Бөлісу құралы:

Политики, управляемые корпорацией Майкрософт

  • Мақала

Как упоминалось в отчете Microsoft о цифровой защите в октябре 2023 г.

... угрозы цифрового мира снизили доверие к технологии и подчеркнули срочное необходимость улучшения киберзащиты на всех уровнях...

... в Корпорации Майкрософт более 10 000 экспертов по безопасности анализируют более 65 трлн сигналов каждый день, представляющих некоторые из самых влиятельных аналитических данных в области кибербезопасности. Вместе мы можем построить киберустойчивость с помощью инновационных действий и коллективной обороны.

В рамках этой работы мы делаем политики, управляемые Корпорацией Майкрософт, доступными в клиентах Microsoft Entra по всему миру. Эти упрощенные политики условного доступа требуют многофакторной аутентификации, что, согласно недавнему исследованию, может снизить риск компрометации более чем на 99 %.

Снимок экрана: пример управляемой корпорацией Майкрософт политики в Центре администрирования Microsoft Entra.

Администраторы, которым назначена по крайней мере роль администратора условного доступа, находят эти политики в Центре администрирования Microsoft Entra под Защита>Условный доступ>Политики.

Администраторы имеют возможность изменятьсостояние (Вкл., Выкл., или Только отчет) и исключенных учетных записей (пользователей, групп и ролей) в политике. Организации должны исключить свои учетные записи аварийного или экстренного доступа из этих политик так же, как и из других политик условного доступа. Организации могут дублировать эти политики, если они хотят внести больше изменений, чем базовые, разрешенные в версиях, управляемых Корпорацией Майкрософт.

Корпорация Майкрософт будет включать эти политики не менее чем через 90 дней после их внедрения в клиенте, если они остаются в только для отчетов состоянии. Администраторы могут раньше включить эти политики или отказаться, задав состояние политики "Отключить". Клиенты получают уведомления по электронной почте и через сообщения "Центра сообщений" за 28 дней до включения политик.

Примечание.

В некоторых случаях политики могут быть включены быстрее, чем за 90 дней. Если это изменение применимо к клиенту:

  • Мы упоминаем его в сообщениях электронной почты и центре сообщений Microsoft 365, которые вы получаете о политиках, управляемых Корпорацией Майкрософт.
  • Мы упоминаем его в сведениях о политике в Центре администрирования Microsoft Entra.

Политики

Эти политики, управляемые корпорацией Майкрософт, позволяют администраторам вносить простые изменения, такие как исключение пользователей или включение и отключение режима только для отчетов. Организации не могут переименовать или удалить какие-либо политики, управляемые корпорацией Майкрософт. По мере того как администраторы привыкают к политике условного доступа, они могут дублировать политику, чтобы создать пользовательские версии.

По мере развития угроз корпорация Майкрософт может изменить эти политики в будущем, чтобы воспользоваться новыми функциями, функциями или улучшить свою функцию.

Заблокировать устаревшую аутентификацию

Эта политика блокирует попытки входа с использованием устаревшей аутентификации и протоколов, связанных с ней. Эти проверки подлинности могут поступать от старых клиентов, таких как Office 2010, или клиентов, использующих такие протоколы, как IMAP, SMTP или POP3.

На основе анализа Майкрософт более 99 процентов атак с распыления паролем используют эти устаревшие протоколы проверки подлинности. Эти атаки прекратятся, если простая проверка подлинности будет отключена или заблокирована.

Блокировать поток кода устройства

Эта политика блокирует поток кода устройства, когда пользователь инициирует проверку подлинности на одном устройстве, завершает работу на другом устройстве, а их маркер отправляется обратно на исходное устройство. Этот тип проверки подлинности распространен, когда пользователи не могут вводить свои учетные данные, такие как смарт-телевизоры, устройства Комнаты Microsoft Teams, устройства Интернета вещей или принтеры.

Поток кода устройства редко используется клиентами, но часто используется злоумышленниками. Включение этой политики, управляемой корпорацией Майкрософт для вашей организации, помогает удалить этот вектор атаки.

Многофакторная проверка подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт

Эта политика охватывает 14 ролей администратора, которые мы считаем высоко привилегированными, которые обращаются к группе порталов администрирования Майкрософт и требуют от них многофакторной проверки подлинности.

Эта политика предназначена для клиентов Microsoft Entra ID P1 и P2, где значения безопасности по умолчанию не включены.

Совет

Управляемые корпорацией Майкрософт политики, требующие многофакторной проверки подлинности, отличаются от объявления о обязательной многофакторной проверке подлинности для входа Azure, сделанной в 2024 году, которая начала постепенное развертывание в октябре 2024 года. Дополнительные сведения об этом принудительном применении можно найти в статье «Планирование обязательной многофакторной проверки подлинности для Azure» и других порталов администрирования.

Многофакторная аутентификация для пользователей с индивидуальной настройкой многофакторной аутентификации

Эта политика касается пользовательского MFA, конфигурации, которую компания Майкрософт больше не рекомендует. Условный доступ предлагает лучший интерфейс администратора с множеством дополнительных функций. Консолидация всех политик MFA в Условном доступе может помочь вам быть более избирательным в требованиях многофакторной аутентификации, уменьшая неудобства для конечных пользователей при сохранении уровня безопасности.

Эта политика предназначена для выполнения указанных ниже задач.

  • Организации, пользователи которых имеют лицензии Microsoft Entra ID P1 и P2
  • Организации, в которых параметры безопасности по умолчанию не включены
  • Организации, где у менее чем 500 пользователей включена или применена принудительно многофакторная аутентификация.

Чтобы применить эту политику к нескольким пользователям, дублируйте ее и измените назначения.

Совет

Использование иконки "Изменить" наверху для изменения политики многофакторной аутентификации, управляемой Microsoft, может привести к ошибке "не удалось обновить". Чтобы обойти эту проблему, выберите «Изменить» в разделе «Исключенные удостоверения» политики.

Многофакторная проверка подлинности и повторная проверка подлинности для рискованных входов

Эта политика охватывает всех пользователей и требует многофакторной проверки подлинности и повторной проверки подлинности при обнаружении входов с высоким риском. Высокий риск в этом случае означает, что что-то о том, как пользователь вошел в систему, не является обычным. Эти высокорисковые входы могут включать в себя поездки, которые являются крайне необычными, атаки методом перебора паролей или атаки с повторным воспроизведением токенов. Дополнительные сведения об этих определениях рисков см. в статье "Что такое обнаружение рисков".

Эта политика предназначена для клиентов Microsoft Entra ID P2, где параметры безопасности по умолчанию не включены.

  • Если лицензии P2 равны или превышают общее число зарегистрированных пользователей MFA, политика охватывает всех пользователей.
  • Если количество активных пользователей, зарегистрированных в MFA, превышает доступные лицензии P2, мы создаем и назначаем политику группе безопасности, ограниченной количеством доступных лицензий P2. Вы можете изменить членство группы безопасности в рамках политики.

Чтобы предотвратить захват учетных записей злоумышленниками, Майкрософт не разрешает рисковым пользователям регистрироваться в MFA.

Политики безопасности по умолчанию

Следующие политики становятся доступны при переходе от использования настроек безопасности по умолчанию.

Блокировать устаревшую аутентификацию

Эта политика блокирует устаревшие протоколы проверки подлинности из доступа к приложениям. Под устаревшей проверкой подлинности понимается запрос проверки подлинности, осуществленный следующими способами:

  • Клиенты, не использующие современную проверку подлинности (например, клиент Office 2010)
  • Любой клиент, использующий старые протоколы почты, такие как IMAP, SMTP или POP3
  • Любая попытка входа с использованием устаревшей проверки подлинности заблокирована.

Большинство наблюдаемых попыток взлома учетных записей связано с использованием устаревшей проверки подлинности. Так как устаревшая проверка подлинности не поддерживает многофакторную проверку подлинности, злоумышленник может обойти требования MFA с помощью старого протокола.

Требовать многофакторную проверку подлинности для управления Azure

Эта политика охватывает всех пользователей при попытке доступа к различным службам Azure, управляемым через API Azure Resource Manager, включая:

  • Портал Azure
  • Центр администрирования Microsoft Entra
  • Azure PowerShell
  • Azure CLI

При попытке получить доступ к любому из этих ресурсов пользователю необходимо выполнить многофакторную проверку подлинности, прежде чем получить доступ.

Требовать многофакторную проверку подлинности для администраторов

Эта политика охватывает любого пользователя с одной из ролей администратора, которые считаются привилегированными:

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Из-за власти, которой обладают эти учетные записи с высоким уровнем привилегий, необходимо использование MFA каждый раз, когда они входят в любое приложение.

Требовать многофакторную проверку подлинности для всех пользователей

Эта политика охватывает всех пользователей в организации и требует от них многофакторной проверки подлинности при входе. В большинстве случаев сеанс сохраняется на устройстве, и пользователям не нужно выполнять многофакторную проверку подлинности при взаимодействии с другим приложением.

Как я могу увидеть последствия этих политик?

Администраторы могут обратиться к разделу о влиянии политики на входы в систему, чтобы получить краткие сведения о его воздействии на их среду.

Снимок экрана: влияние политики на организацию.

Администраторы могут более глубоко изучить журналы входа Microsoft Entra, чтобы увидеть эти политики в действии в своей организации.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли читателя отчетов.
  2. Перейдите к Удостоверения>Мониторинг и работоспособность>Журналы входа.
  3. Найдите конкретный вход, который требуется проверить. Добавьте или удалите фильтры и столбцы, чтобы отфильтровать ненужные сведения.
    1. Чтобы сузить область, добавьте такие фильтры:
      1. Идентификатор корреляции, если у вас есть определенное событие для изучения.
      2. Условный доступ для просмотра неудач и успешности выполнения политики. Настройте фильтр для отображения только сбоев, чтобы ограничить результаты.
      3. Имя пользователя для просмотра сведений, связанных с конкретными пользователями.
      4. Дата, ограниченная рассматриваемым интервалом времени.
  4. После обнаружения события входа, соответствующего входу пользователя, перейдите на вкладку условного доступа . На вкладке "Условный доступ" отображается определенная политика или политики, которые привели к прерыванию входа.
    1. Для дальнейшего изучения выполните детализацию конфигурации политик, выбрав имя политики. При нажатии на название политики отображается пользовательский интерфейс конфигурации для проверки и редактирования выбранной политики.
    2. Сведения о пользователе и устройстве клиента, которые использовались для оценки политики условного доступа, также доступны на вкладках Основные сведения, Место, Сведения об устройстве, Сведения о проверке подлинности и Дополнительные сведения о событии входа.

Распространенные вопросы

Что такое условный доступ?

Условный доступ — это функция Microsoft Entra, которая позволяет организациям применять требования к безопасности при доступе к ресурсам. Условный доступ обычно используется для применения многофакторной проверки подлинности, конфигурации устройства или требований к сетевому расположению.

Эти политики можно рассматривать как логические условные выражения.

Если атрибуты (пользователи, ресурсы и условия) являются истинными, тогда примените элементы управления доступом (разрешение и/или сеанс) в политике. Если вы являетесь администратором, который хочет получить доступ к одному из порталов администрирования Майкрософт, необходимо выполнить многофакторную проверку подлинности, чтобы доказать, что это действительно вы.

Что делать, если я хочу внести дополнительные изменения?

Администраторы могут внести дополнительные изменения в эти политики, дублируя их с помощью кнопки "Дублировать " в представлении списка политик. Эта новая политика может быть настроена так же, как и любая другая политика условного доступа, начиная с рекомендуемой позиции Майкрософт. Будьте осторожны, чтобы вы случайно не понизили уровень безопасности при внесении этих изменений.

Какие роли администратора охватываются этими политиками?

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Что делать, если для многофакторной проверки подлинности используется другое решение?

Многофакторная проверка подлинности завершена с помощью внешних методов проверки подлинности удовлетворяет требованиям MFA для политик, управляемых Корпорацией Майкрософт.

При завершении многофакторной аутентификации через федеративного поставщика удостоверений (IdP) это может удовлетворять требованиям MFA для Microsoft Entra ID в зависимости от вашей конфигурации. Для получения более подробной информации см. Удовлетворение требований многофакторной аутентификации (MFA) Microsoft Entra ID с утверждениями MFA от федеративного поставщика удостоверений.

Что делать, если использовать проверку подлинности Certificate-Based?

В зависимости от конфигурации проверки подлинности Certificate-Based (CBA) она может функционировать как однофакторная или многофакторная проверка подлинности.

  • Если у вашей организации CBA настроена как однофакторная (один фактор), пользователи должны использовать второй метод проверки подлинности для выполнения требований многофакторной аутентификации (MFA). Дополнительные сведения о разрешенных сочетаниях методов аутентификации, таких как многофакторная аутентификация с однофакторной аутентификацией на основе сертификатов (CBA), см. в разделе многофакторная аутентификация с однофакторной аутентификацией на основе сертификатов.
  • Если в вашей организации CBA настроено как многофакторное, пользователи могут завершить многофакторную аутентификацию (MFA) с помощью метода проверки подлинности CBA.

Что делать, если использовать пользовательские элементы управления?

Настраиваемые элементы управления не удовлетворяют требованиям к утверждению многофакторной аутентификации. Если в вашей организации используются пользовательские элементы управления, рекомендуется перейти на внешние методы проверки подлинности, которые заменяют пользовательские элементы управления. Внешний поставщик проверки подлинности должен поддерживать внешние методы проверки подлинности и предоставлять необходимые рекомендации по настройке для их интеграции.

Следующие шаги