Tworzenie punktu odniesienia zarządzania tożsamościami i dostępem

  • 5 min

Zarządzanie tożsamościami i dostępem (IAM) jest kluczem do udzielania dostępu i ulepszania zabezpieczeń zasobów firmowych. Aby zabezpieczać i kontrolować zasoby oparte na chmurze, należy zarządzać tożsamościami i dostępem dla administratorów platformy Azure, deweloperów aplikacji i użytkowników aplikacji.

Zalecenia dotyczące zabezpieczeń IAM

W poniższych sekcjach opisano zalecenia dotyczące IAM, które znajdują się w ciS Microsoft Azure Foundations Security Benchmark v. 1.3.0. W przypadku każdej rekomendacji przedstawiono podstawowe kroki, które należy wykonać w witrynie Azure Portal. Należy wykonać te kroki dla własnej subskrypcji i przy użyciu własnych zasobów, aby zweryfikować każde zalecenie dotyczące zabezpieczeń. Należy pamiętać, że opcje poziomu 2 mogą ograniczać niektóre funkcje lub działania, dlatego należy dokładnie rozważyć opcje zabezpieczeń, które zdecydujesz się wymusić.

Ważne

Aby wykonać niektóre z tych kroków, musisz być administratorem wystąpienia firmy Microsoft Entra.

Ograniczanie dostępu do portalu administracyjnego firmy Microsoft Entra — poziom 1

Użytkownicy, którzy nie są administratorami, nie powinni mieć dostępu do portalu administracyjnego firmy Microsoft Entra, ponieważ dane są poufne i zgodnie z zasadami najniższych uprawnień.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W obszarze Ustawienia użytkownika w obszarze Portal administracyjny upewnij się, że opcja Ogranicz dostęp do portalu administracyjnego firmy Microsoft Entra jest ustawiona na Wartość Tak. Ustawienie tej wartości na Wartość Tak uniemożliwia wszystkim administratorom uzyskiwanie dostępu do wszystkich danych w portalu administracyjnym firmy Microsoft Entra. To ustawienie nie ogranicza dostępu do programu PowerShell ani innego klienta, takiego jak Visual Studio.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Zrzut ekranu witryny Azure Portal przedstawiający opcję Ogranicz dostęp do portalu administracyjnego firmy Microsoft Entra ustawioną na Wartość Tak.

Włączanie uwierzytelniania wieloskładnikowego dla użytkowników firmy Microsoft Entra

  • Włączanie uwierzytelniania wieloskładnikowego dla użytkowników uprzywilejowanych identyfikatorów entra firmy Microsoft — poziom 1
  • Włączanie uwierzytelniania wieloskładnikowego dla użytkowników nieuprzywilejowanych przez firmę Microsoft — poziom 2

Włącz uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników firmy Microsoft Entra.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Na pasku menu Wszyscy użytkownicy wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników.

    Zrzut ekranu przedstawiający opcję uwierzytelniania wieloskładnikowego w okienku Microsoft Entra w witrynie Azure Portal.

  4. W oknie uwierzytelniania wieloskładnikowego upewnij się, że ustawienie Stan uwierzytelniania wieloskładnikowego ma wartość Włączone dla wszystkich użytkowników. Aby włączyć uwierzytelnianie wieloskładnikowe, wybierz użytkownika. W obszarze Szybkich kroków wybierz pozycję Włącz>włączanie uwierzytelniania wieloskładnikowego.

    Zrzut ekranu przedstawiający sposób włączania uwierzytelniania wieloskładnikowego dla użytkownika przy użyciu linku szybkich kroków.

Nie pamiętaj uwierzytelniania wieloskładnikowego na zaufanych urządzeniach — poziom 2

Pamiętanie funkcji uwierzytelniania wieloskładnikowego dla urządzeń i przeglądarek, które są zaufane przez użytkownika, jest bezpłatną funkcją dla wszystkich użytkowników uwierzytelniania wieloskładnikowego. Użytkownicy mogą pominąć kolejne weryfikacje przez określoną liczbę dni po pomyślnym zalogowaniu się do urządzenia przy użyciu uwierzytelniania wieloskładnikowego.

W przypadku naruszenia zabezpieczeń konta lub urządzenia pamiętaj, że uwierzytelnianie wieloskładnikowe dla zaufanych urządzeń może negatywnie wpłynąć na bezpieczeństwo. Zaleceniem zabezpieczeń jest wyłączenie zapamiętania uwierzytelniania wieloskładnikowego dla zaufanych urządzeń.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Na pasku menu Wszyscy użytkownicy wybierz pozycję Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników.

  4. W oknie uwierzytelniania wieloskładnikowego wybierz użytkownika. W obszarze Szybkich kroków wybierz pozycję Zarządzaj ustawieniami użytkownika.

    Zrzut ekranu przedstawiający okno użytkowników uwierzytelniania wieloskładnikowego firmy Microsoft i link zarządzaj ustawieniami użytkownika.

  5. Zaznacz pole wyboru Przywróć uwierzytelnianie wieloskładnikowe na wszystkich zapamiętanych urządzeniach, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający wybraną opcję Przywróć uwierzytelnianie wieloskładnikowe na wszystkich zapamiętanych urządzeniach.

Brak lub ograniczony dostęp użytkowników-gości — poziom 1

Upewnij się, że żaden użytkownik-gość nie istnieje lub alternatywnie, jeśli firma wymaga użytkowników-gości, upewnij się, że uprawnienia gościa są ograniczone.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Wybierz przycisk Dodaj filtry.

  4. W obszarze Filtry wybierz pozycję Typ użytkownika. W polu Wartość wybierz pozycję Gość. Wybierz pozycję Zastosuj , aby sprawdzić, czy żaden użytkownik-gość nie istnieje.

    Zrzut ekranu witryny Azure Portal przedstawiający filtrowanie identyfikatora Entra firmy Microsoft dla użytkowników-gości.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Opcje hasła

  • Powiadamianie użytkowników o resetowaniu hasła — poziom 1
  • Powiadamianie wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło — poziom 2
  • Wymaganie dwóch metod resetowania haseł — poziom 1

W przypadku zestawu uwierzytelniania wieloskładnikowego osoba atakująca musiałaby naruszyć bezpieczeństwo obu formularzy uwierzytelniania tożsamości, zanim złośliwie zresetuje hasło użytkownika. Upewnij się, że resetowanie hasła wymaga dwóch form uwierzytelniania tożsamości.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Resetowanie hasła.

  4. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Metody uwierzytelniania.

  5. Ustaw pozycję Liczba metod wymaganych do zresetowania na wartość 2.

  6. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Zrzut ekranu witryny Azure Portal przedstawiający okienko metody uwierzytelniania resetowania haseł firmy Microsoft z liczbą metod wymaganych do zresetowania ustawionego na 2.

Ustanawianie interwału ponownego potwierdzania metod uwierzytelniania użytkowników — poziom 1

Jeśli ponowne potwierdzenie uwierzytelniania jest wyłączone, zarejestrowani użytkownicy nie będą monitowani o ponowne potwierdzenie informacji uwierzytelniania. Bezpieczniejszą opcją jest włączenie ponownego potwierdzenia uwierzytelniania dla ustawionego interwału.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W okienku menu po lewej stronie wybierz pozycję Resetowanie hasła.

  4. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Rejestracja.

  5. Upewnij się, że pozycja Liczba dni, po których użytkownicy zostaną poproszeni o ponowne potwierdzenie, że ich informacje uwierzytelniania nieustawione na 0. Wartość domyślna to 180 dni.

  6. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Zrzut ekranu witryny Azure Portal przedstawiający formularz z liczbą dni ponownego potwierdzenia informacji uwierzytelniania.

Ustawienie zaproszenia gościa — poziom 2

Tylko administratorzy powinni mieć możliwość zapraszania użytkowników-gości. Ograniczenie zaproszeń do administratorów gwarantuje, że tylko autoryzowane konta mają dostęp do zasobów platformy Azure.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W okienku Ustawienia użytkownika w obszarze Użytkownicy zewnętrzni wybierz pozycję Zarządzaj ustawieniami współpracy zewnętrznej.

  5. W obszarze Ustawienia współpracy zewnętrznej w obszarze Ustawienia zaproszenia gościa wybierz pozycję Tylko użytkownicy przypisani do określonych ról administracyjnych mogą zapraszać użytkowników-gości.

    Zrzut ekranu przedstawiający ustawienia zaproszenia gościa z opcjami Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać wybranych użytkowników-gości.

  6. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Użytkownicy mogą tworzyć grupy zabezpieczeń i zarządzać nimi — poziom 2

Po włączeniu tej funkcji wszyscy użytkownicy w usłudze Microsoft Entra ID mogą tworzyć nowe grupy zabezpieczeń. Tworzenie grupy zabezpieczeń powinno być ograniczone do administratorów.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Grupy.

  3. W okienku Wszystkie grupy w menu po lewej stronie w obszarze Ustawienia wybierz pozycję Ogólne.

  4. W przypadku grup zabezpieczeń upewnij się, że użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portals, interfejsie API lub programie PowerShell ma wartość Nie.

    Zrzut ekranu przedstawiający okienko Ustawienia ogólne grup z opcją Użytkownicy mogą tworzyć grupy zabezpieczeń ustawioną na Nie.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Włączone samoobsługowe zarządzanie grupami — poziom 2

Jeśli firma nie wymaga delegowania samoobsługowego zarządzania grupami do różnych użytkowników, zaleca się wyłączenie tej funkcji.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Grupy.

  3. W okienku Wszystkie grupy w menu po lewej stronie w obszarze Ustawienia wybierz pozycję Ogólne.

  4. W obszarze Samoobsługowe zarządzanie grupami upewnij się, że wszystkie opcje są ustawione na Nie.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający opcje grupy samoobsługowej firmy Microsoft Entra ustawione na Nie.

Opcje aplikacji — zezwalanie użytkownikom na rejestrowanie aplikacji — poziom 2

Wymagaj od administratorów rejestrowania aplikacji niestandardowych.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Tożsamość Microsoft Entra.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W okienku Ustawienia użytkownika upewnij się, że Rejestracje aplikacji jest ustawiona na Nie.

  5. Jeśli zmienisz ustawienia, na pasku menu wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający użytkowników usługi Microsoft Entra z rejestracją aplikacji ustawioną na Nie.