Планирование развертывания защиты идентификаторов

Защита идентификации Microsoft Entra обнаруживает риски на основе удостоверений, сообщает о них и позволяет администраторам исследовать и устранять эти риски, чтобы обеспечить безопасность организаций. Данные о рисках можно дополнительно использовать в таких средствах, как условный доступ, чтобы принимать решения о доступе или отправляться в средство управления сведениями о безопасности и событиями (SIEM) для дальнейшего анализа и изучения.

Этот план развертывания расширяет понятия, представленные в плане развертывания условного доступа.

Предварительные условия

• Рабочий клиент Microsoft Entra с включенным идентификатором Microsoft Entra ID P2 или пробной лицензией. Создайте ее бесплатно, если нужно.
• Администраторы, взаимодействующие с защитой идентификаторов, должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач. Чтобы следовать принципу наименьших привилегий в рамках нулевого доверия, рекомендуется использовать Управление привилегиями (PIM) для немедленной активации назначений привилегированных ролей.
  • Чтение политик и конфигураций условного доступа и защиты идентификаторов
    • читатель сведений о безопасности;
    • Глобальный читатель
  • Управление защитой идентификаторов
    • Оператор безопасности
    • администратор безопасности;
  • Создание или изменение политик условного доступа
    • Администратор условного доступа
    • администратор безопасности;
• Тестовый пользователь, не являющийся администратором, для проверки того, что политика работает должным образом, прежде чем применять её к настоящим пользователям. Если вам нужно создать пользователя, см. краткое руководство: добавление новых пользователей в Microsoft Entra ID.
• Группа, членом которой является пользователь. Если вам нужно создать группу, см. статью "Создание группы" и добавление участников в идентификатор Microsoft Entra.

Привлечение соответствующих заинтересованных лиц

При сбое технологических проектов они обычно делают это из-за несоответствия ожиданий на влияние, результаты и обязанности. Чтобы избежать этих ошибок, убедитесь, что вы привлекаете правильных заинтересованных лиц и что роли заинтересованных лиц в проекте хорошо поняты, удостоверившись в документировании заинтересованных лиц, их вклада в проект и подотчетности.

Коммуникация изменений

Обмен данными имеет решающее значение для успешного выполнения любых новых функций. Вы должны заранее информировать своих пользователей о том, как их опыт изменяется, когда это происходит и как получить поддержку, если они сталкиваются с проблемами.

Шаг 1. Просмотр существующих отчетов

Перед развертыванием политик условного доступа на основе рисков важно проверить отчеты защиты идентификаторов. Эта проверка дает возможность исследовать существующее подозрительное поведение. Вы можете закрыть риск или подтвердить, что эти пользователи защищены, если вы определяете, что они не подвержены риску.

• Анализ обнаруженных рисков
• Устранение рисков и разблокирование пользователей
• Внесение массовых изменений с помощью Microsoft Graph PowerShell

Для повышения эффективности рекомендуется разрешить пользователям самостоятельно устранять их с помощью политик, которые обсуждаются на шаге 3.

Шаг 2. Планирование политик риска условного доступа

Защита идентификаторов отправляет сигналы риска условному доступу, чтобы принимать решения и применять политики организации. Эти политики могут требовать от пользователей многофакторной проверки подлинности или безопасного изменения пароля. Прежде чем создавать свои политики, организациям следует запланировать несколько аспектов.

Исключения из полисов

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или аварийные учетные записи, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные служебными принципалами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для идентификаций рабочих нагрузок, чтобы задавать политики, нацеленные на служебные принципы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Многофакторная проверка подлинности

Чтобы пользователи могли самостоятельно устранять риск, они должны зарегистрироваться в системе многофакторной аутентификации Microsoft Entra, прежде чем попасть в группу риска. Дополнительные сведения см. в статье "Планирование развертывания многофакторной проверки подлинности Microsoft Entra".

Известные сетевые места

Важно настроить именованные расположения в Условном доступе и добавить диапазоны VPN в Defender для облачных приложений. Входы в систему из именованных местоположений, помеченных как доверенные или известные, повышают точность расчета рисков защиты идентификаторов. Эти входы в систему снижают риск для пользователя при аутентификации из местоположения, помеченного как доверенное или известное. Эта практика снижает ложноположительные срабатывания в ряде случаев в вашей среде.

Только режим отчета

Режим только для отчетов — это состояние политики условного доступа, позволяющее администраторам оценить влияние политик условного доступа перед применением их в среде.

Шаг 3. Настройка политик

Политика регистрации многофакторной аутентификации для защиты учетных данных

Используйте политику регистрации многофакторной проверки подлинности защиты идентификаторов, чтобы пользователи зарегистрировались для многофакторной проверки подлинности Microsoft Entra, прежде чем они должны использовать его. Выполните действия, описанные в статье Практическое руководство: Настройка политики регистрации многофакторной проверки подлинности Microsoft Entra, для включения этой политики.

Политики условного доступа

Риск входа . Большинство пользователей имеют нормальное поведение, которое можно отслеживать, когда они выходят за пределы этой нормы, это может быть рискованным, чтобы позволить им просто войти. Возможно, вы хотите заблокировать этого пользователя или попросить их выполнить многофакторную проверку подлинности, чтобы доказать, что они действительно говорят, что они есть. Начните с определения области применения этих политик для подмножества ваших пользователей.

Риск пользователя — корпорация Майкрософт работает с исследователями, правоохранительными органами, различными группами безопасности корпорации Майкрософт и другими доверенными источниками, чтобы найти утечку пар имени пользователя и пароля. При обнаружении этих уязвимых пользователей рекомендуется выполнить многофакторную проверку подлинности, а затем сбросить пароль.

В статье "Настройка и включение политик риска" приведены рекомендации по созданию политик условного доступа для решения этих рисков.

Шаг 4. Мониторинг и непрерывные операционные потребности

Уведомления по электронной почте

Включите уведомления , чтобы вы могли реагировать, когда пользователь помечен как риск. Эти уведомления позволяют сразу же начать изучение. Вы также можете настроить еженедельные дайджест-сообщения электронной почты, предоставляя вам обзор риска на эту неделю.

Мониторинг и исследование

Анализ воздействия рабочей книги политик доступа на основе рисков помогает администраторам понять влияние на пользователей перед созданием политик условного доступа на основе рисков.

Книга ID Protection workbook может помочь отслеживать и искать шаблоны в вашем тенанте. Отслеживайте эту книгу для выявления тенденций и результаты режима "Только отчет" для условного доступа, чтобы определить, есть ли какие-либо изменения, которые необходимо внести, например, нужно ли добавить именованные расположения.

Microsoft Defender для облачных приложений предоставляет организациям каркас для расследования, который они могут использовать в качестве отправной точки. Дополнительные сведения см. в статье "Изучение оповещений об обнаружении аномалий".

Вы также можете использовать API защиты идентификаторов для экспорта сведений о рисках в другие средства, чтобы ваша команда безопасности могли отслеживать и оповещать о событиях риска.

Во время тестирования может потребоваться имитировать некоторые угрозы для тестирования процессов исследования.

Следующие шаги

Что такое риск?