Återställa från felkonfiguration
Konfigurationsinställningar i Microsoft Entra-ID kan påverka alla resurser i Microsoft Entra-klientorganisationen genom riktade eller klientomfattande hanteringsåtgärder.
Vad är konfiguration?
Konfigurationer är ändringar i Microsoft Entra-ID som ändrar beteendet eller funktionerna i en Microsoft Entra-tjänst eller -funktion. När du till exempel konfigurerar en princip för villkorsstyrd åtkomst ändrar du vem som kan komma åt målprogrammen och under vilka omständigheter.
Du måste förstå de konfigurationsobjekt som är viktiga för din organisation. Följande konfigurationer har stor inverkan på din säkerhetsstatus.
Konfigurationer för hela klientorganisationen
Externa identiteter: Administratörer för klientorganisationen identifierar och kontrollerar de externa identiteter som kan etableras i klientorganisationen. De avgör:
- Om externa identiteter ska tillåtas i klientorganisationen.
- Från vilka domäner externa identiteter kan läggas till.
- Om användare kan bjuda in användare från andra klienter.
Namngivna platser: Administratörer kan skapa namngivna platser som sedan kan användas för att:
- Blockera inloggningar från specifika platser.
- Utlösa principer för villkorsstyrd åtkomst, till exempel multifaktorautentisering.
Tillåtna autentiseringsmetoder: Administratörer anger de autentiseringsmetoder som tillåts för klientorganisationen.
Självbetjäningsalternativ: Administratörer ställer in självbetjäningsalternativ som lösenordsåterställning med självbetjäning och skapar Office 365-grupper på klientorganisationsnivå.
Implementeringen av vissa klientomfattande konfigurationer kan begränsas, förutsatt att de inte åsidosätts av globala principer. Till exempel:
- Om klientorganisationen har konfigurerats för att tillåta externa identiteter kan en resursadministratör fortfarande undanta dessa identiteter från att komma åt en resurs.
- Om klientorganisationen har konfigurerats för att tillåta registrering av personliga enheter kan en resursadministratör utesluta dessa enheter från att komma åt specifika resurser.
- Om namngivna platser har konfigurerats kan en resursadministratör konfigurera principer som antingen tillåter eller exkluderar åtkomst från dessa platser.
Konfigurationer för villkorsstyrd åtkomst
Principer för villkorlig åtkomst är konfigurationer för åtkomstkontroll som sammanför signaler för att fatta beslut och framtvinga organisationsprinciper.
Mer information om principer för villkorlig åtkomst finns i Vad är villkorlig åtkomst i Microsoft Entra-ID?.
Kommentar
Konfigurationen ändrar beteendet eller funktionerna i ett objekt eller en princip, men alla ändringar i ett objekt är inte konfiguration. Du kan ändra data eller attribut som är associerade med ett objekt, till exempel ändra en användares adress, utan att påverka funktionerna i användarobjektet.
Vad är felkonfiguration?
Felkonfiguration är en konfiguration av en resurs eller princip som avviker från organisationens principer eller planer och orsakar oavsiktliga eller oönskade konsekvenser.
En felkonfiguration av inställningar för hela klientorganisationen eller principer för villkorsstyrd åtkomst kan allvarligt påverka din säkerhet och den offentliga bilden av din organisation genom att:
Ändra hur administratörer, klientanvändare och externa användare interagerar med resurser i din klientorganisation:
- Begränsa åtkomsten till resurser i onödan.
- Lossa åtkomstkontroller på känsliga resurser.
Ändra användarnas möjlighet att interagera med andra klienter och externa användare för att interagera med din klientorganisation.
Orsakar denial of service, till exempel genom att inte tillåta kunder att komma åt sina konton.
Att bryta beroenden mellan data, system och program som resulterar i affärsprocessfel.
När inträffar felkonfigurationen?
Det är mest troligt att felkonfigurationen inträffar när:
- Ett misstag görs vid ad hoc-ändringar.
- Ett misstag görs till följd av felsökningsövningar.
- En åtgärd utfördes med skadlig avsikt av en dålig aktör.
Förhindra felkonfiguration
Det är viktigt att ändringar i den avsedda konfigurationen av en Microsoft Entra-klientorganisation är föremål för robusta ändringshanteringsprocesser, inklusive:
- Dokumentera ändringen, inklusive tidigare tillstånd och avsett tillstånd efter ändringen.
- Med privileged Identity Management (PIM) för att säkerställa att administratörer med avsikt att ändra måste avsiktligt eskalera sina privilegier för att göra det. Mer information om PIM finns i Vad är Privileged Identity Management?.
- Använda ett starkt arbetsflöde för godkännande för ändringar, till exempel att kräva godkännande av PIM-eskalering av privilegier.
Övervaka konfigurationsändringar
Även om du vill förhindra felkonfiguration kan du inte ange fältet för ändringar så högt att det påverkar administratörernas förmåga att utföra sitt arbete effektivt.
Övervaka konfigurationsändringar noggrant genom att titta efter följande åtgärder i Microsoft Entra-granskningsloggen:
- Lägga till
- Skapa
- Uppdatera
- Ställ in
- Delete
Följande tabell innehåller informativa poster i granskningsloggen som du kan söka efter.
Konfigurationsändringar för villkorsstyrd åtkomst och autentiseringsmetod
Principer för villkorlig åtkomst skapas på sidan Villkorlig åtkomst i Azure Portal. Ändringar i principer görs på sidan med principinformation för villkorsstyrd åtkomst för principen.
| Tjänstfilter | Aktiviteter | Potentiell påverkan |
|---|---|---|
| Villkorlig åtkomst | Lägga till, uppdatera eller ta bort princip för villkorsstyrd åtkomst | Användaråtkomst beviljas eller blockeras när den inte ska vara det. |
| Villkorlig åtkomst | Lägg till, uppdatera eller ta bort namngiven plats | Nätverksplatser som används av principen för villkorsstyrd åtkomst är inte konfigurerade som avsett, vilket skapar luckor i villkor för villkor för villkorlig åtkomst. |
| Autentiseringsmetod | Uppdatera princip för autentiseringsmetoder | Användare kan använda svagare autentiseringsmetoder eller blockeras från en metod som de bör använda. |
Konfigurationsändringar för användar- och lösenordsåterställning
Ändringar av användarinställningar görs på sidan Azure Portal Användarinställningar. Ändringar av lösenordsåterställning görs på sidan Lösenordsåterställning . Ändringar som görs på dessa sidor registreras i granskningsloggen enligt beskrivningen i följande tabell.
| Tjänstfilter | Aktiviteter | Potentiell påverkan |
|---|---|---|
| Grundläggande katalog | Uppdatera företagsinställningar | Användare kanske eller kanske inte kan registrera program, i motsats till avsikt. |
| Grundläggande katalog | Ange företagsinformation | Användare kanske eller kanske inte kan komma åt Microsoft Entra-administrationsportalen, i motsats till avsikt. Inloggningssidor representerar inte företagets varumärke, med potentiell skada på ryktet. |
| Grundläggande katalog | Aktivitet: Tjänstens huvudnamn har uppdaterats Mål: 0365 LinkedIn-anslutning |
Användare kanske eller kanske inte kan ansluta sitt Microsoft Entra-konto till LinkedIn, i motsats till avsikt. |
| Självbetjäning, grupphantering | Uppdatera myApps-funktionsvärdet | Användare kanske eller kanske inte kan använda användarfunktioner, i motsats till avsikt. |
| Självbetjäning, grupphantering | Uppdatera funktionsvärdet för ConvergedUXV2 | Användare kanske eller kanske inte kan använda användarfunktioner, i motsats till avsikt. |
| Självbetjäning, grupphantering | Uppdatera funktionsvärdet MyStaff | Användare kanske eller kanske inte kan använda användarfunktioner, i motsats till avsikt. |
| Grundläggande katalog | Aktivitet: Uppdatera tjänstens huvudnamn Mål: Microsofts tjänst för lösenordsåterställning |
Användare kan eller kan inte återställa sitt lösenord, i motsats till avsikt. Användare måste eller måste inte registrera sig för självbetjäning av lösenordsåterställning, i motsats till avsikt. Användare kan återställa sitt lösenord med metoder som inte är godkända, till exempel med hjälp av säkerhetsfrågor. |
Konfigurationsändringar för externa identiteter
Du kan göra ändringar i de här inställningarna på sidorna Externa identiteter eller Inställningar för externt samarbete i Azure Portal.
| Tjänstfilter | Aktiviteter | Potentiell påverkan |
|---|---|---|
| Grundläggande katalog | Lägga till, uppdatera eller ta bort en partner i åtkomstinställningen mellan klientorganisationer | Användare har utgående åtkomst till klientorganisationer som ska blockeras. Användare från externa klienter som ska blockeras har inkommande åtkomst. |
| B2C | Skapa eller ta bort identitetsprovider | Identitetsprovidrar för användare som ska kunna samarbeta saknas, vilket blockerar åtkomsten för dessa användare. |
| Grundläggande katalog | Ange katalogfunktion för klientorganisation | Externa användare har större eller mindre synlighet för katalogobjekt än vad som är avsett. Externa användare kanske eller kanske inte bjuder in andra externa användare till din klientorganisation, i strid med avsikten. |
| Grundläggande katalog | Ange federationsinställningar för domän | Externa användarinbjudningar kan eller kanske inte skickas till användare i andra klientorganisationer, i strid med avsikten. |
| AuthorizationPolicy | Uppdatera auktoriseringsprincip | Externa användarinbjudningar kan eller kanske inte skickas till användare i andra klientorganisationer, i strid med avsikten. |
| Grundläggande katalog | Uppdatera policy | Externa användarinbjudningar kan eller kanske inte skickas till användare i andra klientorganisationer, i strid med avsikten. |
Konfigurationsändringar för anpassad roll och mobilitetsdefinition
| Tjänstfilter | Aktiviteter/portal | Potentiell påverkan |
|---|---|---|
| Grundläggande katalog | Lägg till rolldefinition | Omfånget för anpassad roll är smalare eller bredare än avsett. |
| PIM | Uppdatera rollinställning | Omfånget för anpassad roll är smalare eller bredare än avsett. |
| Grundläggande katalog | Uppdatera rolldefinition | Omfånget för anpassad roll är smalare eller bredare än avsett. |
| Grundläggande katalog | Ta bort rolldefinition | Anpassade roller saknas. |
| Grundläggande katalog | Lägga till delegerat behörighetsbidrag | Konfigurationen för hantering av mobila enheter eller mobilprogram saknas eller är felkonfigurerad, vilket leder till att enhets- eller programhantering misslyckas. |
Detaljerad vy för granskningsloggar
Om du väljer några granskningsposter i granskningsloggen får du information om de gamla och nya konfigurationsvärdena. För konfigurationsändringar för principer för villkorsstyrd åtkomst kan du till exempel se informationen i följande skärmbild.
Använda arbetsböcker för att spåra ändringar
Azure Monitor-arbetsböcker kan hjälpa dig att övervaka konfigurationsändringar.
Rapportarbetsboken för känsliga åtgärder kan hjälpa dig att identifiera misstänkt aktivitet för program och tjänstens huvudnamn som kan tyda på en kompromiss, inklusive:
- Ändrade autentiseringsuppgifter för program eller tjänstens huvudnamn eller autentiseringsmetoder.
- Nya behörigheter som beviljats tjänstens huvudnamn.
- Uppdateringar av katalogroll och gruppmedlemskap för tjänstens huvudnamn.
- Ändrade federationsinställningar.
Arbetsboken för åtkomst mellan klientorganisationer kan hjälpa dig att övervaka vilka program i externa klientorganisationer som användarna har åtkomst till och vilka program som externa klientanvändare har åtkomst till. Använd den här arbetsboken för att söka efter avvikande ändringar i antingen inkommande eller utgående programåtkomst mellan klienter.
Nästa steg
- Grundläggande information om återställning finns i Metodtips för återställning.
- Information om hur du återställer från borttagningar finns i Återställa från borttagningar.