów, aby wyeksportować informacje o ryzyku do innych narzędzi, aby zespół ds. zabezpieczeń mógł monitorować zdarzenia o podwyższonym ryzyku i ostrzegać o nich.

Podczas testowania możesz zasymulować niektóre zagrożenia w celu przetestowania procesów badania.

Następne kroki

Co to jest ryzyko?