Планирование развертывания защиты идентификаторов

Защита идентификации Microsoft Entra обнаруживает риски на основе удостоверений, сообщает им и позволяет администраторам исследовать и устранять эти риски, чтобы обеспечить безопасность и безопасность организаций. Данные о рисках можно дополнительно использовать в таких средствах, как условный доступ, чтобы принимать решения о доступе или отправляться в средство управления сведениями о безопасности и событиями (SIEM) для дальнейшего анализа и изучения.

Этот план развертывания расширяет основные понятия, представленные в плане развертывания условного доступа.

Необходимые компоненты

• Рабочий клиент Microsoft Entra с включенным идентификатором Microsoft Entra ID P2 или пробной лицензией. Создайте ее бесплатно, если нужно.
• Администраторы, взаимодействующие с защитой идентификаторов, должны иметь одно или несколько следующих назначений ролей в зависимости от выполняемых задач. Чтобы следовать принципу нулевого доверия наименьших привилегий, рекомендуется использовать управление привилегированными пользователями (PIM) для JIT-активации назначений привилегированных ролей.
  • Чтение политик и конфигураций условного доступа и защиты идентификаторов
    • читатель сведений о безопасности;
    • Глобальный читатель
  • Управление защитой идентификаторов
    • Оператор безопасности
    • администратор безопасности;
  • Создание или изменение политик условного доступа
    • Администратор условного доступа
    • администратор безопасности;
• Тестовый пользователь, который не является администратором, чтобы проверить работу политик, как ожидалось, прежде чем развертывать реальных пользователей. Если вам нужно создать пользователя, см . краткое руководство. Добавление новых пользователей в идентификатор Microsoft Entra ID.
• Группа, членом которой является пользователь. Если вам нужно создать группу, см. статью "Создание группы" и добавление участников в идентификатор Microsoft Entra.

Привлечение соответствующих заинтересованных лиц

При сбое технологических проектов они обычно делают это из-за несоответствия ожиданий на влияние, результаты и обязанности. Чтобы избежать этих ошибок, убедитесь, что вы являетесь правильными заинтересованными лицами и что роли заинтересованных лиц в проекте хорошо поняты, документируя заинтересованных лиц, их входные данные проекта и подотчетность.

Взаимодействие с изменением

Обмен данными имеет решающее значение для успешного выполнения любых новых функций. Вы должны заранее взаимодействовать с пользователями, как их взаимодействие изменяется, когда оно изменяется, и как получить поддержку, если они сталкиваются с проблемами.

Шаг 1. Просмотр существующих отчетов

Перед развертыванием политик условного доступа на основе рисков важно проверить отчеты защиты идентификаторов. Эта проверка дает возможность исследовать существующее подозрительное поведение. Вы можете закрыть риск или подтвердить, что эти пользователи защищены, если вы определяете, что они не подвержены риску.

• Анализ обнаруженных рисков
• Устранение рисков и разблокирование пользователей
• Внесение массовых изменений с помощью Microsoft Graph PowerShell

Для повышения эффективности рекомендуется разрешить пользователям самостоятельно устранять их с помощью политик, которые обсуждаются на шаге 3.

Шаг 2. Планирование политик риска условного доступа

Защита идентификаторов отправляет сигналы риска условному доступу, принимать решения и применять политики организации. Эти политики могут требовать от пользователей многофакторной проверки подлинности или безопасного изменения пароля. Перед созданием политик следует запланировать несколько элементов организации.

Исключения политик

Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:

• Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
  • Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
• Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
  • Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.

Многофакторная проверка подлинности

Чтобы пользователи самостоятельно устраняли риск, они должны регистрироваться для многофакторной проверки подлинности Microsoft Entra, прежде чем они становятся рискованными. Дополнительные сведения см. в статье "Планирование развертывания многофакторной проверки подлинности Microsoft Entra".

Известные сетевые расположения

Важно настроить именованные расположения в условном доступе и добавить диапазоны VPN в Defender для облака приложения. Входы из именованных расположений, помеченных как доверенные или известные, повышают точность вычислений рисков защиты идентификаторов. Эти входы снижают риск пользователя при проверке подлинности из расположения, помеченного как доверенное или известное. Эта практика снижает ложноположительные срабатывания для некоторых обнаружений в вашей среде.

Режим только отчета

Режим только для отчетов — это состояние политики условного доступа, позволяющее администраторам оценить влияние политик условного доступа перед применением их в среде.

Шаг 3. Настройка политик

Политика регистрации MFA защиты идентификаторов

Используйте политику регистрации многофакторной проверки подлинности защиты идентификаторов, чтобы пользователи зарегистрировались для многофакторной проверки подлинности Microsoft Entra, прежде чем они должны использовать его. Выполните действия, описанные в статье Практическое руководство . Настройка политики регистрации многофакторной проверки подлинности Microsoft Entra для включения этой политики.

Политики условного доступа

Риск входа . Большинство пользователей имеют нормальное поведение, которое можно отслеживать, когда они выходят за пределы этой нормы, это может быть рискованным, чтобы позволить им просто войти. Возможно, вы хотите заблокировать этого пользователя или попросить их выполнить многофакторную проверку подлинности, чтобы доказать, что они действительно говорят, что они есть. Начните с области этих политик в подмножество пользователей.

Риск пользователя — корпорация Майкрософт работает с исследователями, правоохранительными органами, различными группами безопасности корпорации Майкрософт и другими доверенными источниками, чтобы найти утечку пар имени пользователя и пароля. При обнаружении этих уязвимых пользователей рекомендуется выполнить многофакторную проверку подлинности, а затем сбросить пароль.

В статье "Настройка и включение политик риска" приведены рекомендации по созданию политик условного доступа для решения этих рисков.

Шаг 4. Мониторинг и непрерывные операционные потребности

Уведомления по электронной почте

Включите уведомления , чтобы вы могли реагировать, когда пользователь помечен как риск. Эти уведомления позволяют сразу же начать изучение. Вы также можете настроить еженедельные дайджест-сообщения электронной почты, предоставляя вам обзор риска на эту неделю.

Мониторинг и исследование

Анализ влияния книги политик доступа на основе рисков помогает администраторам понимать влияние пользователей перед созданием политик условного доступа на основе рисков.

Книга защиты идентификаторов помогает отслеживать и искать шаблоны в клиенте. Отслеживайте эту книгу для тенденций, а также результаты режима только условного доступа, чтобы узнать, есть ли какие-либо изменения, которые необходимо вносить, например, дополнения к именованным расположениям.

Microsoft Defender для облака Приложения предоставляют организации платформы исследования, которые могут использовать в качестве отправной точки. Дополнительные сведения см. в статье "Изучение оповещений об обнаружении аномалий".

Вы также можете использовать API защиты идентификаторов для экспорта сведений о рисках в другие средства, чтобы ваша команда безопасности могли отслеживать и оповещать о событиях риска.

Во время тестирования может потребоваться имитировать некоторые угрозы для тестирования процессов исследования.

Следующие шаги

Что такое риск?