Zabezpečení identit vaší organizace pomocí Microsoft Entra ID

Zdá se, že se snažíte zabezpečit své pracovníky v dnešním světě, zejména když budete muset rychle reagovat a poskytovat přístup k mnoha službám. Tento článek vám pomůže poskytnout stručný seznam akcí, které je potřeba provést, a pomáhá identifikovat a určit prioritu funkcí na základě typu licence, který vlastníte.

Microsoft Entra ID nabízí mnoho funkcí a poskytuje mnoho vrstev zabezpečení pro vaše identity a navigace, která funkce je relevantní, může být někdy ohromující. Cílem tohoto dokumentu je pomoct organizacím rychle nasazovat služby se zabezpečenými identitami jako hlavním aspektem.

Každá tabulka poskytuje doporučení zabezpečení k ochraně identit před běžnými útoky na zabezpečení a současně minimalizuje uživatelské tření.

Pokyny vám pomůžou:

  • Konfigurace přístupu k softwaru jako službě (SaaS) a místním aplikacím zabezpečeným a chráněným způsobem
  • Cloudové i hybridní identity
  • Uživatelé pracující vzdáleně nebo v kanceláři

Požadavky

V této příručce se předpokládá, že vaše cloudové nebo hybridní identity už jsou vytvořené v Microsoft Entra ID. Nápovědu k výběru typu identity najdete v článku Volba správné metody ověřování (AuthN) pro vaše řešení hybridní identity Microsoft Entra.

Microsoft doporučuje, aby organizace měly dva účty pro nouzový přístup jen pro cloud trvale přiřazené roli globálního správce . Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít normální účty nebo všichni ostatní správci jsou omylem uzamčeni. Tyto účty by se měly vytvořit podle doporučení k účtu pro nouzový přístup.

Návod s asistencí

Průvodce mnoha doporučeními v tomto článku najdete v průvodci nastavením ID Microsoft Entra při přihlášení k centru Správa Microsoftu 365. Pokud chcete zkontrolovat osvědčené postupy bez přihlášení a aktivace automatizovaných funkcí nastavení, přejděte na portál pro nastavení Microsoftu 365.

Pokyny pro zákazníky Microsoft Entra ID Free, Office 365 nebo Microsoft 365

Existuje mnoho doporučení, která by zákazníci aplikací Microsoft Entra ID Free, Office 365 nebo Microsoft 365 měli použít k ochraně identit uživatelů. Následující tabulka je určená ke zvýraznění klíčových akcí pro následující předplatná licencí:

  • Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
  • Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
  • Microsoft Entra ID Free (součástí Azure, Dynamics 365, Intune a Power Platform)
Doporučená akce Podrobnosti
Povolení výchozích hodnot zabezpečení Chraňte všechny identity uživatelů a aplikace povolením vícefaktorového ověřování a blokováním starší verze ověřování.
Povolení synchronizace hodnot hash hesel (pokud používáte hybridní identity) Zajištění redundance pro ověřování a zlepšení zabezpečení (včetně inteligentního uzamčení, uzamčení PROTOKOLU IP a možnosti zjišťování nevracených přihlašovacích údajů)
Povolení inteligentního uzamčení služby AD FS (pokud je k dispozici) Chrání uživatele před uzamčením extranetového účtu před škodlivou aktivitou.
Povolení inteligentního uzamčení Microsoft Entra (pokud používáte spravované identity) Inteligentní uzamčení pomáhá zamknout špatné aktéry, kteří se snaží uhodnout hesla uživatelů nebo použít metody hrubou silou, aby se dostali.
Zakázání souhlasu koncového uživatele s aplikacemi Pracovní postup souhlasu správce poskytuje správcům bezpečný způsob, jak udělit přístup k aplikacím, které vyžadují schválení správcem, aby koncoví uživatelé nezpřístupnili podniková data. Microsoft doporučuje zakázat budoucí operace souhlasu uživatele, aby se snížila vaše plocha a zmírnit toto riziko.
Integrace podporovaných aplikací SaaS z galerie do MICROSOFT Entra ID a povolení jednotného přihlašování Microsoft Entra ID má galerii, která obsahuje tisíce předem integrovaných aplikací. Některé z aplikací, které vaše organizace používá, jsou pravděpodobně v galerii přístupné přímo z webu Azure Portal. Zajištění přístupu k podnikovým aplikacím SaaS vzdáleně a bezpečně s vylepšeným uživatelským prostředím (jednotné přihlašování)
Automatizace zřizování a rušení zřizování uživatelů z aplikací SaaS (pokud je k dispozici) Automaticky vytvářet identity a role uživatelů v cloudových aplikacích (SaaS), ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů, protože se mění stav nebo role, což zvyšuje zabezpečení vaší organizace.
Povolení zabezpečeného hybridního přístupu: Zabezpečení starších aplikací s existujícími řadiči doručování aplikací a sítěmi (pokud je k dispozici) Publikujte a chraňte své místní a cloudové starší ověřovací aplikace tím, že je připojíte k Microsoft Entra ID s existujícím řadičem pro doručování aplikací nebo sítí.
Povolení samoobslužného resetování hesla (platí jenom pro cloudové účty) Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci.
Pokud je to možné, používejte nejméně privilegované role. Dejte správcům jenom přístup, ke kterým potřebují přístup jenom v oblastech, ke kterým potřebují přístup.
Povolení pokynů k heslovým heslovým pokynům Microsoftu Přestaňte vyžadovat, aby uživatelé změnili heslo podle nastaveného plánu, zakázali požadavky na složitost a vaši uživatelé si lépe zapamatovali svá hesla a zachovali si něco, co je bezpečné.

Pokyny pro zákazníky Microsoft Entra ID P1

Následující tabulka má zvýraznit klíčové akce pro následující předplatná licencí:

  • Microsoft Entra ID P1
  • Microsoft Enterprise Mobility + Security E3
  • Microsoft 365 (E3, A3, F1, F3)
Doporučená akce Podrobnosti
Povolení kombinovaného prostředí registrace pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla pro zjednodušení registrace uživatelů Umožňuje uživatelům zaregistrovat se z jednoho společného prostředí pro vícefaktorové ověřování Microsoft Entra i samoobslužné resetování hesla.
Konfigurace nastavení vícefaktorového ověřování pro vaši organizaci Ujistěte se, že účty jsou chráněné před napadením vícefaktorovým ověřováním.
Povolení samoobslužného resetování hesla Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci.
Implementace zpětného zápisu hesla (pokud používáte hybridní identity) Povolte zápis změn hesel v cloudu zpět do místního prostředí Windows Server Active Directory.
Vytvoření a povolení zásad podmíněného přístupu Vícefaktorové ověřování pro správce za účelem ochrany účtů, které mají přiřazená práva správce.

Zablokujte starší ověřovací protokoly kvůli zvýšenému riziku přidruženému ke starším ověřovacím protokolům.

Vícefaktorové ověřování pro všechny uživatele a aplikace za účelem vytvoření vyvážené zásady vícefaktorového ověřování pro vaše prostředí, zabezpečení uživatelů a aplikací.

Vyžadovat vícefaktorové ověřování pro Azure Management k ochraně privilegovaných prostředků vyžadováním vícefaktorového ověřování pro všechny uživatele, kteří přistupují k prostředkům Azure.
Povolení synchronizace hodnot hash hesel (pokud používáte hybridní identity) Zajištění redundance pro ověřování a zlepšení zabezpečení (včetně inteligentního uzamčení, uzamčení PROTOKOLU IP a možnosti zjišťování nevracených přihlašovacích údajů))
Povolení inteligentního uzamčení služby AD FS (pokud je k dispozici) Chrání uživatele před uzamčením extranetového účtu před škodlivou aktivitou.
Povolení inteligentního uzamčení Microsoft Entra (pokud používáte spravované identity) Inteligentní uzamčení pomáhá zamknout špatné aktéry, kteří se snaží uhodnout hesla uživatelů nebo použít metody hrubou silou, aby se dostali.
Zakázání souhlasu koncového uživatele s aplikacemi Pracovní postup souhlasu správce poskytuje správcům bezpečný způsob, jak udělit přístup k aplikacím, které vyžadují schválení správcem, aby koncoví uživatelé nezpřístupnili podniková data. Microsoft doporučuje zakázat budoucí operace souhlasu uživatele, aby se snížila vaše plocha a zmírnit toto riziko.
Povolení vzdáleného přístupu k místním starším aplikacím pomocí proxy aplikací Povolte proxy aplikací Microsoft Entra a integrujte se se staršími aplikacemi, aby uživatelé mohli bezpečně přistupovat k místním aplikacím přihlášením pomocí svého účtu Microsoft Entra.
Povolení zabezpečeného hybridního přístupu: Zabezpečení starších aplikací s existujícími řadiči doručování aplikací a sítěmi (pokud je to možné) Publikujte a chraňte své místní a cloudové starší ověřovací aplikace tím, že je připojíte k Microsoft Entra ID s existujícím řadičem pro doručování aplikací nebo sítí.
Integrace podporovaných aplikací SaaS z galerie do MICROSOFT Entra ID a povolení jednotného přihlašování Microsoft Entra ID má galerii, která obsahuje tisíce předem integrovaných aplikací. Některé z aplikací, které vaše organizace používá, jsou pravděpodobně v galerii přístupné přímo z webu Azure Portal. Poskytovat přístup k podnikovým aplikacím SaaS vzdáleně a bezpečně s vylepšeným uživatelským prostředím (SSO).
Automatizace zřizování a rušení zřizování uživatelů z aplikací SaaS (pokud je k dispozici) Automaticky vytvářet identity a role uživatelů v cloudových aplikacích (SaaS), ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů, protože se mění stav nebo role, což zvyšuje zabezpečení vaší organizace.
Povolení podmíněného přístupu – na základě zařízení Vylepšení zabezpečení a uživatelského prostředí pomocí podmíněného přístupu založeného na zařízeních Tento krok zajistí, že uživatelé budou mít přístup jenom ze zařízení, která splňují vaše standardy zabezpečení a dodržování předpisů. Tato zařízení se také označují jako spravovaná zařízení. Spravovaná zařízení můžou být kompatibilní s Intune nebo zařízení připojená k Hybridnímu připojení Microsoft Entra.
Povolení ochrany heslem Chraňte uživatele před používáním slabých a snadných hesel.
Pokud je to možné, používejte nejméně privilegované role. Dejte správcům jenom přístup, ke kterým potřebují přístup jenom v oblastech, ke kterým potřebují přístup.
Povolení pokynů k heslovým heslovým pokynům Microsoftu Přestaňte vyžadovat, aby uživatelé změnili heslo podle nastaveného plánu, zakázali požadavky na složitost a vaši uživatelé si lépe zapamatovali svá hesla a zachovali si něco, co je bezpečné.
Vytvoření vlastního seznamu zakázaných hesel pro konkrétní organizaci Znemožněte uživatelům vytvářet hesla, která obsahují běžná slova nebo fráze z vaší organizace nebo oblasti.
Nasazení metod ověřování bez hesla pro uživatele Poskytněte uživatelům pohodlné metody ověřování bez hesla.
Vytvoření plánu pro přístup uživatelů typu host Spolupracujte s uživateli typu host tím, že jim umožníte přihlásit se k aplikacím a službám pomocí vlastních pracovních, školních nebo sociálních identit.

Pokyny pro zákazníky Microsoft Entra ID P2

Následující tabulka má zvýraznit klíčové akce pro následující předplatná licencí:

  • Microsoft Entra ID P2
  • Microsoft Enterprise Mobility + Security E5
  • Microsoft 365 (E5, A5)
Doporučená akce Podrobnosti
Povolení kombinovaného prostředí registrace pro vícefaktorové ověřování Microsoft Entra a samoobslužné resetování hesla pro zjednodušení registrace uživatelů Umožňuje uživatelům zaregistrovat se z jednoho společného prostředí pro vícefaktorové ověřování Microsoft Entra i samoobslužné resetování hesla.
Konfigurace nastavení vícefaktorového ověřování pro vaši organizaci Ujistěte se, že účty jsou chráněné před napadením vícefaktorovým ověřováním.
Povolení samoobslužného resetování hesla Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci.
Implementace zpětného zápisu hesla (pokud používáte hybridní identity) Povolte zápis změn hesel v cloudu zpět do místního prostředí Windows Server Active Directory.
Povolení zásad ochrany Microsoft Entra ID Protection k vynucení registrace vícefaktorového ověřování Správa zavedení vícefaktorového ověřování Microsoft Entra
Povolení zásad podmíněného přístupu na základě rizik na základě uživatelů a přihlašování Doporučená zásada přihlašování je cílit na přihlášení se středním rizikem a vyžadovat vícefaktorové ověřování. U zásad uživatelů byste měli cílit na vysoce rizikové uživatele, kteří vyžadují akci změny hesla.
Vytvoření a povolení zásad podmíněného přístupu Vícefaktorové ověřování pro správce za účelem ochrany účtů, které mají přiřazená práva správce.

Zablokujte starší ověřovací protokoly kvůli zvýšenému riziku přidruženému ke starším ověřovacím protokolům.

Vyžadovat vícefaktorové ověřování pro Azure Management k ochraně privilegovaných prostředků vyžadováním vícefaktorového ověřování pro všechny uživatele, kteří přistupují k prostředkům Azure.
Povolení synchronizace hodnot hash hesel (pokud používáte hybridní identity) Zajištění redundance pro ověřování a zlepšení zabezpečení (včetně inteligentního uzamčení, uzamčení PROTOKOLU IP a možnosti zjišťování nevracených přihlašovacích údajů))
Povolení inteligentního uzamčení služby AD FS (pokud je k dispozici) Chrání uživatele před uzamčením extranetového účtu před škodlivou aktivitou.
Povolení inteligentního uzamčení Microsoft Entra (pokud používáte spravované identity) Inteligentní uzamčení pomáhá zamknout špatné aktéry, kteří se snaží uhodnout hesla uživatelů nebo použít metody hrubou silou, aby se dostali.
Zakázání souhlasu koncového uživatele s aplikacemi Pracovní postup souhlasu správce poskytuje správcům bezpečný způsob, jak udělit přístup k aplikacím, které vyžadují schválení správcem, aby koncoví uživatelé nezpřístupnili podniková data. Microsoft doporučuje zakázat budoucí operace souhlasu uživatele, aby se snížila vaše plocha a zmírnit toto riziko.
Povolení vzdáleného přístupu k místním starším aplikacím pomocí proxy aplikací Povolte proxy aplikací Microsoft Entra a integrujte se se staršími aplikacemi, aby uživatelé mohli bezpečně přistupovat k místním aplikacím přihlášením pomocí svého účtu Microsoft Entra.
Povolení zabezpečeného hybridního přístupu: Zabezpečení starších aplikací s existujícími řadiči doručování aplikací a sítěmi (pokud je to možné) Publikujte a chraňte své místní a cloudové starší ověřovací aplikace tím, že je připojíte k Microsoft Entra ID s existujícím řadičem pro doručování aplikací nebo sítí.
Integrace podporovaných aplikací SaaS z galerie do MICROSOFT Entra ID a povolení jednotného přihlašování Microsoft Entra ID má galerii, která obsahuje tisíce předem integrovaných aplikací. Některé z aplikací, které vaše organizace používá, jsou pravděpodobně v galerii přístupné přímo z webu Azure Portal. Poskytovat přístup k podnikovým aplikacím SaaS vzdáleně a bezpečně s vylepšeným uživatelským prostředím (SSO).
Automatizace zřizování a rušení zřizování uživatelů z aplikací SaaS (pokud je k dispozici) Automaticky vytvářet identity a role uživatelů v cloudových aplikacích (SaaS), ke kterým uživatelé potřebují přístup. Kromě vytváření identit uživatelů zahrnuje automatické zřizování údržbu a odebrání identit uživatelů, protože se mění stav nebo role, což zvyšuje zabezpečení vaší organizace.
Povolení podmíněného přístupu – na základě zařízení Vylepšení zabezpečení a uživatelského prostředí pomocí podmíněného přístupu založeného na zařízeních Tento krok zajistí, že uživatelé budou mít přístup jenom ze zařízení, která splňují vaše standardy zabezpečení a dodržování předpisů. Tato zařízení se také označují jako spravovaná zařízení. Spravovaná zařízení můžou být kompatibilní s Intune nebo zařízení připojená k Hybridnímu připojení Microsoft Entra.
Povolení ochrany heslem Chraňte uživatele před používáním slabých a snadných hesel.
Pokud je to možné, používejte nejméně privilegované role. Dejte správcům jenom přístup, ke kterým potřebují přístup jenom v oblastech, ke kterým potřebují přístup.
Povolení pokynů k heslovým heslovým pokynům Microsoftu Přestaňte vyžadovat, aby uživatelé změnili heslo podle nastaveného plánu, zakázali požadavky na složitost a vaši uživatelé si lépe zapamatovali svá hesla a zachovali si něco, co je bezpečné.
Vytvoření vlastního seznamu zakázaných hesel pro konkrétní organizaci Znemožněte uživatelům vytvářet hesla, která obsahují běžná slova nebo fráze z vaší organizace nebo oblasti.
Nasazení metod ověřování bez hesla pro uživatele Poskytnutí pohodlných metod ověřování bez hesla uživatelům
Vytvoření plánu pro přístup uživatelů typu host Spolupracujte s uživateli typu host tím, že jim umožníte přihlásit se k aplikacím a službám pomocí vlastních pracovních, školních nebo sociálních identit.
Povolení privileged Identity Management (PIM) Umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci a zajistit tak, aby měli správci přístup jenom v případě potřeby a se schválením.
Dokončení kontroly přístupu pro role adresáře Microsoft Entra v PIM Spolupracujte se svými týmy zabezpečení a vedení a vytvořte zásadu kontroly přístupu, která bude kontrolovat přístup pro správu na základě zásad vaší organizace.

nulová důvěra (Zero Trust)

Tato funkce pomáhá organizacím sladit své identity se třemi hlavními principy architektury nulová důvěra (Zero Trust):

  • Explicitní ověření
  • Použití nejnižších oprávnění
  • Předpokládat porušení zabezpečení

Další informace o nulová důvěra (Zero Trust) a dalších nulová důvěra (Zero Trust)způsobch

Další kroky

  • Podrobné pokyny k nasazení jednotlivých funkcí ID Microsoft Entra najdete v plánech nasazení projektu Microsoft Entra ID.
  • Organizace můžou pomocí skóre zabezpečení identity sledovat pokrok v jiných doporučeních Microsoftu.