Biztonsági alapértékek a Microsoft Entra ID-ben
A biztonsági alapértékek megkönnyítik a szervezet védelmét az identitással kapcsolatos támadások, például a jelszópermet, a visszajátszás és az adathalászat ellen a mai környezetekben.
A Microsoft ezeket az előre konfigurált biztonsági beállításokat mindenki számára elérhetővé teszi, mert tudjuk, hogy a biztonság kezelése nehézkes lehet. A tanulásunk alapján ezeknek a gyakori identitással kapcsolatos támadásoknak többtényezős hitelesítéssel és az örökölt hitelesítés blokkolásával a támadások több mint 99,9%-a leáll. Célunk annak biztosítása, hogy minden szervezetnek legyen legalább egy alapszintű biztonsági szintje, amely további költségek nélkül engedélyezve van.
Ezek az alapvető vezérlők a következők:
- A többtényezős hitelesítésre való regisztráció megkövetelése minden felhasználó számára
- Többtényezős hitelesítés megkövetelése a rendszergazdáktól
- Többtényezős hitelesítés megkövetelése a felhasználóknak, ha szükséges
- Régi hitelesítési protokollok blokkolása
- Kiemelt tevékenységek, például az Azure Portalhoz való hozzáférés védelme
Kinek?
- Azok a szervezetek, akik növelni szeretnék a biztonsági helyzetüket, de nem tudják, hogyan és hol kezdjenek.
- A Microsoft Entra ID licencelésének ingyenes szintjét használó szervezetek.
Ki használja a feltételes hozzáférést?
- Ha Ön Microsoft Entra id P1 vagy P2 licenccel rendelkező szervezet, akkor a biztonsági alapértelmezések valószínűleg nem megfelelőek Önnek.
- Ha a szervezet összetett biztonsági követelményekkel rendelkezik, érdemes megfontolnia a feltételes hozzáférést.
Alapértelmezett biztonsági beállítások engedélyezése
Ha a bérlőt 2019. október 22-én vagy azt követően hozták létre, akkor előfordulhat, hogy a biztonsági alapértelmezések engedélyezve vannak a bérlőben. Az összes felhasználó védelme érdekében a biztonsági alapértékek a létrehozáskor az összes új bérlőre ki lesznek állítva.
A szervezetek védelme érdekében folyamatosan dolgozunk a Microsoft-fiókszolgáltatások biztonságának javításán. A védelem részeként az ügyfelek rendszeres időközönként értesítést kapnak az alapértelmezett biztonsági beállítások automatikus engedélyezéséről, ha:
- Nincsenek feltételes hozzáférési szabályzatok
- Nem rendelkezik prémium licencekkel
- Nem használ aktívan régi hitelesítési ügyfeleket
A beállítás engedélyezése után a szervezet összes felhasználójának regisztrálnia kell a többtényezős hitelesítésre. A félreértések elkerülése érdekében tekintse meg a kapott e-mailt, és letilthatja az alapértelmezett biztonsági beállításokat az engedélyezés után.
A címtárban az alapértelmezett biztonsági beállítások konfigurálásához legalább a feltételes hozzáférés adminisztrátor szerepkörrel kell rendelkeznie.
Alapértelmezés szerint a Microsoft Entra bérlőt létrehozó felhasználó automatikusan a globális rendszergazdai szerepkörhöz van rendelve.
A biztonsági alapértékek engedélyezése:
- Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább feltételes hozzáférési adminisztrátorként.
- Keresse meg az Identitás>Áttekintés>Tulajdonságok-t.
- Válassza a Biztonsági alapértelmezések kezelése lehetőséget.
- Állítsa be az alapértelmezett biztonsági beállításokat engedélyezett értékre.
- Válassza a Mentés lehetőséget.
Aktív tokensek visszavonása
A biztonsági alapértékek engedélyezésének részeként a rendszergazdáknak vissza kell vonniuk az összes meglévő tokenet, hogy minden felhasználó regisztráljon a többtényezős hitelesítéshez. Ez a visszavonási esemény arra kényszeríti a korábban hitelesített felhasználókat, hogy hitelesítsék és regisztrálják a többtényezős hitelesítést. Ez a feladat a Revoke-AzureADUserAllRefreshToken PowerShell-parancsmaggal hajtható végre.
Kényszerített biztonsági szabályzatok
Minden felhasználónak regisztrálnia kell a Microsoft Entra többtényezős hitelesítésére
Feljegyzés
2024. július 29-től az új és meglévő bérlők esetében megszűnt a 14 napos türelmi időszak, amelyet a felhasználók az MFA-ra való regisztrációra kaphattak. Ezt a módosítást azért tesszük, hogy a 14 napos időszak alatt csökkentsük a fiókok feltörésének kockázatát, mivel az MFA az identitásalapú támadások több mint 99,2%-át blokkolhatja.
Amikor a felhasználók bejelentkeznek, és a rendszer többtényezős hitelesítést kér, megjelenik egy képernyő, amelyen egy szám szerepel a Microsoft Authenticator alkalmazásban. Ez az intézkedés segít megelőzni, hogy a felhasználók MFA-fáradtsággal kapcsolatos támadásoknak áldozatul essenek.
Többtényezős hitelesítés megkövetelése a rendszergazdáktól
A rendszergazdák nagyobb hozzáféréssel rendelkeznek a környezethez. Mivel ezeknek a kiemelt jogosultságú fiókoknak a hatalma van, különös gondossággal kell kezelnie őket. A kiemelt fiókok védelmének javítására az egyik gyakori módszer, ha a bejelentkezéshez erősebb fiókhitelesítésre van szükség, például többtényezős hitelesítésre.
Tipp.
Javaslatok a rendszergazdáknak:
- Győződjön meg arról, hogy minden rendszergazda bejelentkezik a biztonsági beállítások engedélyezése után, hogy regisztrálhassanak a hitelesítési módszerekre.
- Külön fiókokkal rendelkezik az adminisztrációs és a standard hatékonysági feladatokhoz, így jelentősen csökkentheti a rendszergazdák MFA-kéréseinek számát.
A regisztráció befejezése után a következő rendszergazdai szerepkörökre lesz szükség a többtényezős hitelesítés minden bejelentkezéskor:
- Globális rendszergazda
- alkalmazás-rendszergazda
- Hitelesítési rendszergazda
- Számlázási rendszergazda
- Felhőalkalmazás-rendszergazda
- Feltételes hozzáférésű rendszergazda
- Exchange-rendszergazda
- Ügyfélszolgálati rendszergazda
- Jelszóadminisztrátor
- Kiemelt hitelesítési rendszergazda
- Kiemelt szerepkörű rendszergazda
- Biztonsági rendszergazda
- SharePoint-rendszergazda
- Felhasználói rendszergazda
- Hitelesítési szabályzatot felügyelő rendszergazda
- Identitásirányítási rendszergazda
Szükség esetén többtényezős hitelesítés megkövetelése a felhasználóknak
Általában úgy gondoljuk, hogy a rendszergazdai fiókok az egyetlen olyan fiók, amely további hitelesítési rétegeket igényel. A rendszergazdák széles körű hozzáféréssel rendelkeznek a bizalmas információkhoz, és módosíthatják az előfizetésre vonatkozó beállításokat. A támadók azonban gyakran célba érik a végfelhasználókat.
Miután ezek a támadók hozzáférést kapnak, hozzáférést kérhetnek az eredeti fióktulajdonos kiemelt adataihoz. Akár a teljes könyvtárat is letölthetik, hogy adathalász támadást hajtsanak végre az egész szervezeten.
Az összes felhasználó védelmét javító egyik gyakori módszer a fiókhitelesítés erősebb formája, például a többtényezős hitelesítés megkövetelése mindenki számára. Miután a felhasználók befejezték a regisztrációt, a rendszer szükség esetén egy másik hitelesítést fog kérni. A Microsoft többtényezős hitelesítést kér a felhasználótól olyan tényezők alapján, mint a hely, az eszköz, a szerepkör és a feladat. Ez a funkció az összes regisztrált alkalmazást védi, beleértve az SaaS-alkalmazásokat is.
Feljegyzés
B2B közvetlen kapcsolatú felhasználók esetén az erőforrásbérlőben engedélyezett biztonsági alapértelmezett beállítások többtényezős hitelesítési követelményeinek meg kell felelni, beleértve a többtényezős hitelesítés regisztrációját a közvetlen kapcsolat felhasználója által az otthoni bérlőjében.
Régi hitelesítési protokollok letiltása
Annak érdekében, hogy a felhasználók könnyen hozzáférhessenek a felhőalkalmazásokhoz, támogatjuk a különböző hitelesítési protokollokat, beleértve az örökölt hitelesítést is. Az örökölt hitelesítés olyan kifejezés, amely a következő által küldött hitelesítési kérésre hivatkozik:
- Modern hitelesítést nem használó ügyfelek (például Office 2010-ügyfél)
- Minden olyan ügyfél, amely régebbi levelezési protokollokat használ, például IMAP, SMTP vagy POP3
Ma a legtöbb kompromittáló bejelentkezési kísérlet örökölt hitelesítésből származik. Az örökölt hitelesítés nem támogatja a többtényezős hitelesítést. Még ha engedélyezve is van egy többtényezős hitelesítési szabályzat a címtárban, a támadók egy régebbi protokoll használatával hitelesíthetik magukat, és megkerülhetik a többtényezős hitelesítést.
Miután engedélyezte a biztonsági alapértelmezett beállításokat a bérlőben, a rendszer letiltja a régebbi protokoll által küldött összes hitelesítési kérést. A biztonsági alapértelmezések letiltják az Exchange Active Sync alapszintű hitelesítését.
Figyelmeztetés
A biztonsági alapértékek engedélyezése előtt győződjön meg arról, hogy a rendszergazdák nem használnak régebbi hitelesítési protokollokat. További információ: Az örökölt hitelesítéstől való eltávolodás.
Kiemelt tevékenységek, például az Azure Portalhoz való hozzáférés védelme
A szervezetek az Azure Resource Manager API-val felügyelt különböző Azure-szolgáltatásokat használnak, többek között a következőket:
- Azure Portal
- Microsoft Entra felügyeleti központ
- Azure PowerShell
- Azure CLI
Az Azure Resource Manager használata a szolgáltatások kezeléséhez magas jogosultsági szintű művelet. Az Azure Resource Manager módosíthatja a bérlői szintű konfigurációkat, például a szolgáltatásbeállításokat és az előfizetés számlázását. Az egytényezős hitelesítés sebezhető a különböző támadások, például az adathalászat és a jelszópermet ellen.
Fontos ellenőrizni azon felhasználók identitását, akik hozzá szeretnének férni az Azure Resource Managerhez, és frissítenék a konfigurációkat. A hozzáférés engedélyezése előtt további hitelesítést igényelve ellenőrizheti az identitásukat.
Miután engedélyezte a bérlő biztonsági alapértelmezett beállításait, a következő szolgáltatásokat elérő összes felhasználónak többtényezős hitelesítést kell végrehajtania:
- Azure Portal
- Microsoft Entra felügyeleti központ
- Azure PowerShell
- Azure CLI
Ez a szabályzat minden olyan felhasználóra vonatkozik, aki hozzáfér az Azure Resource Manager-szolgáltatásokhoz, függetlenül attól, hogy rendszergazda vagy felhasználó. Ez a szabályzat olyan Azure Resource Manager API-kra vonatkozik, mint az előfizetés, a virtuális gépek, a tárfiókok stb. elérése. Ez a szabályzat nem tartalmazza a Microsoft Entra-azonosítót vagy a Microsoft Graphot.
Megjegyzés
A 2017 előtti Exchange Online-bérlőknél alapértelmezetten le van tiltva a modern hitelesítés. Annak érdekében, hogy elkerülhesse a bejelentkezési ciklus lehetőségét a bérlőkön keresztül történő hitelesítéskor, engedélyeznie kell a modern hitelesítést.
Feljegyzés
A Microsoft Entra Connect/Microsoft Entra Cloud Sync szinkronizálási fiókjai (vagy a "Címtár-szinkronizálási fiókok" szerepkörhöz rendelt biztonsági tagok) nem tartoznak az alapértelmezett biztonsági beállításokba, és a rendszer nem kéri a többtényezős hitelesítés regisztrálását vagy végrehajtását. A szervezetek nem használhatják ezt a fiókot más célokra.
Telepítési szempontok
A felhasználók előkészítése
Fontos, hogy tájékoztassa a felhasználókat a közelgő változásokról, a regisztrációs követelményekről és a szükséges felhasználói műveletekről. Kommunikációs sablonokat és felhasználói dokumentációt biztosítunk, hogy felkészítsük a felhasználókat az új felületre, és segítsük a sikeres bevezetést. Irányítsa a felhasználókat a https://myprofile.microsoft.com oldalra, ahol a Biztonsági információk hivatkozásra kattintva regisztrálhatnak.
Hitelesítési módszerek
A biztonsági alapértékek szerint a felhasználóknak regisztrálniuk kell és használniuk kell a többtényezős hitelesítést a Microsoft Authenticator alkalmazás értesítéseinek használatával. Előfordulhat, hogy a felhasználók a Microsoft Authenticator alkalmazás ellenőrzőkódjait használják, de csak az értesítési lehetőséggel regisztrálhatnak. A felhasználók bármely harmadik féltől származó alkalmazást használhatnak az OATH TOTP használatával kódok létrehozásához.
Figyelmeztetés
Ha biztonsági alapértékeket használ, ne tiltsa le a szervezet eljárásait. A módszerek letiltása azt eredményezheti, hogy kizárja magát a bérleményéből. Engedélyezze az összes felhasználók számára elérhető módszertant az MFA szolgáltatásbeállítások portálján.
B2B-felhasználók
A címtárhoz hozzáférő B2B-vendégfelhasználók és közvetlen B2B-felhasználók ugyanúgy lesznek kezelve, mint a szervezet felhasználói.
Letiltott MFA-állapot
Ha a szervezet korábban használta a felhasználónkénti alapon működő többtényezős hitelesítést, ne aggódjon, ha a többtényezős hitelesítés állapotoldalán nem szerepelnek a felhasználók Engedélyezett vagy Kikényszerített állapotban. A letiltott állapot az alapértelmezett biztonsági beállításokat vagy feltételes hozzáférésen alapuló többtényezős hitelesítést használó felhasználók számára megfelelő állapot.
A biztonsági alapértelmezett beállítások letiltása
Azoknak a szervezeteknek, amelyek a biztonsági alapértelmezett beállításokat helyettesítő feltételes hozzáférési házirendek bevezetését választják, le kell tiltaniuk a biztonsági alapértelmezett beállításokat.
A címtár biztonsági alapértelmezésének letiltása:
- Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább feltételes hozzáférési adminisztrátorként.
- Keresse meg az Identitás>Áttekintés>Tulajdonságok-t.
- Válassza a Biztonsági alapértelmezések kezelése lehetőséget.
- Állítsa a Biztonsági alapértelmezett értéket Kikapcsolva állapotra (nem ajánlott).
- Válassza a Mentés lehetőséget.
Váltás az alapértelmezett biztonsági beállításokról a feltételes hozzáférésre
Bár a biztonsági alapértékek jó alapkonfigurációk a biztonsági helyzet elindításához, nem teszik lehetővé a számos szervezet által igényelt testreszabást. A feltételes hozzáférési szabályzatok teljes körű testreszabást biztosítanak, amelyet az összetettebb szervezetek igényelnek.
| Alapértelmezett biztonsági szabályok | Feltételes hozzáférés | |
|---|---|---|
| Szükséges licencek | Egyik sem | Legalább Microsoft Entra ID P1 |
| Testreszabás | Nincs testreszabás (be- vagy kikapcsolva) | Teljesen testre szabható |
| Lehetővé tette: | Microsoft vagy rendszergazda | Rendszergazda |
| Bonyolultság | Egyszerű használat | A követelményeknek megfelelően teljesen testre szabható |
Ajánlott lépések a biztonsági beállításokról való áttéréskor
Azok a szervezetek, amelyek tesztelni szeretnék a feltételes hozzáférés funkcióit, regisztrálhatnak egy ingyenes próbaverzióra az első lépésekhez.
Miután a rendszergazdák letiltják a biztonsági alapértékeket, a szervezeteknek azonnal engedélyezniük kell a feltételes hozzáférési szabályzatokat a szervezetük védelméhez. Ezeknek a szabályzatoknak legalább azokat a szabályzatokat kell tartalmazniuk a feltételes hozzáférési sablonok biztonságos alapok kategóriájában. Microsoft Entra ID Protection-t tartalmazó Microsoft Entra ID P2-licencekkel rendelkező szervezetek kiterjeszthetik ezen a listát a felhasználói és bejelentkezési kockázati alapú szabályzatokkal, hogy tovább erősítsék a helyzetüket.
A Microsoft azt javasolja, hogy a szervezetek két kizárólag felhőalapú segélyhívási fiókkal rendelkezzenek, amelyekhez véglegesen hozzárendelték a globális rendszergazdai szerepkört. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A fiókok vészhelyzeti vagy "vészkimeneti" forgatókönyvekre korlátozódnak, ahol a normál fiókok nem használhatók, vagy az összes többi rendszergazda véletlenül ki van zárva. Ezeket a fiókokat a vészhelyzeti hozzáférési fiók ajánlásait követve kell létrehozni.
Következő lépések
- Blog: A biztonsági alapértékek bemutatása
- A licenceléssel kapcsolatos további információk a Microsoft Entra díjszabási oldalán találhatók.