Поделиться через

Политики, управляемые корпорацией Майкрософт

  • Статья

Как упоминалось в отчете Microsoft о цифровой защите в октябре 2023 г.

... угрозы цифрового мира снизили доверие к технологии и подчеркнули срочное необходимость улучшения киберзащиты на всех уровнях...

... в Корпорации Майкрософт более 10 000 экспертов по безопасности анализируют более 65 трлн сигналов каждый день, представляющих некоторые из самых влиятельных аналитических данных в области кибербезопасности. Вместе мы можем построить киберустойчивость с помощью инновационных действий и коллективной обороны.

В рамках этой работы мы делаем политики, управляемые Корпорацией Майкрософт, доступными в клиентах Microsoft Entra по всему миру. Эти упрощенные политики условного доступа требуют многофакторной аутентификации, что, согласно недавнему исследованию, может снизить риск компрометации более чем на 99 %.

Снимок экрана: пример управляемой корпорацией Майкрософт политики в Центре администрирования Microsoft Entra.

Как они работают?

Администраторы, которым назначена по крайней мере роль администратора условного доступа, находят эти политики в Центре администрирования Microsoft Entra под Защита>Условный доступ>Политики.

Вы можете изменить состояние политики и указать, какие идентификаторы следует исключить. Рекомендуется исключить учетные записи аварийного доступа из управляемых политик, как и другие политики условного доступа. Рассмотрите возможность дедупликации этих политик, если необходимо внести больше изменений, чем разрешено в политиках, управляемых Корпорацией Майкрософт.

Корпорация Майкрософт включает эти политики не менее чем через 90 дней после их внедрения в клиенте, если они остаются в состоянии только отчета. Вы можете включить эти политики раньше или отказаться, задав состояние политики для off. Клиенты получают уведомления по электронной почте и через сообщения "Центра сообщений" за 28 дней до включения политик.

Примечание.

В некоторых случаях политики могут быть включены быстрее, чем за 90 дней. Если это изменение применимо к клиенту:

  • Мы упоминаем его в сообщениях электронной почты и центре сообщений Microsoft 365, которые вы получаете о политиках, управляемых Корпорацией Майкрософт.
  • Мы упоминаем его в сведениях о политике в Центре администрирования Microsoft Entra.

Политики

Эти политики, управляемые корпорацией Майкрософт, позволяют администраторам вносить простые изменения, такие как исключение пользователей или включение и отключение режима только для отчетов. Организации не могут переименовать или удалить какие-либо политики, управляемые корпорацией Майкрософт. По мере того как администраторы привыкают к политике условного доступа, они могут дублировать политику, чтобы создать пользовательские версии.

По мере развития угроз корпорация Майкрософт может изменить эти политики в будущем, чтобы воспользоваться новыми функциями, функциями или улучшить свою функцию.

Заблокировать устаревшую аутентификацию

Эта политика блокирует попытки входа с использованием устаревшей аутентификации и протоколов, связанных с ней. Эти проверки подлинности могут поступать от старых клиентов, таких как Office 2010, или клиентов, использующих такие протоколы, как IMAP, SMTP или POP3.

На основе анализа Майкрософт более 99 процентов атак с распыления паролем используют эти устаревшие протоколы проверки подлинности. Эти атаки прекратятся, если простая проверка подлинности будет отключена или заблокирована.

Блокировать поток кода устройства

Эта политика блокирует поток кода устройства, когда пользователь инициирует проверку подлинности на одном устройстве, завершает работу на другом устройстве, а их маркер отправляется обратно на исходное устройство. Этот тип проверки подлинности распространен, когда пользователи не могут вводить свои учетные данные, такие как смарт-телевизоры, устройства Комнаты Microsoft Teams, устройства Интернета вещей или принтеры.

Поток кода устройства редко используется клиентами, но часто используется злоумышленниками. Включение этой политики, управляемой корпорацией Майкрософт для вашей организации, помогает удалить этот вектор атаки.

Многофакторная проверка подлинности для администраторов, обращаюющихся к порталам администрирования Майкрософт

Эта политика охватывает 14 ролей администратора, которые мы считаем высоко привилегированными, которые обращаются к порталам администрирования Майкрософти требуют, чтобы они выполняли многофакторную проверку подлинности.

Эта политика предназначена для клиентов Microsoft Entra ID P1 и P2, где значения безопасности по умолчанию не включены.

Совет

Управляемые корпорацией Майкрософт политики, требующие многофакторной аутентификации, отличаются от объявления об обязательной многофакторной аутентификации для входа в Azure, сделанного в 2024 году, которое начало постепенное развертывание в октябре 2024 года. Дополнительные сведения см. в статье Планирование обязательной многофакторной проверки подлинности для Azure и других порталов администрирования.

Многофакторная аутентификация для пользователей с индивидуальной настройкой многофакторной аутентификации

Эта политика касается пользовательского MFA, конфигурации, которую компания Майкрософт больше не рекомендует. Условный доступ предлагает лучший интерфейс администратора с множеством дополнительных функций. Консолидация всех политик многофакторной аутентификации в условиях условного доступа может помочь вам более точно определять необходимость многофакторной проверки, что снижает затруднения для конечных пользователей при поддержании уровня безопасности.

Эта политика предназначена для выполнения указанных ниже задач.

  • Организации с лицензированными пользователями Microsoft Entra ID P1 и P2
  • Организации, в которых параметры безопасности по умолчанию не включены
  • Организации, где у менее чем 500 пользователей включена или применена принудительно многофакторная аутентификация.

Чтобы применить эту политику к нескольким пользователям, дублируйте ее и измените назначения.

Совет

Использование иконки "Изменить" наверху для изменения политики многофакторной аутентификации, управляемой Microsoft, может привести к ошибке "не удалось обновить". Чтобы обойти эту проблему, выберите «Изменить» в разделе «Исключенные удостоверения» политики.

Многофакторная проверка подлинности и повторная проверка подлинности для рискованных входов

Эта политика охватывает всех пользователей и требует многофакторной проверки подлинности и повторной проверки подлинности при обнаружении входов с высоким риском. Высокий риск в этом случае означает, что что-то о том, как пользователь вошел в систему, не является обычным. Эти входы в систему с высоким риском могут включать поездки, которые являются крайне необычными, атаками перебора паролей или повторными атаками на токены. Дополнительные сведения см. в разделе Что такое обнаружение рисков.

Эта политика предназначена для клиентов Microsoft Entra ID P2, где параметры безопасности по умолчанию не включены. Политика охватывает пользователей двумя способами в зависимости от того, есть ли у вас больше лицензий P2, чем пользователей, или если у вас больше пользователей, чем лицензий P2. Гостевые пользователи не включены в политику.

  • Если все активные пользователи имеют MFA и лицензии P2 равны или превышают общее количество активных пользователей, политика охватывает всех пользователей.
    • все пользователи могут включать сервисные учетные записи или учетные записи экстренного доступа, поэтому их может потребоваться исключить.
  • Если у некоторых активных пользователей нет многофакторной проверки подлинности или недостаточно лицензий P2 для покрытия всех пользователей, зарегистрированных для многофакторной аутентификации (MFA), мы создаем и назначаем политику группе безопасности под названием "Условный доступ: многофакторная проверка подлинности входа с повышенным риском", которая ограничена количеством доступных лицензий P2.
    • Политика применяется только к этой группе безопасности, чтобы можно было применить политику, изменив саму группу.
    • Чтобы заполнить группу, мы выбираем пользователей, которые могут соответствовать требованиям MFA, при этом приоритет отдается пользователям с непосредственно назначенной лицензией P2.
    • Эта настройка гарантирует, что политика не будет блокировать законных пользователей, и вы получите полнейшую отдачу от лицензий P2.

Чтобы предотвратить захват злоумышленниками учетных записей, Microsoft не позволяет рискованным пользователям регистрироваться для многофакторной аутентификации.

Политики безопасности по умолчанию

Следующие политики становятся доступны при переходе от использования настроек безопасности по умолчанию.

Заблокировать устаревшую аутентификацию

Эта политика блокирует устаревшие протоколы проверки подлинности из доступа к приложениям. Под устаревшей проверкой подлинности понимается запрос проверки подлинности, осуществленный следующими способами:

  • Клиенты, не использующие современную проверку подлинности (например, клиент Office 2010)
  • Любой клиент, использующий старые протоколы почты, такие как IMAP, SMTP или POP3
  • Любая попытка авторизации с использованием устаревшей аутентификации.

Большинство наблюдаемых попыток взлома учетных записей связано с использованием устаревшей проверки подлинности. Так как устаревшая проверка подлинности не поддерживает многофакторную проверку подлинности, злоумышленник может обойти требования многофакторной проверки подлинности с помощью старого протокола.

Требовать многофакторную проверку подлинности для управления Azure

Эта политика охватывает всех пользователей при попытке доступа к различным службам Azure, управляемым через API Azure Resource Manager, включая:

  • Портал Azure
  • Центр администрирования Microsoft Entra
  • Azure PowerShell
  • Azure CLI

При попытке доступа к любому из этих ресурсов пользователю необходимо выполнить многофакторную проверку подлинности, прежде чем получить доступ.

Требовать многофакторную проверку подлинности для администраторов

Эта политика охватывает любого пользователя с одной из ролей администратора, которые мы считаем высоко привилегированными:

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Поскольку учетные записи, обладающие высоким уровнем привилегий, должны использовать многофакторную аутентификацию при входе в любое приложение.

Требовать многофакторную проверку подлинности для всех пользователей

Эта политика охватывает всех пользователей в организации и требует от них многофакторной проверки подлинности при входе. В большинстве случаев сеанс сохраняется на устройстве и пользователи не должны выполнять многофакторную проверку подлинности при взаимодействии с другим приложением.

Мониторинг и проверка

Управляемая политика и журналы входа — это два места, где можно увидеть влияние этих политик на вашу организацию.

Просмотрите сведения о влиянии политики на входы раздела управляемой политики, чтобы просмотреть сводку о влиянии политики в вашей среде.

снимок экрана, показывающий влияние политики на организацию.

Проанализируйте журналы входа Microsoft Entra, чтобы просмотреть конкретные сведения о том, как политики влияют на реальную активность входа.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли читателя отчетов.
  2. Перейдите к Удостоверения>Мониторинг и работоспособность>Журналы входа.
  3. Используйте некоторые или все следующие фильтры:
    • Идентификатор корреляции, если у вас есть определенное событие для изучения.
    • Условный доступ для просмотра неудач и успешности выполнения политики.
    • Имя пользователя для просмотра сведений, связанных с конкретными пользователями.
    • Дата, ограниченная рассматриваемым интервалом времени.
  4. Выберите определенное событие входа, а затем выберите Условный доступ.
    • Для дальнейшего изучения выберите название политики для более детального изучения конфигурации политик.
  5. Просмотрите другие вкладки, чтобы увидеть пользователя клиента и сведения об устройстве , которые использовались для оценки политики условного доступа.

Распространенные вопросы

Что такое условный доступ?

Условный доступ — это функция Microsoft Entra, которая позволяет организациям применять требования к безопасности при доступе к ресурсам. Условный доступ обычно используется для применения многофакторной проверки подлинности, конфигурации устройства или требований к сетевому расположению.

Эти политики можно рассматривать как логические условные выражения.

Если атрибуты (пользователи, ресурсы и условия) являются истинными, тогда примените элементы управления доступом (разрешение и/или сеанс) в политике. Если вы являетесь администратором, который хочет получить доступ к одному из порталов администрирования Майкрософт, необходимо выполнить многофакторную проверку подлинности, чтобы доказать, что это действительно вы.

Что делать, если я хочу внести дополнительные изменения?

Администраторы могут внести дополнительные изменения в эти политики, дублируя их с помощью кнопки "Дублировать " в представлении списка политик. Эта новая политика может быть настроена так же, как и любая другая политика условного доступа, начиная с рекомендуемой позиции Майкрософт. Будьте осторожны, чтобы вы случайно не понизили уровень безопасности при внесении этих изменений.

Какие роли администратора охватываются этими политиками?

  • глобальный администратор
  • Администратор приложений
  • Администратор проверки подлинности
  • администратора выставления счетов;
  • Администратор облачных приложений
  • Администратор условного доступа
  • Администратор Exchange
  • Администратор службы технической поддержки
  • Администратор паролей
  • Привилегированный администратор проверки подлинности
  • Администратор привилегированных ролей
  • Администратор безопасности
  • Администратор SharePoint
  • Администратор пользователей

Что делать, если для многофакторной проверки подлинности используется другое решение?

Многофакторная проверка подлинности завершена с помощью внешних методов проверки подлинности удовлетворяет требованиям MFA для политик, управляемых Корпорацией Майкрософт.

При завершении многофакторной аутентификации через федеративного поставщика удостоверений (IdP) это может удовлетворять требованиям MFA для Microsoft Entra ID в зависимости от вашей конфигурации. Для получения более подробной информации см. Удовлетворение требований многофакторной аутентификации (MFA) Microsoft Entra ID с утверждениями MFA от федеративного поставщика удостоверений.

Что делать, если использовать проверку подлинности Certificate-Based?

В зависимости от конфигурации проверки подлинности Certificate-Based (CBA) она может функционировать как однофакторная или многофакторная проверка подлинности.

  • Если у вашей организации CBA настроена как однофакторная (один фактор), пользователи должны использовать второй метод проверки подлинности для выполнения требований многофакторной аутентификации (MFA). Дополнительные сведения о разрешенных сочетаниях методов аутентификации, таких как многофакторная аутентификация с однофакторной аутентификацией на основе сертификатов (CBA), см. в разделе многофакторная аутентификация с однофакторной аутентификацией на основе сертификатов.
  • Если в вашей организации CBA настроено как многофакторное, пользователи могут завершить многофакторную аутентификацию (MFA) с помощью метода проверки подлинности CBA.

Что делать, если использовать пользовательские элементы управления?

Настраиваемые элементы управления не удовлетворяют требованиям к утверждению многофакторной аутентификации. Если в вашей организации используются пользовательские элементы управления, рекомендуется перейти на внешние методы проверки подлинности, которые заменяют пользовательские элементы управления. Внешний поставщик проверки подлинности должен поддерживать внешние методы проверки подлинности и предоставлять необходимые рекомендации по настройке для их интеграции.

Связанный контент