Skydda organisationens identiteter med Microsoft Entra-ID
Det kan verka skrämmande att försöka skydda dina arbetare i dagens värld, särskilt när du måste svara snabbt och ge tillgång till många tjänster snabbt. Den här artikeln hjälper dig att tillhandahålla en kortfattad lista över åtgärder som hjälper dig att identifiera och prioritera funktioner baserat på vilken licenstyp du äger.
Microsoft Entra ID erbjuder många funktioner och ger många säkerhetslager för dina identiteter. Det kan ibland vara överväldigande att navigera i vilken funktion som är relevant. Det här dokumentet är avsett att hjälpa organisationer att snabbt distribuera tjänster med säkra identiteter som primärt övervägande.
Varje tabell innehåller säkerhetsrekommendationer för att skydda identiteter från vanliga säkerhetsattacker samtidigt som användarfriktion minimeras.
Vägledningen hjälper dig att:
- Konfigurera åtkomst till programvara som en tjänst (SaaS) och lokala program på ett säkert och skyddat sätt
- Både moln- och hybrididentiteter
- Användare som arbetar på distans eller på kontoret
Förutsättningar
Den här guiden förutsätter att dina moln- eller hybrididentiteter redan har upprättats i Microsoft Entra-ID. Hjälp med att välja din identitetstyp finns i artikeln Välj rätt autentiseringsmetod (AuthN) för din Hybrididentitetslösning i Microsoft Entra.
Microsoft rekommenderar att organisationer har två molnbaserade konton för nödåtkomst permanent tilldelade rollen Global administratör . Dessa konton är mycket privilegierade och tilldelas inte till specifika individer. Kontona är begränsade till nödsituations- eller "break glass"-scenarier där normala konton inte kan användas eller alla andra administratörer av misstag är utelåst. Dessa konton bör skapas enligt rekommendationerna för kontot för nödåtkomst.
Guidad genomgång
En guidad genomgång av många av rekommendationerna i den här artikeln finns i guiden Konfigurera Microsoft Entra-ID när du är inloggad i administrationscentret för Microsoft 365. Om du vill granska metodtipsen utan att logga in och aktivera automatiska installationsfunktioner går du till Microsoft 365-installationsportalen.
Vägledning för Kostnadsfria Microsoft Entra-ID-, Office 365- eller Microsoft 365-kunder
Det finns många rekommendationer som Microsoft Entra-ID kostnadsfritt, Office 365- eller Microsoft 365-appkunder bör vidta för att skydda sina användaridentiteter. Följande tabell är avsedd att markera viktiga åtgärder för följande licensprenumerationer:
- Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
- Microsoft 365 (Business Basic, Appar för företag, Business Standard, Business Premium, A1)
- Kostnadsfritt Microsoft Entra-ID (ingår i Azure, Dynamics 365, Intune och Power Platform)
Rekommenderad åtgärd | Detalj |
---|---|
Aktivera standardinställningar för säkerhet | Skydda alla användaridentiteter och program genom att aktivera multifaktorautentisering och blockera äldre autentisering. |
Aktivera synkronisering av lösenordshash (om du använder hybrididentiteter) | Tillhandahålla redundans för autentisering och förbättra säkerheten (inklusive Smart Lockout, IP Lockout och möjligheten att identifiera läckta autentiseringsuppgifter). |
Aktivera smart AD FS-utelåsning (om tillämpligt) | Skyddar dina användare från att drabbas av extranätskontoutelåsning från skadlig aktivitet. |
Aktivera smart Microsoft Entra-utelåsning (om du använder hanterade identiteter) | Smart utelåsning hjälper till att låsa ute dåliga aktörer som försöker gissa användarnas lösenord eller använda råstyrkemetoder för att komma in. |
Inaktivera slutanvändares medgivande till program | Arbetsflödet för administratörsmedgivande ger administratörer ett säkert sätt att bevilja åtkomst till program som kräver administratörsgodkännande så att slutanvändarna inte exponerar företagsdata. Microsoft rekommenderar att du inaktiverar framtida åtgärder för användarmedgivande för att minska ytan och minska risken. |
Integrera SaaS-program som stöds från galleriet till Microsoft Entra ID och aktivera enkel inloggning (SSO) | Microsoft Entra ID har ett galleri som innehåller tusentals förintegrerade program. Vissa av de program som din organisation använder finns förmodligen i galleriet som är tillgängliga direkt från Azure Portal. Ge åtkomst till företagets SaaS-program på distans och säkert med förbättrad användarupplevelse (enkel inloggning (SSO)). |
Automatisera användaretablering och avetablering från SaaS-program (om tillämpligt) | Skapa automatiskt användaridentiteter och roller i molnprogrammen (SaaS) som användarna behöver åtkomst till. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras, vilket ökar organisationens säkerhet. |
Aktivera säker hybridåtkomst: Skydda äldre appar med befintliga appleveranskontrollanter och nätverk (om tillämpligt) | Publicera och skydda dina lokala och molnbaserade äldre autentiseringsprogram genom att ansluta dem till Microsoft Entra-ID med din befintliga programleveranskontrollant eller ditt befintliga nätverk. |
Aktivera lösenordsåterställning med självbetjäning (gäller endast molnkonton) | Den här möjligheten minskar supportsamtal och produktivitetsförlust när en användare inte kan logga in på sin enhet eller ett program. |
Använd minst privilegierade roller där det är möjligt | Ge dina administratörer endast den åtkomst de behöver till de områden som de behöver åtkomst till. |
Aktivera Microsofts lösenordsvägledning | Sluta kräva att användarna ändrar sina lösenord enligt ett angivet schema, inaktiverar komplexitetskrav och användarna är mer skickliga på att komma ihåg sina lösenord och hålla dem något som är säkert. |
Vägledning för Microsoft Entra ID P1-kunder
Följande tabell är avsedd att markera nyckelåtgärderna för följande licensprenumerationer:
- Microsoft Entra ID P1
- Microsoft Enterprise Mobility + Security E3
- Microsoft 365 (E3, A3, F1, F3)
Rekommenderad åtgärd | Detalj |
---|---|
Aktivera kombinerad registreringsupplevelse för Microsoft Entra multifaktorautentisering och SSPR för att förenkla användarregistreringsupplevelsen | Tillåt användarna att registrera sig från en gemensam upplevelse för både Microsoft Entra multifaktorautentisering och lösenordsåterställning via självbetjäning. |
Konfigurera inställningar för multifaktorautentisering för din organisation | Se till att konton skyddas från att komprometteras med multifaktorautentisering. |
Aktivera lösenordsåterställning via självbetjäning | Den här möjligheten minskar supportsamtal och produktivitetsförlust när en användare inte kan logga in på sin enhet eller ett program. |
Implementera tillbakaskrivning av lösenord (om du använder hybrididentiteter) | Tillåt att lösenordsändringar i molnet skrivs tillbaka till en lokal Windows Server Active Directory-miljö. |
Skapa och aktivera principer för villkorlig åtkomst | Multifaktorautentisering för administratörer för att skydda konton som har tilldelats administrativa rättigheter. Blockera äldre autentiseringsprotokoll på grund av den ökade risken för äldre autentiseringsprotokoll. Multifaktorautentisering för alla användare och program för att skapa en balanserad princip för multifaktorautentisering för din miljö, vilket skyddar dina användare och program. Kräv multifaktorautentisering för Azure Management för att skydda dina privilegierade resurser genom att kräva multifaktorautentisering för alla användare som har åtkomst till Azure-resurser. |
Aktivera synkronisering av lösenordshash (om du använder hybrididentiteter) | Ange redundans för autentisering och förbättra säkerheten (inklusive Smart Lockout, IP Lockout och möjligheten att identifiera läckta autentiseringsuppgifter.) |
Aktivera smart AD FS-utelåsning (om tillämpligt) | Skyddar dina användare från att drabbas av extranätskontoutelåsning från skadlig aktivitet. |
Aktivera smart Microsoft Entra-utelåsning (om du använder hanterade identiteter) | Smart utelåsning hjälper till att låsa ute dåliga aktörer som försöker gissa användarnas lösenord eller använda råstyrkemetoder för att komma in. |
Inaktivera slutanvändares medgivande till program | Arbetsflödet för administratörsmedgivande ger administratörer ett säkert sätt att bevilja åtkomst till program som kräver administratörsgodkännande så att slutanvändarna inte exponerar företagsdata. Microsoft rekommenderar att du inaktiverar framtida åtgärder för användarmedgivande för att minska ytan och minska risken. |
Aktivera fjärråtkomst till lokala äldre program med Programproxy | Aktivera Microsoft Entra-programproxy och integrera med äldre appar för användare för säker åtkomst till lokala program genom att logga in med sitt Microsoft Entra-konto. |
Aktivera säker hybridåtkomst: Skydda äldre appar med befintliga appleveranskontrollanter och nätverk (om tillämpligt). | Publicera och skydda dina lokala och molnbaserade äldre autentiseringsprogram genom att ansluta dem till Microsoft Entra-ID med din befintliga programleveranskontrollant eller ditt befintliga nätverk. |
Integrera SaaS-program som stöds från galleriet till Microsoft Entra ID och aktivera enkel inloggning | Microsoft Entra ID har ett galleri som innehåller tusentals förintegrerade program. Vissa av de program som din organisation använder finns förmodligen i galleriet som är tillgängliga direkt från Azure Portal. Ge åtkomst till företagets SaaS-program på distans och säkert med förbättrad användarupplevelse (SSO). |
Automatisera användaretablering och avetablering från SaaS-program (om tillämpligt) | Skapa automatiskt användaridentiteter och roller i molnprogrammen (SaaS) som användarna behöver åtkomst till. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras, vilket ökar organisationens säkerhet. |
Aktivera villkorlig åtkomst – enhetsbaserad | Förbättra säkerheten och användarupplevelsen med enhetsbaserad villkorlig åtkomst. Det här steget säkerställer att användarna bara kan komma åt från enheter som uppfyller dina standarder för säkerhet och efterlevnad. Dessa enheter kallas även för hanterade enheter. Hanterade enheter kan vara Intune-kompatibla eller Microsoft Entra Hybrid-anslutna enheter. |
Aktivera lösenordsskydd | Skydda användare från att använda svaga och enkla att gissa lösenord. |
Använd minst privilegierade roller där det är möjligt | Ge dina administratörer endast den åtkomst de behöver till de områden som de behöver åtkomst till. |
Aktivera Microsofts lösenordsvägledning | Sluta kräva att användarna ändrar sina lösenord enligt ett angivet schema, inaktiverar komplexitetskrav och användarna är mer skickliga på att komma ihåg sina lösenord och hålla dem något som är säkert. |
Skapa en organisationsspecifik lista över anpassade förbjudna lösenord | Förhindra användare från att skapa lösenord som innehåller vanliga ord eller fraser från din organisation eller ditt område. |
Distribuera lösenordslösa autentiseringsmetoder för dina användare | Ge användarna praktiska lösenordslösa autentiseringsmetoder. |
Skapa en plan för gästanvändares åtkomst | Samarbeta med gästanvändare genom att låta dem logga in på dina appar och tjänster med sina egna arbets-, skol- eller sociala identiteter. |
Vägledning för Microsoft Entra ID P2-kunder
Följande tabell är avsedd att markera nyckelåtgärderna för följande licensprenumerationer:
- Microsoft Entra ID P2
- Microsoft Enterprise Mobility + Security E5
- Microsoft 365 (E5, A5)
Rekommenderad åtgärd | Detalj |
---|---|
Aktivera kombinerad registreringsupplevelse för Microsoft Entra multifaktorautentisering och SSPR för att förenkla användarregistreringsupplevelsen | Tillåt användarna att registrera sig från en gemensam upplevelse för både Microsoft Entra multifaktorautentisering och lösenordsåterställning via självbetjäning. |
Konfigurera inställningar för multifaktorautentisering för din organisation | Se till att konton skyddas från att komprometteras med multifaktorautentisering. |
Aktivera lösenordsåterställning via självbetjäning | Den här möjligheten minskar supportsamtal och produktivitetsförlust när en användare inte kan logga in på sin enhet eller ett program. |
Implementera tillbakaskrivning av lösenord (om du använder hybrididentiteter) | Tillåt att lösenordsändringar i molnet skrivs tillbaka till en lokal Windows Server Active Directory-miljö. |
Aktivera Microsoft Entra ID Protection-principer för att framtvinga registrering av multifaktorautentisering | Hantera distributionen av Microsoft Entra multifaktorautentisering. |
Aktivera principer för användar- och inloggningsriskbaserad villkorlig åtkomst | Den rekommenderade inloggningsprincipen är att rikta in sig på inloggningar med medelhög risk och kräva multifaktorautentisering. För användarprinciper bör du rikta in dig på högriskanvändare som kräver lösenordsändringsåtgärden. |
Skapa och aktivera principer för villkorlig åtkomst | Multifaktorautentisering för administratörer för att skydda konton som har tilldelats administrativa rättigheter. Blockera äldre autentiseringsprotokoll på grund av den ökade risken för äldre autentiseringsprotokoll. Kräv multifaktorautentisering för Azure Management för att skydda dina privilegierade resurser genom att kräva multifaktorautentisering för alla användare som har åtkomst till Azure-resurser. |
Aktivera synkronisering av lösenordshash (om du använder hybrididentiteter) | Ange redundans för autentisering och förbättra säkerheten (inklusive Smart Lockout, IP Lockout och möjligheten att identifiera läckta autentiseringsuppgifter.) |
Aktivera smart AD FS-utelåsning (om tillämpligt) | Skyddar dina användare från att drabbas av extranätskontoutelåsning från skadlig aktivitet. |
Aktivera smart Microsoft Entra-utelåsning (om du använder hanterade identiteter) | Smart utelåsning hjälper till att låsa ute dåliga aktörer som försöker gissa användarnas lösenord eller använda råstyrkemetoder för att komma in. |
Inaktivera slutanvändares medgivande till program | Arbetsflödet för administratörsmedgivande ger administratörer ett säkert sätt att bevilja åtkomst till program som kräver administratörsgodkännande så att slutanvändarna inte exponerar företagsdata. Microsoft rekommenderar att du inaktiverar framtida åtgärder för användarmedgivande för att minska ytan och minska risken. |
Aktivera fjärråtkomst till lokala äldre program med Programproxy | Aktivera Microsoft Entra-programproxy och integrera med äldre appar för användare för säker åtkomst till lokala program genom att logga in med sitt Microsoft Entra-konto. |
Aktivera säker hybridåtkomst: Skydda äldre appar med befintliga appleveranskontrollanter och nätverk (om tillämpligt). | Publicera och skydda dina lokala och molnbaserade äldre autentiseringsprogram genom att ansluta dem till Microsoft Entra-ID med din befintliga programleveranskontrollant eller ditt befintliga nätverk. |
Integrera SaaS-program som stöds från galleriet till Microsoft Entra ID och aktivera enkel inloggning | Microsoft Entra ID har ett galleri som innehåller tusentals förintegrerade program. Vissa av de program som din organisation använder finns förmodligen i galleriet som är tillgängliga direkt från Azure Portal. Ge åtkomst till företagets SaaS-program på distans och säkert med förbättrad användarupplevelse (SSO). |
Automatisera användaretablering och avetablering från SaaS-program (om tillämpligt) | Skapa automatiskt användaridentiteter och roller i molnprogrammen (SaaS) som användarna behöver åtkomst till. Förutom att skapa användaridentiteter inkluderar automatisk etablering underhåll och borttagning av användaridentiteter när status eller roller ändras, vilket ökar organisationens säkerhet. |
Aktivera villkorlig åtkomst – enhetsbaserad | Förbättra säkerheten och användarupplevelsen med enhetsbaserad villkorlig åtkomst. Det här steget säkerställer att användarna bara kan komma åt från enheter som uppfyller dina standarder för säkerhet och efterlevnad. Dessa enheter kallas även för hanterade enheter. Hanterade enheter kan vara Intune-kompatibla eller Microsoft Entra Hybrid-anslutna enheter. |
Aktivera lösenordsskydd | Skydda användare från att använda svaga och enkla att gissa lösenord. |
Använd minst privilegierade roller där det är möjligt | Ge dina administratörer endast den åtkomst de behöver till de områden som de behöver åtkomst till. |
Aktivera Microsofts lösenordsvägledning | Sluta kräva att användarna ändrar sina lösenord enligt ett angivet schema, inaktiverar komplexitetskrav och användarna är mer skickliga på att komma ihåg sina lösenord och hålla dem något som är säkert. |
Skapa en organisationsspecifik lista över anpassade förbjudna lösenord | Förhindra användare från att skapa lösenord som innehåller vanliga ord eller fraser från din organisation eller ditt område. |
Distribuera lösenordslösa autentiseringsmetoder för dina användare | Ge användarna praktiska autentiseringsmetoder utan lösenord |
Skapa en plan för gästanvändares åtkomst | Samarbeta med gästanvändare genom att låta dem logga in på dina appar och tjänster med sina egna arbets-, skol- eller sociala identiteter. |
Aktivera Privileged Identity Management (PIM) | Gör att du kan hantera, kontrollera och övervaka åtkomst till viktiga resurser i din organisation, så att administratörer endast har åtkomst när det behövs och med godkännande. |
Slutför en åtkomstgranskning för Microsoft Entra-katalogroller i PIM | Arbeta med dina säkerhets- och ledarskapsteam för att skapa en åtkomstgranskningsprincip för att granska administrativ åtkomst baserat på organisationens principer. |
Nolltillit
Den här funktionen hjälper organisationer att anpassa sina identiteter till de tre vägledande principerna i en Nolltillit arkitektur:
- Verifiera explicit
- Använd minst behörighet
- Anta intrång
Mer information om Nolltillit och andra sätt att anpassa din organisation till de vägledande principerna finns i Nolltillit Guidance Center.
Nästa steg
- Detaljerad distributionsvägledning för enskilda funktioner i Microsoft Entra-ID finns i distributionsplanerna för Microsoft Entra ID-projekt.
- Organisationer kan använda identitetssäkerhetspoäng för att spåra sina framsteg mot andra Microsoft-rekommendationer.