A szervezet identitásainak védelme a Microsoft Entra-azonosítóval
Ijesztőnek tűnhet, hogy a mai világban próbálják biztosítani a munkavállalókat, különösen akkor, ha gyorsan kell reagálnia, és számos szolgáltatáshoz gyorsan hozzáférést kell biztosítania. Ez a cikk segít tömör listát adni a végrehajtandó műveletekről, és segít azonosítani és rangsorolni a funkciókat a saját licenctípusa alapján.
A Microsoft Entra ID számos funkciót kínál, és számos biztonsági réteget biztosít az identitások számára, így a releváns funkciók navigálása néha túl sok lehet. A dokumentum célja, hogy segítse a szervezeteket a szolgáltatások gyors üzembe helyezésében, elsődleges szempontként a biztonságos identitások használatát.
Az egyes táblák biztonsági javaslatokat nyújtanak az identitások védelmére a gyakori biztonsági támadások ellen, miközben minimálisra csökkentik a felhasználói súrlódást.
Az útmutató segítséget nyújt:
- A szoftverszolgáltatáshoz (SaaS) és a helyszíni alkalmazásokhoz való hozzáférés biztonságos és védett módon történő konfigurálása
- Felhőbeli és hibrid identitások
- Távolról vagy az irodában dolgozó felhasználók
Előfeltételek
Ez az útmutató feltételezi, hogy a csak felhőalapú vagy hibrid identitások már a Microsoft Entra ID-ban vannak létrehozva. Ha segítségre van szüksége az identitástípus kiválasztásához, olvassa el a Microsoft Entra hibrid identitáskezelési megoldásának megfelelő hitelesítési (AuthN) metódus kiválasztása című cikket.
A Microsoft azt javasolja, hogy a szervezetek két kizárólag felhőalapú segélyhívási fiókkal rendelkezzenek, amelyekhez véglegesen hozzárendelték a globális rendszergazdai szerepkört. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A fiókokat csak vészhelyzeti vagy "break glass" szcenáriókra korlátozzák, amikor a normál fiókok nem használhatóak, vagy ha véletlenül az összes többi rendszergazda kizáródott. Ezeket a fiókokat a vészhelyzeti hozzáférési fiók ajánlásainak megfelelően kell létrehozni.
Irányított útmutató
A cikk számos javaslatának részletes útmutatóját tekintse meg a Microsoft Entra azonosító beállítása című útmutatóban a Microsoft 365 Felügyeleti központba való bejelentkezéskor. Ha az ajánlott eljárásokat bejelentkezés és automatikus beállítási funkciók aktiválása nélkül szeretné áttekinteni, nyissa meg a Microsoft 365 telepítőportálját.
Útmutató a Microsoft Entra ID Free, Az Office 365 vagy a Microsoft 365 ügyfeleinek
A Microsoft Entra ID Free, az Office 365 vagy a Microsoft 365 alkalmazás ügyfeleinek számos javaslatot kell tenniük a felhasználói identitások védelme érdekében. Az alábbi táblázat a következő licenc-előfizetések fő műveleteinek kiemelésére szolgál:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
- Microsoft Entra ID Free (az Azure, a Dynamics 365, az Intune és a Power Platform része)
| Javasolt művelet | Részlet |
|---|---|
| Biztonsági alapértékek engedélyezése | Az összes felhasználói identitás és alkalmazás védelme a többtényezős hitelesítés engedélyezésével és az örökölt hitelesítés letiltásával. |
| Jelszókivonat-szinkronizálás engedélyezése (hibrid identitások használata esetén) | Redundancia biztosítása a hitelesítéshez és a biztonság javításához (beleértve az intelligens zárolást, az IP-zárolást és a kiszivárgott hitelesítő adatok felderítését). |
| Az AD FS intelligens zárolásának engedélyezése (ha van) | Védi a felhasználókat a rosszindulatú tevékenységektől való extranetes fiókzárolástól. |
| A Microsoft Entra intelligens zárolásának engedélyezése (felügyelt identitások használata esetén) | Az intelligens zárolás segít kizárni azokat a rossz szereplőket, akik megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni. |
| Végfelhasználói hozzájárulás letiltása alkalmazásokhoz | A rendszergazdai hozzájárulási munkafolyamat biztonságos módot biztosít a rendszergazdák számára a rendszergazdai jóváhagyást igénylő alkalmazásokhoz való hozzáférés biztosításához, hogy a végfelhasználók ne tegyenek közzé vállalati adatokat. A Microsoft azt javasolja, hogy tiltsa le a jövőbeli felhasználói hozzájárulási műveleteket a felület csökkentése és a kockázat csökkentése érdekében. |
| Támogatott SaaS-alkalmazások integrálása a katalógusból a Microsoft Entra-azonosítóba, és egyszeri bejelentkezés (SSO) engedélyezése | A Microsoft Entra ID katalógusa több ezer előre elkészített alkalmazást tartalmaz. A szervezet által használt alkalmazások némelyike valószínűleg az Azure Portalról közvetlenül elérhető katalógusban található. Biztosítson hozzáférést a vállalati SaaS-alkalmazásokhoz távolról és biztonságosan, továbbfejlesztett felhasználói felülettel (egyszeri bejelentkezés (SSO)). |
| Jogosultságkezelés és megszüntetés automatizálása SaaS-alkalmazásokban (ha alkalmazható) | Automatikusan létrehozhat felhasználói identitásokat és szerepköröket a felhőbeli (SaaS-) alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepköreinek változásával való karbantartását és eltávolítását, ami növeli a szervezet biztonságát. |
| Biztonságos hibrid hozzáférés engedélyezése: Örökölt alkalmazások biztonságossá tétele meglévő alkalmazáskézbesítési vezérlőkkel és hálózatokkal (ha vannak) | A meglévő alkalmazáskézbesítési vezérlővel vagy hálózattal összekapcsolva közzéteheti és megvédheti a helyszíni és a felhőbeli örökölt hitelesítési alkalmazásokat a Microsoft Entra ID-hez. |
| Önkiszolgáló jelszó-visszaállítás engedélyezése (csak felhőbeli fiókokra vonatkozik) | Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. |
| A legkevésbé kiemelt szerepkörök használata, ahol lehetséges | Csak azokhoz a területekhez adjon hozzáférést a rendszergazdáknak, amelyekhez hozzáférésre van szükségük. |
| A Microsoft jelszóval kapcsolatos útmutatójának engedélyezése | Ne követelje meg a felhasználóknak, hogy a megadott ütemezés szerint módosítsák a jelszavukat, tiltsák le az összetettségi követelményeket, és a felhasználók könnyebben megjegyezhetik a jelszavaikat, és biztonságosan megőrizhetik őket. |
Útmutató a Microsoft Entra ID P1 ügyfeleinek
Az alábbi táblázat a következő licenc-előfizetések fő műveleteinek kiemelésére szolgál:
- Microsoft Entra ID P1
- Microsoft Nagyvállalati mobilitási és biztonsági E3 csomag
- Microsoft 365 (E3, A3, F1, F3)
| Javasolt művelet | Részlet |
|---|---|
| A többtényezős Microsoft Entra-hitelesítés és az SSPR együttes regisztrációs élményének engedélyezése a felhasználói regisztráció egyszerűbbé tétele érdekében | Lehetővé teszi a felhasználók számára, hogy egyetlen gyakori felületen regisztráljanak a Többtényezős Microsoft Entra hitelesítéshez és az önkiszolgáló jelszó-visszaállításhoz. |
| Többtényezős hitelesítési beállítások konfigurálása a szervezet számára | Győződjön meg arról, hogy a fiókok védettek maradnak a többtényezős hitelesítéssel az esetleges visszaélések ellen. |
| Önkiszolgáló jelszóátállítás engedélyezése | Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. |
| Jelszóvisszaíró implementálása (hibrid identitások használata esetén) | Lehetővé teszi a jelszómódosítások felhőbeli visszaírását egy helyszíni Windows Server Active Directory-környezetbe. |
| Feltételes hozzáférési szabályzatok létrehozása és engedélyezése |
Többtényezős hitelesítés rendszergazdák számára a rendszergazdai jogosultságokkal rendelkező fiókok védelme érdekében. Tiltsa le az örökölt hitelesítési protokollokat az örökölt hitelesítési protokollokkal kapcsolatos megnövekedett kockázat miatt. Többtényezős hitelesítés minden felhasználó és alkalmazás számára, hogy kiegyensúlyozott többtényezős hitelesítési szabályzatot hozzon létre a környezet számára, biztosítva a felhasználók és alkalmazások védelmét. Többtényezős hitelesítés megkövetelése az Azure Management számára a kiemelt erőforrások védelmére, azáltal, hogy minden felhasználónak többtényezős hitelesítést ír elő az Azure-erőforrásokhoz való hozzáféréskor. |
| Jelszókivonat-szinkronizálás engedélyezése (hibrid identitások használata esetén) | Redundancia biztosítása a hitelesítéshez és a biztonság javításához (beleértve az intelligens zárolást, az IP-zárolást és a kiszivárgott hitelesítő adatok felderítését).) |
| Az AD FS intelligens zárolásának engedélyezése (ha van) | Védi a felhasználókat a rosszindulatú tevékenységektől való extranetes fiókzárolástól. |
| A Microsoft Entra intelligens zárolásának engedélyezése (felügyelt identitások használata esetén) | Az intelligens zárolás segít kizárni azokat a rossz szereplőket, akik megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni. |
| Végfelhasználói hozzájárulás letiltása alkalmazásokhoz | A rendszergazdai hozzájárulási munkafolyamat biztonságos módot biztosít a rendszergazdák számára a rendszergazdai jóváhagyást igénylő alkalmazásokhoz való hozzáférés biztosításához, hogy a végfelhasználók ne tegyenek közzé vállalati adatokat. A Microsoft azt javasolja, hogy tiltsa le a jövőbeli felhasználói hozzájárulási műveleteket a felület csökkentése és a kockázat csökkentése érdekében. |
| Távoli hozzáférés engedélyezése a helyszíni örökölt alkalmazásokhoz alkalmazásproxyn keresztül | Engedélyezze a Microsoft Entra-alkalmazásproxyt, és integrálhatja az örökölt alkalmazásokkal a felhasználók számára, hogy biztonságosan elérhessék a helyszíni alkalmazásokat a Microsoft Entra-fiókjukkal való bejelentkezéssel. |
| Biztonságos hibrid hozzáférés engedélyezése: Örökölt alkalmazások biztonságossá tétele meglévő alkalmazáskézbesítési vezérlőkkel és hálózatokkal (ha vannak). | A meglévő alkalmazáskézbesítési vezérlő vagy hálózat segítségével csatlakozzon a Microsoft Entra ID-hez, hogy közzétegye és megvédje helyszíni és felhőbeli örökölt hitelesítési alkalmazásait. |
| Támogatott SaaS-alkalmazások integrálása a katalógusból a Microsoft Entra-azonosítóba, és egyszeri bejelentkezés engedélyezése | A Microsoft Entra ID katalógusa több ezer előre elkészített alkalmazást tartalmaz. A szervezet által használt alkalmazások némelyike valószínűleg az Azure Portalról közvetlenül elérhető katalógusban található. A jobb felhasználói élmény (SSO) révén távolról és biztonságosan biztosíthatja a vállalati SaaS-alkalmazásokhoz való hozzáférést. |
| Felhasználói telepítés és eltávolítás automatizálása SaaS-alkalmazásokon (ha alkalmazható) | Automatikusan létrehozhat felhasználói identitásokat és szerepköröket a felhőbeli (SaaS-) alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepköreinek változásával való karbantartását és eltávolítását, ami növeli a szervezet biztonságát. |
| Feltételes hozzáférés engedélyezése – eszközalapú | Az eszközalapú feltételes hozzáférés biztonságának és felhasználói élményének javítása. Ez a lépés biztosítja, hogy a felhasználók csak olyan eszközökről férjenek hozzá, amelyek megfelelnek a biztonsági és megfelelőségi szabványoknak. Ezeket az eszközöket felügyelt eszközöknek is nevezik. A felügyelt eszközök lehetnek Intune-kompatibilisek vagy a Microsoft Entra hibrid csatlakoztatott eszközei. |
| Jelszóvédelem engedélyezése | Védje meg a felhasználókat a gyenge és könnyen kitalálható jelszavak használatától. |
| A legkevésbé kiemelt szerepkörök használata, ahol lehetséges | Csak azokhoz a területekhez adjon hozzáférést a rendszergazdáknak, amelyekhez hozzáférésre van szükségük. |
| A Microsoft jelszóval kapcsolatos útmutatójának engedélyezése | Ne követelje meg a felhasználóknak, hogy a megadott ütemezés szerint módosítsák a jelszavukat, tiltsák le az összetettségi követelményeket, és a felhasználók könnyebben megjegyezhetik a jelszavaikat, és biztonságosan megőrizhetik őket. |
| Szervezetspecifikus egyéni tiltott jelszólista létrehozása | Megakadályozza, hogy a felhasználók olyan jelszavakat hozzanak létre, amelyek a szervezet vagy a terület általános szavait vagy kifejezéseit tartalmazzák. |
| Jelszó nélküli hitelesítési módszerek üzembe helyezése a felhasználók számára | Biztosítson kényelmes jelszó nélküli hitelesítési módszereket a felhasználóknak. |
| Terv létrehozása vendégfelhasználói hozzáféréshez | Együttműködhet a vendégfelhasználókkal úgy, hogy lehetővé teszi számukra, hogy saját munkahelyi, iskolai vagy közösségi identitásukkal jelentkezzenek be az alkalmazásaiba és szolgáltatásaiba. |
Útmutató a Microsoft Entra ID P2 ügyfeleinek
Az alábbi táblázat a következő licenc-előfizetések fő műveleteinek kiemelésére szolgál:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
| Javasolt művelet | Részlet |
|---|---|
| A többtényezős Microsoft Entra-hitelesítés és az SSPR együttes regisztrációs élményének engedélyezése a felhasználói regisztráció egyszerűbbé tétele érdekében | Lehetővé teszi a felhasználók számára, hogy egyetlen gyakori felületen regisztráljanak a Többtényezős Microsoft Entra hitelesítéshez és az önkiszolgáló jelszó-visszaállításhoz. |
| Többtényezős hitelesítési beállítások konfigurálása a szervezet számára | Győződjön meg arról, hogy a fiókok védettek legyenek a többtényezős hitelesítéssel a kompromittálódástól. |
| Önkiszolgáló jelszóátállítás engedélyezése | Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. |
| Jelszóvisszaíró implementálása (hibrid identitások használata esetén) | Lehetővé teszi a jelszómódosítások felhőbeli visszaírását egy helyszíni Windows Server Active Directory-környezetbe. |
| Engedélyezze a Microsoft Entra ID védelmi házirendeket a többtényezős hitelesítés regisztrációjának kikényszerítéséhez | A Microsoft Entra többtényezős hitelesítés bevezetésének kezelése. |
| Felhasználói és bejelentkezési kockázatalapú feltételes hozzáférési szabályzatok engedélyezése | Az ajánlott bejelentkezési szabályzat a közepes kockázatú bejelentkezések megcélzása, valamint a többtényezős hitelesítés megkövetelése. Felhasználói szabályzatok esetén a jelszómódosítási műveletet igénylő magas kockázatú felhasználókat kell megcéloznia. |
| Feltételes hozzáférési szabályzatok létrehozása és engedélyezése |
Többtényezős hitelesítés rendszergazdák számára a rendszergazdai jogosultságokkal rendelkező fiókok védelme érdekében. Tiltsa le az örökölt hitelesítési protokollokat az örökölt hitelesítési protokollokkal kapcsolatos megnövekedett kockázat miatt. Követelj többtényezős hitelesítést az Azure Managementhez, hogy a kiemelt erőforrások védelme érdekében minden Azure-erőforráshoz hozzáférő felhasználó esetében meg legyen határozva ez a követelmény. |
| Jelszókivonat-szinkronizálás engedélyezése (hibrid identitások használata esetén) | Redundancia biztosítása a hitelesítéshez és a biztonság javításához (beleértve az intelligens zárolást, az IP-zárolást és a kiszivárgott hitelesítő adatok felderítését).) |
| Az AD FS intelligens zárolásának engedélyezése (ha van) | Védi a felhasználókat a rosszindulatú tevékenységektől való extranetes fiókzárolástól. |
| A Microsoft Entra intelligens zárolásának engedélyezése (felügyelt identitások használata esetén) | Az intelligens zárolás segít kizárni azokat a rossz szereplőket, akik megpróbálják kitalálni a felhasználói jelszavakat, vagy találgatásos módszerekkel próbálnak bejutni. |
| Végfelhasználói hozzájárulás letiltása alkalmazásokhoz | A rendszergazdai hozzájárulási munkafolyamat biztonságos módot biztosít a rendszergazdák számára a rendszergazdai jóváhagyást igénylő alkalmazásokhoz való hozzáférés biztosításához, hogy a végfelhasználók ne tegyenek közzé vállalati adatokat. A Microsoft azt javasolja, hogy tiltsa le a jövőbeli felhasználói hozzájárulási műveleteket a felület csökkentése és a kockázat csökkentése érdekében. |
| Távoli hozzáférés engedélyezése a helyszíni örökölt alkalmazásokhoz az alkalmazásproxyval | Engedélyezze a Microsoft Entra-alkalmazásproxyt, és integrálhatja az örökölt alkalmazásokkal a felhasználók számára, hogy biztonságosan elérhessék a helyszíni alkalmazásokat a Microsoft Entra-fiókjukkal való bejelentkezéssel. |
| Biztonságos hibrid hozzáférés engedélyezése: Örökölt alkalmazások biztonságossá tétele meglévő alkalmazáskézbesítési vezérlőkkel és hálózatokkal (ha vannak). | Az alkalmazásszállító vezérlőjével vagy hálózattal összekapcsolva tegye közzé és védje meg a helyszíni és felhőalapú régi hitelesítési alkalmazásait a Microsoft Entra ID-hez való csatlakozással. |
| Támogatott SaaS-alkalmazások integrálása a katalógusból a Microsoft Entra-azonosítóba, és egyszeri bejelentkezés engedélyezése | A Microsoft Entra ID katalógusa több ezer előre elkészített alkalmazást tartalmaz. A szervezet által használt alkalmazások némelyike valószínűleg az Azure Portalról közvetlenül elérhető katalógusban található. A jobb felhasználói élmény (SSO) révén távolról és biztonságosan biztosíthatja a vállalati SaaS-alkalmazásokhoz való hozzáférést. |
| Felhasználók kiépítésének és leépítésének automatizálása SaaS-alkalmazásokban (ha alkalmazható) | Automatikusan létrehozhat felhasználói identitásokat és szerepköröket a felhőbeli (SaaS-) alkalmazásokban, amelyekhez a felhasználóknak hozzáférésre van szükségük. A felhasználói identitások létrehozása mellett az automatikus kiépítés magában foglalja a felhasználói identitások állapotának vagy szerepköreinek változásával való karbantartását és eltávolítását, ami növeli a szervezet biztonságát. |
| Feltételes hozzáférés engedélyezése – eszközalapú | Az eszközalapú feltételes hozzáférés biztonságának és felhasználói élményének javítása. Ez a lépés biztosítja, hogy a felhasználók csak olyan eszközökről férjenek hozzá, amelyek megfelelnek a biztonsági és megfelelőségi szabványoknak. Ezeket az eszközöket felügyelt eszközöknek is nevezik. A felügyelt eszközök lehetnek Intune-kompatibilisek vagy a Microsoft Entra hibrid csatlakoztatott eszközei. |
| Jelszóvédelem engedélyezése | Védje meg a felhasználókat a gyenge és könnyen kitalálható jelszavak használatától. |
| A legkevésbé kiemelt szerepkörök használata, ahol lehetséges | Csak azokhoz a területekhez adjon hozzáférést a rendszergazdáknak, amelyekhez hozzáférésre van szükségük. |
| A Microsoft jelszóval kapcsolatos útmutatójának engedélyezése | Ne követelje meg a felhasználóknak, hogy a megadott ütemezés szerint módosítsák a jelszavukat, tiltsák le az összetettségi követelményeket, és a felhasználók könnyebben megjegyezhetik a jelszavaikat, és biztonságosan megőrizhetik őket. |
| Szervezetspecifikus egyéni tiltott jelszólista létrehozása | Megakadályozza, hogy a felhasználók olyan jelszavakat hozzanak létre, amelyek a szervezet vagy a terület általános szavait vagy kifejezéseit tartalmazzák. |
| Jelszó nélküli hitelesítési módszerek üzembe helyezése a felhasználók számára | Kényelmes jelszó nélküli hitelesítési módszerek biztosítása a felhasználóknak |
| Terv létrehozása vendégfelhasználói hozzáféréshez | Együttműködhet a vendégfelhasználókkal úgy, hogy lehetővé teszi számukra, hogy saját munkahelyi, iskolai vagy közösségi identitásukkal jelentkezzenek be az alkalmazásaiba és szolgáltatásaiba. |
| Privileged Identity Management (PIM) engedélyezése | Lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását, biztosítva, hogy a rendszergazdák csak szükség esetén és jóváhagyással férhessenek hozzá. |
| Hozzáférési felülvizsgálat elvégzése a Microsoft Entra címtárszerepkörökről a PIM-ben | A biztonsági és a vezetői csapatokkal együttműködve hozzon létre egy hozzáférési felülvizsgálati szabályzatot, amely áttekinti a rendszergazdai hozzáférést a szervezet szabályzatai alapján. |
Nulla bizalom
Ez a funkció segít a szervezeteknek abban, hogy identitásaikat a Zero Trust architektúra három vezérelvéhez igazíthassák:
- Ellenőrizze kifejezetten
- Minimális jogosultság használata
- A szabálysértés feltételezése
Ha többet szeretne megtudni a Zero Trust-ról és a szervezetének az irányadó elvekhez való igazításának egyéb módjairól, tekintse meg a Zero Trust Útmutató Központot.
Következő lépések
- A Microsoft Entra ID egyes funkcióival kapcsolatos részletes üzembe helyezési útmutatóért tekintse át a Microsoft Entra ID projekt üzembehelyezési terveit.
- A szervezetek identitásbiztonsági pontszámmal követhetik nyomon az előrehaladásukat más Microsoft-javaslatok alapján.