Обеспечьте безопасность удостоверений вашей организации с помощью Microsoft Entra ID
Попытка обезопасить своих работников в современном мире может оказаться сложной задачей, особенно если нужно быстро реагировать и быстро предоставлять доступ ко многим услугам. В этой статье содержится краткий список действий, помогающий выявлять и определять приоритеты функций на основе выбранного типа лицензии.
Microsoft Entra ID предлагает множество функций и предоставляет многоуровневую защиту для ваших удостоверений. Иногда бывает сложно разобраться, какая функция является наиболее подходящей. Этот документ предназначен, чтобы помочь организациям быстро развертывать службы, уделяя первостепенное внимание безопасности удостоверений.
Каждая таблица предоставляет рекомендации по безопасности для защиты удостоверений от распространенных атак, не создавая неудобств для пользователей.
Рекомендации помогут:
- Настройка доступа к программному обеспечению как службе (SaaS) и локальным приложениям в безопасном и защищенном режиме
- Облачные и гибридные удостоверения
- Пользователи, работающие удаленно или в офисе
Предварительные условия
В этом руководстве предполагается, что облачные или гибридные удостоверения уже установлены в идентификаторе Microsoft Entra. Дополнительные сведения о выборе типа удостоверения см. в статье " Выбор подходящего метода проверки подлинности (AuthN) для решения гибридного удостоверения Microsoft Entra.
Корпорация Майкрософт рекомендует организациям постоянно закреплять за двумя облачными учетными записями для экстренного доступа роль глобального администратора. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены сценариями аварийного реагирования или "взлома", когда обычные учетные записи не могут использоваться или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы согласно рекомендациям учетной записи аварийного доступа.
Пошаговое руководство
Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см. в руководстве по настройке Microsoft Entra ID при входе в Центр администрирования Microsoft 365. Чтобы просмотреть рекомендации без входа и активации функций автоматической установки, перейдите на портал установки Microsoft 365.
Руководство для клиентов Microsoft Entra ID free, Office 365 или Microsoft 365
Существует множество рекомендаций, которые пользователи приложений Microsoft Entra ID free, Office 365 или Microsoft 365 должны принимать для защиты удостоверений пользователей. Следующая таблица предназначена для выделения ключевых действий для следующих подписок лицензий:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, приложения для бизнеса, Business Standard, Business Premium, A1)
- Бесплатный идентификатор Microsoft Entra (включен в Azure, Dynamics 365, Intune и Power Platform)
| Рекомендуемое действие | Подробные сведения |
|---|---|
| Включение параметров безопасности по умолчанию | Защита всех личностей пользователей и приложений через включение многофакторной аутентификации и блокировку наследственной аутентификации. |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая Smart Lockout, IP-блокировку и возможность обнаружения утечки учетных данных). |
| Включить интеллектуальную блокировку AD FS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включение интеллектуальной блокировки Microsoft Entra (при использовании управляемых удостоверений) | Смарт-блокировка помогает заблокировать злоумышленников, которые пытаются угадать пароли ваших пользователей или использовать методы атаки перебором для взлома. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие действия по предоставлению согласия пользователем, чтобы уменьшить поверхность атаки и снизить этот риск. |
| Интегрируйте поддерживаемые приложения SaaS из галереи в Microsoft Entra ID и включите единый вход (SSO) | Microsoft Entra ID имеет галерею, содержащую тысячи предварительно интегрированных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Предоставление доступа к корпоративным приложениям SaaS удаленно и безопасно с улучшенным взаимодействием с пользователем (единый вход)). |
| Автоматизация предоставления и удаления доступа пользователей в приложениях SaaS (если применимо) | Автоматическое создание учетных данных и пользовательских ролей в облачных приложениях (SaaS), к которым пользователям необходим доступ. Кроме создания идентификаторов пользователей, автоматическое предоставление также включает их сопровождение и удаление по мере изменения статуса или ролей, что способствует повышению безопасности вашей организации. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо) | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Включение самостоятельного сброса пароля (применимо только к облачным учетным записям) | Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
Руководство для клиентов Microsoft Entra ID P1
Следующая таблица позволяет выделить ключевые действия для следующих подписок на лицензии.
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
| Рекомендуемое действие | Подробные сведения |
|---|---|
| Включить объединенную регистрацию для многофакторной аутентификации Microsoft Entra и SSPR для упрощения процесса регистрации пользователей | Разрешить пользователям регистрироваться из одного общего интерфейса для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля. |
| Настройка параметров многофакторной проверки подлинности для организации | Убедитесь, что учетные записи защищены от компрометации с многофакторной проверкой подлинности. |
| Включить функцию самостоятельного сброса пароля | Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. |
| Включите обратную запись паролей (при использовании гибридных удостоверений) | Разрешите обратную запись измененного в облаке пароля в локальной среде Active Directory в Windows Server. |
| Создание и включение политик условного доступа |
Многофакторная проверка подлинности для администраторов для защиты учетных записей, назначенных правами администратора. Блокировка устаревших протоколов проверки подлинности из-за повышенного риска, связанного с устаревшими протоколами аутентификации. Многофакторная проверка подлинности для всех пользователей и приложений для создания сбалансированной политики многофакторной проверки подлинности для вашей среды, защиты пользователей и приложений. Требовать многофакторную проверку подлинности для управления Azure для защиты привилегированных ресурсов, требуя многофакторной проверки подлинности для всех пользователей, обращаюющихся к ресурсам Azure. |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая интеллектуальную блокировку, блокировку IP-адресов и возможность обнаружения утечек учетных данных). |
| Включение интеллектуальной блокировки AD FS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включение интеллектуальной блокировки в Microsoft Entra (при использовании управляемых удостоверений) | Функция смарт-блокировки помогает заблокировать злоумышленников, которые пытаются угадать пароли пользователей или использовать методы грубой силы для взлома. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие действия по предоставлению согласия пользователем, чтобы уменьшить потенциальные точки атаки и снизить этот риск. |
| Обеспечение удаленного доступа к локальным устаревшим приложениям с помощью Application Proxy | Включите прокси приложения Microsoft Entra и интегрируйте с устаревшими приложениями для безопасного доступа к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо). | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Интегрируйте поддерживаемые приложения SaaS из галереи в Microsoft Entra ID и включите единую точку входа | Галерея Microsoft Entra ID включает тысячи предварительно интегрированных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Дистанционное и безопасное предоставление доступа к корпоративным приложениям SaaS с улучшенным интерфейсом пользователя (SSO). |
| Автоматизация предоставления и отмены доступа пользователей в приложениях SaaS (если применимо) | Автоматическое создание идентичностей и ролей пользователей в приложениях SaaS (облачных сервисов), к которым пользователям необходим доступ. Кроме создания удостоверений пользователей, автоматическое предоставление включает в себя сопровождение и удаление удостоверений пользователей по мере изменения их статуса или ролей, что повышает безопасность организации. |
| Включение условного доступа — на основе устройств | Улучшайте безопасность и опыт пользователей с помощью условного доступа, основанного на устройствах. Этот шаг гарантирует, что доступ пользователей возможен только с устройств, отвечающих стандартам безопасности и соответствия требованиям. Такие устройства называются управляемыми устройствами. Управляемые устройства могут быть совместимыми с Intune или гибридными устройствами, присоединенными к Microsoft Entra. |
| Включение защиты паролей | Защитите пользователей от использования слабых и простых для взлома паролей. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
| Создайте специальный пользовательский список запрещенных паролей для вашей организации | Запретите пользователям создавать пароли, содержащие слова или фразы, часто используемые в вашей организации или сфере. |
| Разверните методы проверки подлинности без пароля для ваших пользователей | Предоставьте пользователям удобные методы проверки подлинности без пароля. |
| Планирование доступа гостевых пользователей | Для совместной работы разрешите гостевым пользователям выполнять вход в приложения и службы с использованием собственных рабочих или учебных учетных данных либо учетных данных из социальных сетей. |
Руководство для клиентов Microsoft Entra ID P2
Следующая таблица позволяет выделить ключевые действия для следующих подписок на лицензии.
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Рекомендуемое действие | Подробные сведения |
|---|---|
| Включите опыт объединенной регистрации для многофакторной аутентификации Microsoft Entra и SSPR, чтобы упростить процесс регистрации пользователей | Разрешить пользователям регистрироваться из одного общего интерфейса для многофакторной проверки подлинности Microsoft Entra и самостоятельного сброса пароля. |
| Настройка параметров многофакторной проверки подлинности для организации | Убедитесь, что учетные записи защищены от компрометации с многофакторной проверкой подлинности. |
| Включить самостоятельный сброс пароля | Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. |
| Реализация обратной записи паролей (при использовании гибридных удостоверений) | Разрешите обратную запись измененного в облаке пароля в локальной среде Active Directory в Windows Server. |
| Включите политики Microsoft Entra ID Protection для обязательной регистрации на многофакторную аутентификацию | Управление развертыванием многофакторной проверки подлинности Microsoft Entra. |
| Включение политик условного доступа на основе рисков для пользователей и рисков входа | Рекомендуемая политика входа — сфокусироваться на входах со средним уровнем риска и требовать многофакторную аутентификацию. Для политик пользователей следует ориентироваться на пользователей с высоким риском, требующим действия по изменению пароля. |
| Создание и включение политик условного доступа |
Многофакторная проверка подлинности для администраторов для защиты учетных записей, назначенных правами администратора. Блокировка устаревших протоколов проверки подлинности из-за повышенного риска, связанного с устаревшими протоколами аутентификации. Требовать многофакторную проверку подлинности для управления Azure для защиты привилегированных ресурсов, требуя многофакторной проверки подлинности для всех пользователей, обращаюющихся к ресурсам Azure. |
| Включение синхронизации хеша паролей (при использовании гибридных удостоверений) | Обеспечение избыточности для проверки подлинности и повышения безопасности (включая интеллектуальную блокировку, блокировку IP-адресов и возможность обнаружения утечек учетных данных). |
| Включение интеллектуальной блокировки AD FS (если применимо) | Защита пользователей от блокировки учетной записи экстрасети, вызванной вредоносными действиями. |
| Включить интеллектуальную блокировку Microsoft Entra (при использовании управляемых удостоверений) | Интеллектуальная блокировка помогает заблокировать злоумышленников, которые пытаются угадать пароли ваших пользователей или использовать подбор для проникновения. |
| Отключение согласия конечного пользователя для приложений | Рабочий процесс согласия администратора предоставляет администраторам безопасный способ предоставления доступа к приложениям, которым требуется утверждение администратора, чтобы конечные пользователи не предоставляли корпоративные данные. Корпорация Майкрософт рекомендует отключить все будущие операции по предоставлению согласия пользователем, чтобы уменьшить вашу атакуемую поверхность и смягчить этот риск. |
| Обеспечение удаленного доступа к локальным устаревшим приложениям с помощью Application Proxy | Включите прокси приложения Microsoft Entra и интегрируйте с устаревшими приложениями для безопасного доступа к локальным приложениям, выполнив вход с помощью учетной записи Microsoft Entra. |
| Включение безопасного гибридного доступа: защищенные устаревшие приложения с существующими контроллерами и сетями доставки приложений (если применимо). | Публикация и защита локальных и облачных устаревших приложений проверки подлинности путем подключения их к идентификатору Microsoft Entra с помощью существующего контроллера доставки приложений или сети. |
| Интегрируйте поддерживаемые приложения SaaS из галереи в Microsoft Entra ID и включите единую авторизацию | У Microsoft Entra ID есть галерея, содержащая тысячи предварительно интегрированных приложений. Некоторые приложения, которые используются в вашей организации, вероятно, находятся в коллекции, доступ к которой можно получить непосредственно с портала Azure. Дистанционное и безопасное предоставление доступа к корпоративным приложениям SaaS с улучшенным интерфейсом пользователя (SSO). |
| Автоматизация предоставления и отзыва доступа пользователей в приложениях SaaS (если применимо) | Автоматическое создание удостоверений и ролей пользователей в облачных приложениях (SaaS), к которым пользователям необходим доступ. Кроме создания учетных записей пользователей, автоматическое управление включает сопровождение и удаление учетных записей пользователей по мере изменения их статуса или ролей, что повышает безопасность организации. |
| Включение условного доступа — на основе устройств | Улучшайте безопасность и пользовательский опыт с помощью условного доступа, основанного на устройствах. Этот шаг гарантирует, что доступ пользователей возможен только с устройств, отвечающих стандартам безопасности и соответствия требованиям. Такие устройства называются управляемыми устройствами. Управляемые устройства могут быть совместимыми с Intune или гибридными устройствами, присоединенными к Microsoft Entra. |
| Включение защиты паролей | Защитите пользователей от использования слабых и простых для взлома паролей. |
| Использование наименее привилегированных ролей, где это возможно | Предоставьте своим администраторам только необходимый уровень доступа только к нужным областям. |
| Включите руководство по паролям корпорации Майкрософт | Прекратите требовать, чтобы пользователи меняли свой пароль по расписанию, а также использовали сложный пароль, и вашим пользователям станет легче запоминать и безопасно хранить пароли. |
| Создайте специфичный для организации собственный список запрещенных паролей | Запретите пользователям создавать пароли, содержащие слова или фразы, часто используемые в вашей организации или сфере. |
| Разверните методы аутентификации без использования паролей для ваших пользователей | Предоставьте пользователям удобные методы для проверки подлинности без пароля |
| Планирование доступа гостевых пользователей | Для совместной работы разрешите гостевым пользователям выполнять вход в приложения и службы с использованием собственных рабочих или учебных учетных данных либо учетных данных из социальных сетей. |
| Включите управление привилегированными идентификациями (PIM) | Позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации, обеспечивая доступ администраторов только при необходимости и с утверждением. |
| Завершение проверки доступа для ролей каталога Microsoft Entra в PIM | Совместно с сотрудниками отделов безопасности и управления создайте политику проверки доступа для проверки доступа с правами администратора на основе политик, принятых в вашей организации. |
Решение "Никому не доверяй"
Эта функция помогает организациям согласовывать свои удостоверения с тремя руководящими принципами архитектуры Zero Trust:
- Прямая проверка
- Использование наименьших привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о нулевом доверии и других способах выравнивания организации с руководящими принципами см. в Центре рекомендаций по нулю доверия.