Tworzenie odpornej strategii zarządzania kontrolą dostępu za pomocą identyfikatora Entra firmy Microsoft
Uwaga
Informacje zawarte w tym dokumencie reprezentują bieżący widok firmy Microsoft Corporation w kwestiach omówionych w dniu publikacji. Ponieważ firma Microsoft musi reagować na zmieniające się warunki rynkowe, nie powinna być interpretowana jako zobowiązanie ze strony firmy Microsoft, a firma Microsoft nie może zagwarantować dokładności żadnych informacji przedstawionych po dacie publikacji.
Organizacje, które korzystają z jednej kontroli dostępu, takiej jak uwierzytelnianie wieloskładnikowe lub pojedyncza lokalizacja sieciowa, aby zabezpieczyć swoje systemy IT, są podatne na błędy dostępu do aplikacji i zasobów, jeśli ta pojedyncza kontrola dostępu stanie się niedostępna lub nieprawidłowo skonfigurowana. Na przykład klęska żywiołowa może spowodować niedostępność dużych segmentów infrastruktury telekomunikacyjnej lub sieci firmowych. Takie zakłócenia mogą uniemożliwić użytkownikom końcowym i administratorom możliwość logowania się.
Ten dokument zawiera wskazówki dotyczące strategii, które organizacja powinna przyjąć w celu zapewnienia odporności w celu zmniejszenia ryzyka blokady podczas nieprzewidzianych zakłóceń w następujących scenariuszach:
- Organizacje mogą zwiększyć odporność, aby zmniejszyć ryzyko blokady przed zakłóceniami , wdrażając strategie ograniczania ryzyka lub plany awaryjne.
- Organizacje mogą nadal uzyskiwać dostęp do aplikacji i zasobów, które wybierają podczas zakłóceń , stosując strategie ograniczania ryzyka i plany awaryjne.
- Organizacje powinny upewnić się, że zachowują informacje, takie jak dzienniki, po przerwie i przed wycofaniem wszelkich wdrożonych przez nich awaryjnych.
- Organizacje, które nie wdrożyły strategii zapobiegania lub alternatywnych planów, mogą być w stanie wdrożyć opcje awaryjne w celu radzenia sobie z zakłóceniami.
Najważniejsze wskazówki
W tym dokumencie znajdują się cztery kluczowe wnioski:
- Unikaj blokady administratora przy użyciu kont dostępu awaryjnego.
- Zaimplementuj uwierzytelnianie wieloskładnikowe przy użyciu dostępu warunkowego, a nie uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników.
- Ograniczanie blokady użytkownika przy użyciu wielu kontrolek dostępu warunkowego.
- Eliminowanie blokady użytkownika przez aprowizowanie wielu metod uwierzytelniania lub odpowiedników dla każdego użytkownika.
Przed zakłóceniami
Ograniczenie rzeczywistych zakłóceń musi być głównym celem organizacji w radzeniu sobie z problemami z kontrolą dostępu, które mogą wystąpić. Ograniczenie obejmuje planowanie rzeczywistego zdarzenia oraz strategii wdrażania, aby upewnić się, że kontrola dostępu i operacje nie mają wpływu podczas zakłóceń.
Dlaczego potrzebujesz odpornej kontroli dostępu?
Tożsamość to płaszczyzna sterowania użytkowników, którzy uzyskują dostęp do aplikacji i zasobów. System tożsamości kontroluje użytkowników i w jakich warunkach, takich jak kontrola dostępu lub wymagania dotyczące uwierzytelniania, użytkownicy uzyskują dostęp do aplikacji. Jeśli co najmniej jedno wymaganie uwierzytelniania lub kontroli dostępu nie jest dostępne dla użytkowników w celu uwierzytelnienia z powodu nieprzewidzianych okoliczności, organizacje mogą napotkać jeden lub oba następujące problemy:
- Blokada administratora: Administratorzy nie mogą zarządzać dzierżawą ani usługami.
- Blokada użytkownika: użytkownicy nie mogą uzyskiwać dostępu do aplikacji ani zasobów.
Awaria blokady administratora
Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.
Ograniczanie blokady użytkownika
Aby ograniczyć ryzyko blokady użytkownika, użyj zasad dostępu warunkowego z wieloma kontrolkami, aby dać użytkownikom wybór sposobu uzyskiwania dostępu do aplikacji i zasobów. Dając użytkownikowi możliwość wyboru między na przykład zalogowaniem się za pomocą uwierzytelniania wieloskładnikowego lub zalogowaniem się z zarządzanego urządzenia lub zalogowaniem się z sieci firmowej, jeśli jedna z kontroli dostępu jest niedostępna, użytkownik ma inne opcje, aby kontynuować pracę.
Zalecenia firmy Microsoft
Uwzględnij następujące mechanizmy kontroli dostępu w istniejących zasadach dostępu warunkowego dla organizacji:
- Aprowizuj wiele metod uwierzytelniania dla każdego użytkownika, który korzysta z różnych kanałów komunikacyjnych, na przykład aplikacji Microsoft Authenticator (opartej na Internecie), tokenu OATH (wygenerowanego na urządzeniu) i wiadomości SMS (telefonii).
- Wdróż Windows Hello dla firm na urządzeniach z systemem Windows 10, aby spełnić wymagania uwierzytelniania wieloskładnikowego bezpośrednio z poziomu logowania urządzenia.
- Używaj zaufanych urządzeń za pośrednictwem dołączania hybrydowego firmy Microsoft lub usługi Microsoft Intune. Zaufane urządzenia zwiększają środowisko użytkownika, ponieważ samo zaufane urządzenie może spełniać wymagania dotyczące silnego uwierzytelniania zasad bez wyzwania uwierzytelniania wieloskładnikowego dla użytkownika. Następnie usługa MFA będzie wymagana podczas rejestrowania nowego urządzenia i uzyskiwania dostępu do aplikacji lub zasobów z niezaufanych urządzeń.
- Użyj Ochrona tożsamości Microsoft Entra zasad opartych na ryzyku, które uniemożliwiają dostęp, gdy użytkownik lub logowanie jest zagrożone zamiast stałych zasad uwierzytelniania wieloskładnikowego.
- Jeśli chronisz dostęp do sieci VPN przy użyciu rozszerzenia serwera NPS uwierzytelniania wieloskładnikowego firmy Microsoft, rozważ sfederowanie rozwiązania sieci VPN jako aplikacji SAML i określenie kategorii aplikacji zgodnie z zaleceniami poniżej.
Uwaga
Zasady oparte na ryzyku wymagają licencji microsoft Entra ID P2 .
W poniższym przykładzie opisano zasady, które należy utworzyć w celu zapewnienia odpornej kontroli dostępu użytkownika w celu uzyskania dostępu do swoich aplikacji i zasobów. W tym przykładzie wymagana jest grupa zabezpieczeń AppUsers z docelowymi użytkownikami, do których chcesz udzielić dostępu, grupie o nazwie CoreAdmins z podstawowymi administratorami oraz grupy o nazwie EmergencyAccess z kontami dostępu awaryjnego. Ten przykładowy zestaw zasad przyzna wybranym użytkownikom w aplikacji AppUsers dostęp do wybranych aplikacji, jeśli nawiązuje połączenie z zaufanego urządzenia LUB zapewnia silne uwierzytelnianie, na przykład uwierzytelnianie wieloskładnikowe. Wyklucza ona konta awaryjne i podstawowych administratorów.
Zestaw zasad ograniczania ryzyka dostępu warunkowego:
- Zasady 1. Blokuj dostęp do osób spoza grup docelowych
- Użytkownicy i grupy: uwzględnij wszystkich użytkowników. Wykluczanie użytkowników appusers, CoreAdmins i EmergencyAccess
- Aplikacje w chmurze: uwzględnij wszystkie aplikacje
- Warunki: (Brak)
- Udziel kontroli: blokuj
- Zasady 2. Udzielanie dostępu użytkownikom aplikacji wymagającym uwierzytelniania wieloskładnikowego lub zaufanego urządzenia.
- Użytkownicy i grupy: uwzględnij użytkowników aplikacji. Wykluczanie funkcji CoreAdmins i EmergencyAccess
- Aplikacje w chmurze: uwzględnij wszystkie aplikacje
- Warunki: (Brak)
- Udziel kontroli: Udziel dostępu, wymagaj uwierzytelniania wieloskładnikowego, wymagaj, aby urządzenie było zgodne. W przypadku wielu kontrolek: wymagaj jednego z wybranych kontrolek.
Sytuacje awaryjne dotyczące blokady użytkownika
Alternatywnie organizacja może również tworzyć zasady awaryjne. Aby utworzyć zasady awaryjne, należy zdefiniować kryteria kompromisu między ciągłością działania, kosztem operacyjnym, kosztem finansowym i ryzykiem bezpieczeństwa. Na przykład można aktywować zasady awaryjne tylko dla podzbioru użytkowników, dla podzbioru aplikacji, dla podzbioru klientów lub z podzestawu lokalizacji. Zasady awaryjne zapewniają administratorom i użytkownikom końcowym dostęp do aplikacji i zasobów podczas zakłóceń, gdy nie wdrożono metody ograniczania ryzyka. Firma Microsoft zaleca włączenie zasad awaryjnych w trybie tylko do raportowania, gdy nie jest używane, aby administratorzy mogli monitorować potencjalny wpływ zasad, jeśli muszą być włączone.
Zrozumienie narażenia podczas zakłóceń pomaga zmniejszyć ryzyko i jest krytyczną częścią procesu planowania. Aby utworzyć plan awaryjny, najpierw określ następujące wymagania biznesowe organizacji:
- Określ aplikacje o znaczeniu krytycznym przed upływem czasu: Jakie są aplikacje, do których musisz udzielić dostępu, nawet przy niższym ryzyku/poziomie zabezpieczeń? Utwórz listę tych aplikacji i upewnij się, że inne osoby biorące udział w projekcie (firmy, zabezpieczenia, prawne, kierownictwo) zgadzają się, że jeśli cała kontrola dostępu zniknie, te aplikacje nadal muszą nadal działać. Prawdopodobnie skończysz z kategoriami:
- Kategoria 1 aplikacje o znaczeniu krytycznym, które nie mogą być niedostępne przez więcej niż kilka minut, na przykład Aplikacje, które mają bezpośredni wpływ na przychód organizacji.
- Kategoria 2 ważne aplikacje , które firma musi być dostępna w ciągu kilku godzin.
- Aplikacje o niskim priorytcie kategorii 3, które mogą wytrzymać zakłócenia w ciągu kilku dni.
- W przypadku aplikacji w kategorii 1 i 2 firma Microsoft zaleca wstępneplanowanie typu dostępu, który ma być dozwolony:
- Czy chcesz zezwolić na pełny dostęp lub ograniczoną sesję, na przykład ograniczyć pobieranie?
- Czy chcesz zezwolić na dostęp do części aplikacji, ale nie całej aplikacji?
- Czy chcesz zezwolić na dostęp do procesu roboczego informacji i zablokować dostęp administratora do czasu przywrócenia kontroli dostępu?
- W przypadku tych aplikacji firma Microsoft zaleca również zaplanowanie, które ścieżki dostępu będą celowo otwierane i które z nich zostaną zamknięte:
- Czy chcesz zezwolić na dostęp tylko do przeglądarki i zablokować rozbudowanych klientów, którzy mogą zapisywać dane w trybie offline?
- Czy chcesz zezwolić na dostęp tylko użytkownikom w sieci firmowej i zablokować użytkowników zewnętrznych?
- Czy chcesz zezwolić na dostęp z niektórych krajów lub regionów tylko podczas zakłóceń?
- Czy chcesz, aby zasady zasad awaryjnych, zwłaszcza w przypadku aplikacji o znaczeniu krytycznym, zakończyły się niepowodzeniem lub powodzeniem, jeśli alternatywna kontrola dostępu nie jest dostępna?
Zalecenia firmy Microsoft
Zasady awaryjnego dostępu warunkowego to zasady tworzenia kopii zapasowych, które pomijają uwierzytelnianie wieloskładnikowe firmy Microsoft, uwierzytelnianie wieloskładnikowe innej firmy, oparte na ryzyku lub oparte na urządzeniach. Aby zminimalizować nieoczekiwane zakłócenia po włączeniu zasad awaryjnych, zasady powinny pozostać w trybie tylko do raportowania, gdy nie są używane. Administratorzy mogą monitorować potencjalny wpływ zasad awaryjnych przy użyciu skoroszytu szczegółowych informacji o dostępie warunkowym. Gdy organizacja zdecyduje się aktywować plan awaryjny, administratorzy mogą włączyć zasady i wyłączyć regularne zasady oparte na kontroli.
Ważne
Wyłączenie zasad wymuszających bezpieczeństwo użytkowników, nawet tymczasowo, spowoduje zmniejszenie stanu zabezpieczeń podczas stosowania planu awaryjnego.
- Skonfiguruj zestaw zasad rezerwowych, jeśli zakłócenia w jednym typie poświadczeń lub jeden mechanizm kontroli dostępu ma wpływ na dostęp do aplikacji. Skonfiguruj zasady w stanie tylko dla raportu, które wymagają przyłączenia do domeny jako kontrolki, jako kopii zapasowej aktywnych zasad, które wymagają dostawcy uwierzytelniania wieloskładnikowego innej firmy.
- Zmniejsz ryzyko odgadnięcia haseł przez złych aktorów, gdy uwierzytelnianie wieloskładnikowe nie jest wymagane, postępując zgodnie z praktykami zawartymi w oficjalny dokument dotyczący wskazówek dotyczących haseł.
- Wdróż usługę Microsoft Entra Self-Service Password Reset (SSPR) i Microsoft Entra Password Protection , aby upewnić się, że użytkownicy nie używają typowych haseł i terminów, które chcesz zablokować.
- Użyj zasad, które ograniczają dostęp w aplikacjach, jeśli określony poziom uwierzytelniania nie zostanie osiągnięty, zamiast po prostu powrócić do pełnego dostępu. Na przykład: .
- Skonfiguruj zasady tworzenia kopii zapasowych, które wysyłają oświadczenie sesji z ograniczeniami do programów Exchange i SharePoint.
- Jeśli twoja organizacja korzysta z usługi Microsoft Defender dla Chmury Apps, rozważ powrót do zasad, które angażują się w aplikacje Defender dla Chmury, a następnie zezwalają na dostęp tylko do odczytu, ale nie są przekazywane.
- Nadaj zasadom nazwę, aby upewnić się, że można je łatwo znaleźć podczas zakłóceń. Uwzględnij następujące elementy w nazwie zasad:
- Numer etykiety zasad.
- Tekst do pokazania, te zasady są przeznaczone tylko w nagłych wypadkach. Na przykład: WŁĄCZ W NAGŁYCH WYPADKACH
- Zakłócenia, których dotyczy. Na przykład: Podczas zakłóceń uwierzytelniania wieloskładnikowego
- Numer sekwencji pokazujący kolejność, którą należy aktywować.
- Aplikacje, do których ma ona zastosowanie.
- Kontrolki, które zostaną zastosowane.
- Wymagane warunki .
Ten standard nazewnictwa zasad awaryjnych jest następujący:
EMnnn - ENABLE IN EMERGENCY: [Disruption][i/n] - [Apps] - [Controls] [Conditions]
Poniższy przykład: Przykład A — awaryjne zasady dostępu warunkowego w celu przywrócenia dostępu do aplikacji współpracy o krytycznym znaczeniu, to typowa sytuacja firmowa. W tym scenariuszu organizacja zazwyczaj wymaga uwierzytelniania wieloskładnikowego dla wszystkich usług Exchange Online i SharePoint Online, a zakłócenia w tym przypadku są dostawcą uwierzytelniania wieloskładnikowego dla klienta (niezależnie od tego, czy uwierzytelnianie wieloskładnikowe firmy Microsoft, lokalny dostawca uwierzytelniania wieloskładnikowego lub uwierzytelnianie wieloskładnikowe innej firmy). Te zasady ograniczają tę awarię, zezwalając określonym użytkownikom docelowym na dostęp do tych aplikacji z zaufanych urządzeń z systemem Windows tylko wtedy, gdy uzyskują dostęp do aplikacji z zaufanej sieci firmowej. Spowoduje to również wykluczenie kont awaryjnych i podstawowych administratorów z tych ograniczeń. Docelowi użytkownicy uzyskają następnie dostęp do usług Exchange Online i SharePoint Online, podczas gdy inni użytkownicy nadal nie będą mieli dostępu do aplikacji z powodu awarii. Ten przykład wymaga nazwanej lokalizacji sieciowej CorpNetwork i grupy zabezpieczeń EmergencyyAccess z docelowymi użytkownikami, grupą o nazwie CoreAdmins z podstawowymi administratorami i grupą o nazwie EmergencyAccess z kontami dostępu awaryjnego. Awaryjne wymaga czterech zasad w celu zapewnienia żądanego dostępu.
Przykład A — awaryjne zasady dostępu warunkowego w celu przywrócenia dostępu do aplikacji współpracy o krytycznym znaczeniu:
- Zasady 1. Wymaganie urządzeń przyłączonych do domeny dla programów Exchange i SharePoint
- Nazwa: EM001 — WŁĄCZ W NAGŁYCH WYPADKACH: Zakłócenia uwierzytelniania wieloskładnikowego[1/4] — Exchange SharePoint — wymagaj dołączenia hybrydowego firmy Microsoft Entra
- Użytkownicy i grupy: uwzględnij funkcję AwaryjneAccess. Wykluczanie funkcji CoreAdmins i EmergencyAccess
- Aplikacje w chmurze: Exchange Online i SharePoint Online
- Warunki: dowolne
- Udziel kontroli: wymagaj przyłączenia do domeny
- Stan: tylko raport
- Zasady 2. Blokuj platformy inne niż Windows
- Nazwa: EM002 — WŁĄCZ W NAGŁYCH WYPADKACH: Zakłócenia uwierzytelniania wieloskładnikowego[2/4] — Exchange SharePoint — Blokuj dostęp z wyjątkiem systemu Windows
- Użytkownicy i grupy: uwzględnij wszystkich użytkowników. Wykluczanie funkcji CoreAdmins i EmergencyAccess
- Aplikacje w chmurze: Exchange Online i SharePoint Online
- Warunki: Platforma urządzeń obejmuje wszystkie platformy, wykluczanie systemu Windows
- Udziel kontroli: blokuj
- Stan: tylko raport
- Zasady 3. Blokuj sieci inne niż CorpNetwork
- Nazwa: EM003 — WŁĄCZ W NAGŁYCH WYPADKACH: Zakłócenia uwierzytelniania wieloskładnikowego[3/4] — Exchange SharePoint — Blokuj dostęp z wyjątkiem sieci firmowej
- Użytkownicy i grupy: uwzględnij wszystkich użytkowników. Wykluczanie funkcji CoreAdmins i EmergencyAccess
- Aplikacje w chmurze: Exchange Online i SharePoint Online
- Warunki: Lokalizacje obejmują dowolną lokalizację, wyklucz aplikację CorpNetwork
- Udziel kontroli: blokuj
- Stan: tylko raport
- Zasady 4. Blokuj umowy EAS jawnie
- Nazwa: EM004 — WŁĄCZ W NAGŁYCH WYPADKACH: zakłócenia uwierzytelniania wieloskładnikowego[4/4] — Exchange — blokuj umowy EAS dla wszystkich użytkowników
- Użytkownicy i grupy: uwzględnij wszystkich użytkowników
- Aplikacje w chmurze: obejmują usługę Exchange Online
- Warunki: Aplikacje klienckie: Exchange Active Sync
- Udziel kontroli: blokuj
- Stan: tylko raport
Kolejność aktywacji:
- Wyklucz funkcję EmergencyyAccess, CoreAdmins i EmergencyAccess z istniejących zasad uwierzytelniania wieloskładnikowego. Sprawdź, czy użytkownik w funkcji AwaryjnejAccess może uzyskiwać dostęp do usług SharePoint Online i Exchange Online.
- Włącz zasady 1: Sprawdź, czy użytkownicy na urządzeniach przyłączonych do domeny, którzy nie znajdują się w grupach wykluczania, mogą uzyskiwać dostęp do usług Exchange Online i SharePoint Online. Sprawdź, czy użytkownicy w grupie Wykluczanie mogą uzyskiwać dostęp do usług SharePoint Online i Exchange z dowolnego urządzenia.
- Włącz zasady 2: Sprawdź, czy użytkownicy, którzy nie znajdują się w grupie wykluczania, nie mogą uzyskiwać dostępu do usług SharePoint Online i Exchange Online z urządzeń przenośnych. Sprawdź, czy użytkownicy w grupie Wykluczanie mogą uzyskiwać dostęp do programów SharePoint i Exchange z dowolnego urządzenia (Windows/iOS/Android).
- Włącz zasady 3: Sprawdź, czy użytkownicy, którzy nie znajdują się w grupach wykluczania, nie mogą uzyskać dostępu do programu SharePoint i programu Exchange poza siecią firmową, nawet z maszyną przyłączoną do domeny. Sprawdź, czy użytkownicy w grupie Wykluczanie mogą uzyskiwać dostęp do programów SharePoint i Exchange z dowolnej sieci.
- Włącz zasady 4: Sprawdź, czy wszyscy użytkownicy nie mogą pobrać usługi Exchange Online z natywnych aplikacji poczty na urządzeniach przenośnych.
- Wyłącz istniejące zasady uwierzytelniania wieloskładnikowego dla usług SharePoint Online i Exchange Online.
W następnym przykładzie przykład B — zasady dostępu warunkowego awaryjnego umożliwiające dostęp urządzeń przenośnych do usługi Salesforce, przywracany jest dostęp aplikacji biznesowej. W tym scenariuszu klient zazwyczaj wymaga od pracowników działu sprzedaży dostępu do usługi Salesforce (skonfigurowanej do logowania jednokrotnego przy użyciu identyfikatora Microsoft Entra ID) z urządzeń przenośnych, aby mogli korzystać tylko ze zgodnych urządzeń. Zakłócenia w tym przypadku polegają na tym, że występuje problem z oceną zgodności urządzeń, a awaria występuje w poufnym czasie, w którym zespół ds. sprzedaży potrzebuje dostępu do usługi Salesforce, aby zamknąć transakcje. Te zasady awaryjne zapewniają krytycznym użytkownikom dostęp do usługi Salesforce z urządzenia przenośnego, dzięki czemu mogą nadal zamykać transakcje i nie zakłócać działania firmy. W tym przykładzie salesforceContingency zawiera wszystkich pracowników sales, którzy muszą zachować dostęp, a SalesAdmins zawiera niezbędnych administratorów usługi Salesforce.
Przykład B — awaryjne zasady dostępu warunkowego:
- Zasady 1. Blokuj wszystkich, którzy nie są w zespole SalesContingency
- Nazwa: EM001 — WŁĄCZ W NAGŁYCH WYPADKACH: Zakłócenia zgodności urządzeń[1/2] — Salesforce — Blokuj wszystkich użytkowników z wyjątkiem salesforceContingency
- Użytkownicy i grupy: uwzględnij wszystkich użytkowników. Wykluczanie administratorów salesadmins i salesforceContingency
- Aplikacje w chmurze: Salesforce.
- Warunki: Brak
- Udziel kontroli: blokuj
- Stan: tylko raport
- Zasady 2. Blokuj zespół ds. sprzedaży z dowolnej platformy innej niż mobilna (w celu zmniejszenia obszaru podatnego na ataki)
- Nazwa: EM002 — WŁĄCZ W NAGŁYCH WYPADKACH: Zakłócenia zgodności urządzeń[2/2] — Salesforce — Blokuj wszystkie platformy z wyjątkiem systemów iOS i Android
- Użytkownicy i grupy: uwzględnij pozycję SalesforceContingency. Wykluczanie administratorów sprzedaży
- Aplikacje w chmurze: Salesforce
- Warunki: Platforma urządzeń obejmuje wszystkie platformy, wykluczanie systemów iOS i Android
- Udziel kontroli: blokuj
- Stan: tylko raport
Kolejność aktywacji:
- Wyklucz wartości SalesAdmins i SalesforceContingency z istniejących zasad zgodności urządzeń dla usługi Salesforce. Sprawdź, czy użytkownik w grupie SalesforceContingency może uzyskać dostęp do usługi Salesforce.
- Włącz zasady 1: Sprawdź, czy użytkownicy spoza usługi SalesContingency nie mogą uzyskać dostępu do usługi Salesforce. Sprawdź, czy użytkownicy w kolumnach SalesAdmins i SalesforceContingency mogą uzyskiwać dostęp do usługi Salesforce.
- Włącz zasady 2: Sprawdź, czy użytkownicy w grupie SalesContingency nie mogą uzyskać dostępu do usługi Salesforce z laptopów z systemem Windows/Mac, ale nadal mogą uzyskiwać dostęp z urządzeń przenośnych. Sprawdź, czy administrator sprzedaży nadal może uzyskać dostęp do usługi Salesforce z dowolnego urządzenia.
- Wyłącz istniejące zasady zgodności urządzeń dla usługi Salesforce.
Sytuacje awaryjne dotyczące blokady użytkownika z zasobów lokalnych (rozszerzenie SERWERA NPS)
Jeśli chronisz dostęp do sieci VPN przy użyciu rozszerzenia serwera NPS uwierzytelniania wieloskładnikowego firmy Microsoft, rozważ sfederowanie rozwiązania sieci VPN jako aplikacji SAML i określenie kategorii aplikacji zgodnie z zaleceniami poniżej.
Jeśli wdrożono rozszerzenie serwera NPS uwierzytelniania wieloskładnikowego firmy Microsoft w celu ochrony zasobów lokalnych, takich jak sieć VPN i brama usług pulpitu zdalnego, należy wziąć pod uwagę z wyprzedzeniem, jeśli wszystko będzie gotowe do wyłączenia uwierzytelniania wieloskładnikowego w przypadku wystąpienia awarii.
W takim przypadku można wyłączyć rozszerzenie serwera NPS, w związku z tym serwer NPS weryfikuje tylko uwierzytelnianie podstawowe i nie będzie wymuszać uwierzytelniania wieloskładnikowego dla użytkowników.
Wyłącz rozszerzenie serwera NPS:
- Wyeksportuj klucz rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters jako kopię zapasową.
- Usuń wartości rejestru dla wartości "AuthorizationDLLs" i "ExtensionDLLs", a nie klucza Parameters.
- Uruchom ponownie usługę IAS (Network Policy Service), aby zmiany zaczęły obowiązywać
- Ustal, czy uwierzytelnianie podstawowe dla sieci VPN zakończyło się pomyślnie.
Po odzyskaniu usługi i ponownym wymusiniu uwierzytelniania wieloskładnikowego dla użytkowników włącz rozszerzenie NPS:
- Zaimportuj klucz rejestru z kopii zapasowej HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AuthSrv\Parameters
- Uruchom ponownie usługę IAS (Network Policy Service), aby zmiany zaczęły obowiązywać
- Ustal, czy uwierzytelnianie podstawowe i pomocnicze dla sieci VPN zakończyło się pomyślnie.
- Przejrzyj serwer NPS i dziennik sieci VPN, aby określić, którzy użytkownicy zalogowali się podczas okna awaryjnego.
Wdrażanie synchronizacji skrótów haseł, nawet jeśli używasz uwierzytelniania przekazywanego lub federacyjnego
Blokada użytkownika może również wystąpić, jeśli spełnione są następujące warunki:
- Twoja organizacja używa rozwiązania tożsamości hybrydowej z uwierzytelnianiem przekazywanym lub federacją.
- Lokalne systemy tożsamości (takie jak Active Directory, AD FS lub składnik zależny) są niedostępne.
Aby zapewnić większą odporność, organizacja powinna włączyć synchronizację skrótów haseł, ponieważ umożliwia przełączenie się na korzystanie z synchronizacji skrótów haseł, jeśli lokalne systemy tożsamości nie działają.
Zalecenia firmy Microsoft
Włącz synchronizację skrótów haseł przy użyciu kreatora Microsoft Entra Connect, niezależnie od tego, czy organizacja używa federacji, czy uwierzytelniania przekazywanego.
Ważne
Nie jest wymagane konwertowanie użytkowników z uwierzytelniania federacyjnego na zarządzane w celu korzystania z synchronizacji skrótów haseł.
Podczas zakłóceń
Jeśli zdecydujesz się na wdrożenie planu ograniczania ryzyka, możesz automatycznie przetrwać pojedyncze zakłócenia kontroli dostępu. Jeśli jednak zdecydujesz się utworzyć plan awaryjny, możesz aktywować zasady awaryjne podczas zakłóceń kontroli dostępu:
- Włącz zasady awaryjne, które przyznają docelowym użytkownikom dostęp do określonych aplikacji z określonych sieci.
- Wyłącz regularne zasady oparte na kontroli.
Zalecenia firmy Microsoft
W zależności od tego, które środki zaradcze lub awaryjne są używane podczas zakłóceń, organizacja może udzielać dostępu przy użyciu tylko haseł. Żadne zabezpieczenie nie jest poważnym zagrożeniem bezpieczeństwa, które należy dokładnie rozważyć. Organizacje muszą:
- W ramach strategii kontroli zmian należy udokumentować każdą zmianę i poprzedni stan, aby móc wycofać wszelkie zdarzenia zaimplementowane, gdy tylko kontrola dostępu jest w pełni operacyjna.
- Załóżmy, że złośliwi aktorzy będą próbować zbierać hasła za pośrednictwem sprayu haseł lub ataków wyłudzających informacje podczas wyłączania uwierzytelniania wieloskładnikowego. Ponadto źli aktorzy mogą już mieć hasła, które wcześniej nie udzieliły dostępu do żadnego zasobu, który może zostać podjęty w tym oknie. W przypadku krytycznych użytkowników, takich jak kierownictwo, można częściowo ograniczyć to ryzyko, resetując swoje hasła przed wyłączeniem uwierzytelniania wieloskładnikowego.
- Zarchiwizuj wszystkie działania logowania, aby określić, kto uzyskuje dostęp do tego, co w czasie uwierzytelniania wieloskładnikowego zostało wyłączone.
- Klasyfikacja wszystkich wykryć ryzyka zgłoszonych w tym oknie.
Po zakłóceniu
Cofnij zmiany wprowadzone w ramach aktywowanego planu awaryjnego po przywróceniu usługi, które spowodowały zakłócenia.
- Włączanie zwykłych zasad
- Wyłącz zasady awaryjne z powrotem do trybu tylko do raportu.
- Wycofaj wszelkie inne zmiany wprowadzone i udokumentowane podczas zakłóceń.
- Jeśli użyto konta dostępu awaryjnego, pamiętaj, aby ponownie wygenerować poświadczenia i fizycznie zabezpieczyć szczegóły nowych poświadczeń w ramach procedur konta dostępu awaryjnego.
- Kontynuuj klasyfikację wszystkich wykryć ryzyka zgłoszonych po zakłóceniu podejrzanej aktywności.
- Odwoływanie wszystkich tokenów odświeżania wystawionych dla zestawu użytkowników. Odwołanie wszystkich tokenów odświeżania jest ważne w przypadku uprzywilejowanych kont używanych podczas zakłóceń i spowoduje wymusi ich ponowne uwierzytelnienie i spełnia kontrolę przywróconych zasad.
Opcje awaryjne
W nagłych wypadkach i organizacja nie zaimplementowała wcześniej planu ograniczania ryzyka lub planu awaryjnego, a następnie postępuj zgodnie z zaleceniami w sekcji Awaryjne blokady użytkowników, jeśli już używają zasad dostępu warunkowego w celu wymuszenia uwierzytelniania wieloskładnikowego. Jeśli twoja organizacja korzysta ze starszych zasad uwierzytelniania wieloskładnikowego dla użytkownika, możesz rozważyć następujące alternatywy:
- Jeśli masz wychodzący adres IP sieci firmowej, możesz dodać je jako zaufane adresy IP, aby włączyć uwierzytelnianie tylko w sieci firmowej.
- Jeśli nie masz spisu wychodzących adresów IP lub musisz włączyć dostęp wewnątrz i poza siecią firmową, możesz dodać całą przestrzeń adresów IPv4 jako zaufane adresy IP, określając 0.0.0.0.0/1 i 128.0.0.0/1.
Ważne
Jeśli rozszerzysz zaufane adresy IP w celu odblokowania dostępu, nie zostaną wygenerowane wykrycia ryzyka skojarzone z adresami IP (na przykład niemożliwe podróże lub nieznane lokalizacje).
Uwaga
Konfigurowanie zaufanych adresów IP dla uwierzytelniania wieloskładnikowego firmy Microsoft jest dostępne tylko w przypadku licencji Microsoft Entra ID P1 lub P2.
Dowiedz się więcej
- Dokumentacja uwierzytelniania entra firmy Microsoft
- Zarządzanie kontami administracyjnymi dostępu awaryjnego w usłudze Microsoft Entra ID
- Konfigurowanie nazwanych lokalizacji w identyfikatorze Entra firmy Microsoft
- Jak skonfigurować urządzenia dołączone hybrydo do firmy Microsoft Entra
- Przewodnik wdrażania funkcji Windows Hello dla firm
- Co to są warunki w usłudze Microsoft Entra Conditional Access?
- Co to są mechanizmy kontroli dostępu w usłudze Microsoft Entra Conditional Access?
- Co to jest tryb Tylko raport dostępu warunkowego?